Ein Neukunde mit jeder Menge Domainnamen ist von Anfang an vor allem durch seine fehlende Zahlungsbereitschaft aufgefallen. Mangels Besserung der Situation und angesichts der aufgelaufenen offenen Posten haben wir den Vertrag daher fristgerecht gekündigt. Erst danach sind wir auf Presseberichte aufmerksam geworden, denen zu Folge unser (Ex-)Kunde ein Hochstapler mit einer langen Liste von Ermittlungsverfahren sein soll. Dazu können wir nichts sagen, aber das Verhalten uns gegenüber (viel bestellen und nichts bezahlen) passt jedenfalls ins Bild.
Außergewöhnlich ist daran (leider) noch nichts, immerhin haben wir laufend mit Fällen dieser Art zu tun. Unüblich ist es hingegen, bereits mit unter 18 Jahren eine solche “Karriere” hingelegt zu haben. Da fängt das Erwachsenenleben ja schon richtig gut an 
.
Derzeit läuft ein Phishingversuch der darauf abzielt, Logindaten für das Kundenmenü von domainfactory-Kunden zu erhalten. Hierzu versenden die Angreifer eine E-Mail, die angeblich von uns stammen soll und den Kunden zum Login in sein Kundenmenü auffordert. Der zugehörige Link führt jedoch natürlich nicht zu der echten Kundenmenü-Loginseite sondern zu einer gefälschten Webseite, auf der die von unbedarften Anwender angegebenen Zugangsdaten abgefangen werden sollen.
Siehe dazu auch:
Um unsere Kunden zu warnen, haben wir auf der Startseite www.df.eu bereits ein Informationsfenster eingebaut, welches den regulären Seiteninhalt überlagert und haben auch unsere Statusseite entsprechend aktualisiert. Darüber hinaus versenden wir zur Stunde bereits eine Infomail an alle Kunden.
Hier der Inhalt unserer Rundmail:
Sehr geehrte Kundin, Sehr geehrter Kunde,
derzeit werden im Namen von domainFACTORY E-Mails versendet mit der Aufforderung, die Zugangsdaten zu Ihrem Kundenmenü zu ändern. Bitte beachten Sie, dass es sich hierbei um einen so genannten Phishing- Versuch handelt, mit welchen von unberechtigten Dritten versucht wird, Ihre Zugangsdaten zu erhalten!
ACHTUNG – WICHTIG: Klicken Sie bitte nicht auf den in der E-Mail enthaltenen Link und geben Sie dort nicht Ihre Zugangsdaten ein!
Diese Aufforderung wird von unberechtigten Dritten versendet und versucht lediglich den Eindruck zu erwecken, von domainFACTORY versendet worden zu sein. Ein Beispiel für den Wortlaut dieser Nachricht finden Sie ganz unten in dieser E-Mail.
Sofern Sie eine solche E-Mail erhalten haben sollten und Ihre Zugangsdaten aufgrund dieser Nachricht geändert haben, loggen Sie sich bitte umgehend in Ihr richtiges Kundenmenü bei domainFACTORY ein und ändern dort Ihr Passwort, um Ihren Account vor unberechtigten Zugriffen zu schützen. Sie erhalten mit dieser E-Mail bewusst keinen Link zum Kundenmenü-Login, vielmehr bitten wir Sie, die Ihnen bereits bekannte Adresse zu nutzen oder bei Bedarf einfach unsere Webseite zu besuchen und von dort auf die Anmeldeseite des Kundenmenüs weiterzugehen.
Diese Phishing-Nachrichten werden von den Urhebern derzeit übrigens ziellos an viele E-Mail-Adressen versendet, in vielen uns bekannten Fällen haben auch Adressaten diese Nachricht erhalten, die nicht bei domainFACTORY Kunde sind. Es hat somit kein unberechtigter Zugriff auf Ihre bei uns hinterlegten persönlichen Daten stattgefunden.
Bei Rückfragen stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.
…
Beispiel-Wortlaut der Phishing-Nachricht:
—————————————-
Achtung Domain Factory-Kunde,
Es ist eine ungewöhnliche Tätigkeit in Ihrem df.eu Package und es beeinfluss unsere Server. Wir sind das Senden dieser E-Mail an Sie Um Sie über Reinigung Ihres Kontos,
Es wird empfohlen, den Login-Button klicken, um Ihr Konto reinigen oder Ihr Konto wird Gesperrt Vorübergehend.
—————————————-
Grundsätzlich ist es ratsam, selbst bei glaubhaften E-Mails die zu einer Aktualisierung, einem Login oder einer sonstigen Option auffordern, die zugehörige und selbst bekannte Adresse händisch in den Browser einzugeben. Keinesfalls sollte jedenfalls auf irgendwelche Links in solchen Nachrichten geklickt werden. Und im Zweifelsfall ist ein Anruf beim Kundenservice unter Nutzung der gewohnten Rufnummer ratsam, um die Echtheit der Mitteilung zu verifizieren.
Abschließend möchten wir, wie bereits im obigen Newsletter bereits erwähnt, nochmals darauf hinweisen, dass die Phishingnachrichten derzeit anscheinend wahllos verteilt werden und z.B. auch an Personen gesendet werden, die überhaupt kein Kunde bei uns sind. Grundsätzlich ist es jedoch auch denkbar, dass ein Angreifer z.B. gezielt und automatisiert Webseiten nach E-Mailadressen “abgrast” und danach versucht, die zugehörigen Domainnamen einem Provider zuzuordnen, um die Phishingmails entsprechend “personalisieren” zu können. Darüber hinaus gibt es teilweise auch in öffentlichen Whoisdatenbanken frei einsehbare Informationen, die für solche individuell angepassten Nachrichten verwendet werden könnten. Es ist daher wichtig, auch bei glaubwürdig erscheinenden E-Mails nicht “blind” auf die Richtigkeit des Inhalts zu vertrauen.
Übrigens: Browser wie Googles Chrome erkennen die Seite in der Phishingnachricht beworbene Seite bereits als unseriös und blenden eine Warnmeldung an.
[Nachtrag 16:15 Uhr] Da die Betrugsseite Inhalte von unserer Domain einblendet, haben wir bereits gegen 15:20 Uhr den abgerufenen JavaScript Code so geändert, dass bei Aufruf der Phishingseite mit aktiviertem JavaScript nur noch eine “Achtung: Betrugsseite!”-Warnung erscheint. Dies nur noch der Vollständigkeit halber als Hinweis an dieser Stelle. Achtung: Darauf verlassen sollte man sich natürlich nicht, immerhin können die Täter die von uns ergriffene Maßnahme leicht umgehen oder auch einfach eine andere Internetadresse in die Phishingmails einbauen.
Oder auf Deutsch: Post aus Frankreich. Wer jetzt erwartungsvoll an einen Geschenkkorb mit leckeren Spezialitäten aus der Provence denkt, muss jedoch leider enttäuscht werden. Vielmehr handelt es sich um eine Mahnung, mit der um den Ausgleich offener Posten gebeten wird.
Dumm nur, dass wir das Unternehmen gar nicht kennen und somit auch nichts dort bestellt haben. Vielmehr ist der Anbieter das Opfer eines Betrügers geworden, der missbräuchlich unsere Daten (zusammen mit einer anonymen Yahoo E-Mailadresse) angegeben hat.
Diesen Sachverhalt haben wir nun (dank Google Translate sogar in französisch) mitgeteilt und hoffen, dass damit die Post aus Frankreich auch schon wieder ein Ende findet. Zumindest, so lange es sich nicht doch noch um einen Geschenkkorb handelt 
.
…merkt man es auch nicht, wenn unberechtigte Abbuchungen erfolgen. So kann man es zusammenfassen, was einem Kunden bzw. ja eigentlich Nicht-Kunden passiert ist. Auf dessen Namen wurde bei uns bereits im Jahr 2007 ein Vertrag geschlossen, für den wir auch ohne jegliche Probleme die damit verbundenen regelmäßigen Kosten von seinem Girokonto abbuchen konnten.
Nach nunmehr rund vier Jahren hat der Betroffene diesen Umstand erstmals bemerkt und sich hilfesuchend an uns gewendet. Anfangs konnten bzw. wollten wir kaum glauben, dass sich jemand, dessen Konto- und Personendaten angeblich missbraucht worden sind, trotz regelmäßig eingelöster Lastschriften erst nach einer so langen Zeit bei uns meldet. Im persönlichen Telefonat konnte der Betroffene uns jedoch davon überzeugen, dass hier tatsächlich ein Missbrauch vorliegt und er wirklich über die lange Zeit einfach nicht gemerkt oder gesehen hat, dass wir von seinem Konto abgebucht haben.
Vor diesem Hintergrund haben wir in dieser ungewöhnlichen Situation dem Wunsch entsprochen, alle berechneten Gebühren zu erstatten. Zwar hätten wir auch darauf beharren können, dass der Kunde niemals Einwendungen erhoben und seine eigene Sorgfaltspflicht verletzt hat. Denn wer jahrelang bei einem Unternehmen als Kunde geführt wird und widerspruchslos zahlt, wird sich wohl einen gewissen “Anscheinsbeweis” durchaus vorhalten lassen müssen. Sonderlich kundenfreundlich wäre uns dieses Vorgehen jedoch nicht erschienen, weshalb wir einer vollständigen Rückzahlung der Beträge zugestimmt haben.
Bevor nun jemand auf falsche Ideen kommt: Dies war eine Einzelfallentscheidung und die Ausnahme von der Regel. Als einfache Lösung, um den eigenen Account rückwirkend kostenfrei stellen zu lassen, ist sie nicht geeignet .
Die GEMA möchte Geld. Zwei Mal 385 € hat sie daher von unserem Girokonto abgebucht, insgesamt also [Edit: 770 €]. Für das bisschen Warteschleifenmusik bei uns wäre das ein ordentlicher Preis, immerhin fallen offiziell vergleichsweise günstige 139,70 € pro Jahr an. Und die waren aktuell noch nicht mal fällig. Nach längeren Telefonaten wurde uns dann mitgeteilt, dass unsere Kontodaten von einem Webradio mit dem Namen “Fresh-FM” gegenüber der GEMA für den Einzug fälliger Beträge angegeben worden sei.
Gut, dass es die praktische Suchfunktion auf der GEMA Homepage gibt. Damit konnten wir sehr schnell eingrenzen, dass überhaupt nur ein GEMA-lizenziertes Webradio mit dem oben genannten Namen existiert. Die zugehörige und nur über einen Subdomaindienst (co.de) erreichbar Internetseite (http://www.fresh-fm.co.de) macht leider keinen wirklich vertrauenserweckenden Eindruck. Immerhin gibt es ein Impressum, weshalb wir uns nun mal direkt mit dem dort genannten Verantwortlichen in Verbindung setzen werden. Vielleicht gibt es ja noch eine andere Erklärung, welche die naheliegende Vermutung einer missbräuchlichen Kontodatennutzung ausräumt. Wir sind jedenfalls gespannt. Und werden “Fresh-FM” darum bitten, die fälligen Gebühren doch bitte selbst zu bezahlen. Eine Rückgabe der bei uns erfolgten Lastschriften ist jedenfalls bereits erfolgt.
An sich ist diese Masche inzwischen ein alter Hut, aber als Warnung möchten wir hiermit dennoch erneut darauf hinweisen: Wer irgendwelche angeblichen Abmahnungen per E-Mail erhält und zur Zahlung eines Schadensersatzbetrages z.B. mittels “Ukash”-Karte aufgefordert wird, sollte möglichst nicht reagieren, da eine Betrugsmasche vorliegt.
Die E-Mails können dabei z.B. so aussehen:
Guten Tag,
in obiger Angelegenheit zeigen wir die anwaltliche Vertretung und Interessenwahrung der … Germany GmbH an.
Gegenstand unserer Beauftragung ist eine von Ihrem Internetanschluss aus im sogenannten Peer-to-Peer-Netzwerk begangene Urheberrechtsverletzung an Werken unseres Mandanten. Unser Mandant ist Inhaber der ausschliesslichen Nutzungs- und Verwertungsrechte im Sinne der §§ 15ff UrhG bzw. § 31 UrhG an diesen Werken, bei denen es sich um geschutzte Werke nach § 2 Abs 1 Nr. 1 UrhG handelt.
Durch das Herunterladen urherberrechtlich geschutzer Werke haben sie sich laut § 106 Abs 1 UrhG i.V. mit §§ 15,17,19 Abs. 2 pp UrhG nachweislich strafbar gemacht.
Bei ihrem Internetanschluss sind mehrere Downloads von musikalischen Werken dokumentiert worden.
Aufgrund dieser Daten wurde bei der zustandigen Staatsanwaltschaft am Firmensitz unseres Mandanten Strafanzeige gegen Sie erstellt.
Aktenzeichen: 318 Js …/36 Sta Stuttgart
Ihre IP Adresse zum Tatzeitpunkt: 106….
Illegal heruntergeladene musikalische Stucke (mp3): 31
Illegal hochgeladene musikalische Stucke (mp3): 073
Wie Sie vielleicht schon aus den Medien mitbekommen haben, werden heutzutage Urheberrechtverletzungen erfolgreich vor Gerichten verteidigt, was in der Regel zu einer hohen Geldstrafe sowie Gerichtskosten fuhrt. Genau aus diesem Grund unterbreitet unsere Kanzlei ihnen nun folgendes Angebot:
Um weiteren Ermittlungen der Staatsanwaltschaft und anderen offiziellen Unannehmlichkeiten wie Hausdurchsuchungen und Gerichtsterminen aus dem Weg zu gehen, gestatten wir ihnen den Schadensersatzanspruch unseres Mandantenaussergerichtlich zu lösen.
Wir bitten Sie deshalb den Schadensersatzanspruch von 100 Euro bis zum 1808.2011 sicher und unkompliziert mit einer UKASH-Karte zu bezahlen. Eine Ukash ist die sicherste Bezahlmethode im Internet und fur Jedermann anonym an Tankstellen, Kiosken etc. zu erwerben. Weitere Informationen zum Ukash-Verfahren erhalten Sie unter: http://wwwukash.com/de
Nachdem Sie den Ukash oder Paysafecard* Voucher gekauft haben, schicken Sie die 16 oder 19 stellige Voucher Nummer an unsere email Adresse mit der eingabe ihrer Aktenzeichen.
Email: info@apw-…
* alternativ konnen Sie auch mit Paysafecard zahlen Link: http://www.paysafecard.com/de
Geben Sie bei Ihrer Zahlung bitte ihr Aktenzeichen an!
Sollten sie diesen Bezahlvorgang ablehnen bzw. wir bis zur angesetzten Frist keinen 19- stelligen Ukash PIN-Code im Wert von 100 Euro erhalten haben(oder gleichwertiges Paysafecard Coupon), wird der Schadensersatzanspruch offiziell aufrecht erhalten und das Ermittlungsverfahren mit allen Konsequenzen wird eingeleitet. Sie erhalten dieses Schreiben daraufhin nochmals auf dem normalen Postweg.
Hochachtungsvoll,
Rechtsanwaltskanzlei Auff…
Merke: Selbst wenn ein Anwalt mal per E-Mail schreiben sollte (was gerade bei Abmahnungen nun doch eher sehr selten vorkommen dürfte), wird er keinesfalls eine Ukash-Karte oder die Nutzung eines anderen anonymen Zahlsystems verlangen.
Die Abzocke mit Dingen wie angeblichen Gewerberegistereinträgen oder dringend nötigen Domainverlängerungen sind hinlänglich bekannt und überraschen uns schon lange nicht mehr. Neu scheint jedoch der Versuch zu sein, mit vorgetäuschten Blumenbestellungen schnelle Kasse zu machen.
Konkret haben wir eine Rechnung von “Ihr Blumenkontor” aus Düssseldorf erhalten. Mit dem professionell gestalteten Beleg werden uns 39,98 € für die Zustellung eines Blumenstraußes “Sommertraum mit Glas Vase” (sic!) berechnet, die wir auf ein Konto bei der Sparkasse Niederrhein überweisen sollen. Beigefügt ist eine zweiseitige Hochglanzwerbung für weitere Blumengeschenke.
Abgesehen davon, dass der angebliche “Auftraggeber” nichts von dem Auftrag wusste, ist uns an der Rechnung nichts ungewöhnliches aufgefallen. Weder waren auf den ersten Blick ganz schlimme (Tipp-)Fehler zu erkennen noch haben sonst irgendwelche Umstände einen Hinweis darauf gegeben, dass hier etwas nicht stimmen sollte.
Da wir auch bei kleineren Rechnungen eine sehr konsequente Prüf- und Freizeichnungspraxis betreiben, wurde bei uns die Buchhaltung mit der Kontrolle beauftragt. Hierbei hat sich dann sehr schnell und zu unserer Überraschung gezeigt, dass es sich offensichtlich um einen Betrugsversuch handelt. So findet Google diesen Foreneintrag, der eindeutig auf unseren Fall zu passen scheint. Auch ist die auf der Rechnung angegebene Rufnummer nicht erreichbar und bei der genauen Kontrolle finden sich auch einige Tippfehler im Text.
Schon unglaublich, mit wie viel Aufwand und welch zumindest oberflächlich professionellen Auftreten die Täter hier agiert haben, um den Eindruck eines seriösen Blumenlieferdienstes vorzuspiegeln. Natürlich sollte man annehmen, dass solche Rechnungen nicht einfach bezahlt werden und die Empfänger in der Regel auf den Sachverhalt aufmerksam werden. Diese Annahme dürfte jedoch in die Irre führen. Denn die mit der Herstellung und dem Versand der Schreiben verbundenen Aufwand und der damit zusammenhängenden kriminellen Energie wird wohl kaum jemand betreiben, wenn er nicht auch eine ausreichend hohe Erfolgsquote erwarten kann. Zumal der Betrag niedrig genug ist, um vielleicht doch eben mal durchzurutschen, wenn die Buchhaltung nicht sehr konsequent geführt wird.
Warten wir mal ab, ob die gegen Unbekannt erstattete Strafanzeige etwas Licht ins Dunkel bringen wird.
Aus aktuellem Anlass möchten wir an dieser Stelle auf eine an sich schön ältere Betrugsmasche hinweisen, die aktuell uns selbst und einen Kunden in jeweils verschiedener Form betroffen hat. Dabei geben sich die Täter als Hostprovider aus und weisen darauf hin, dass eine andere Firma die Registrierung von Domainnamen mit dem Marken- oder Firmennamen des Opfers versuchen würde. Das Opfer habe nun die Möglichkeit, die Domains noch schnell für sich selbst zu sichern, bevor sie der angebliche andere Interessent registrieren kann.
In Wahrheit gab es in diesen Fällen aber niemals einen Versuch, Domainnamen mit Marken-/Firmennamen des Opfers zu registrieren. Vielmehr setzen die Täter darauf, dass die Betroffenen dankbar reagieren und gerne das Angebot annehmen, die angeblich betroffenen Domains zu gesalzenen Preisen für sich registrieren zu lassen.
In dem uns betreffenden Fall wurden wir per englischsprachiger E-Mail kontaktiert und über eine angebliche Markenverletzung in Kenntnis gesetzt. Die uns kontaktierende Firma sei auf den Handel und die Registrierung von Domainnamen in Asien spezialisiert und nun beauftragt worden, Domains mit dem “Keyword ‘df’” zu registrieren. Wir hätten sieben Tage Zeit, um uns zu melden, anderenfalls würde der Auftrag ausgeführt werden. Schnell war klar, um was es sich handelt.
Auf andere Weise haben es nun Betrüger bei einem unserer Kunden versucht. Ausgerüstet mit öffentlichen Whoisinformationen über ihn und uns als Provider haben sie ihn telefonisch kontaktiert und sich als domainfactory-Mitarbeiter ausgegeben. Jemand würde bei uns ähnliche Domains registrieren wollen wie seine und er könne sich diese selbst sichern. Der Anruf erfolgte ohne Rufnummernanzeige und auch eine Rückrufnummer wurde nicht genannt.
Unser Kunde war zum Glück wachsam und hat uns informiert. Es lohnt sich (und ist leider auch notwendig), immer wachsam zu sein und nicht blindlings auf obskure Anrufe oder E-Mails hereinzufallen. Im Zweifelsfall sollte man sich über öffentlich zugängliche Kontaktmöglichkeiten an den Provider wenden, um den Sachverhalt zu klären.
Wir selbst rufen übrigens Kunden nur dann an, wenn es nötig oder vereinbart ist und die Zustimmung zur telefonischen Kontaktaufnahme erteilt wurde. Dabei erfolgt ausnahmslos die Übermittlung der Rufnummer (+49 89 55266-0 oder -xxx). Wenn sie angeblich von uns angerufen werden und Zweifel haben, rufen sie einfach zurück: Jeder Mitarbeiter verfügt über eine eigene Rufnummer innerhalb des o.g. Nummernkreises und der Kundenservice ist insbesondere auch per 0800-Rufnummer (DE: 0800 323 98 00, AT: 0800 311 821) erreichbar.
Ein im amtlichen Stil gehaltenes Schreiben macht Druck: Unter dem Betreff “Prüfung Ihrer Betriebsstätte” und mit dem Hinweis “Terminsache” werden wir darüber informiert, dass keine Überprüfung unserer Betriebsstätte vor Ort mehr möglich sei und wir nun selbst aktiv werden müssten. Als Abgabeschluss für die Rücksendung ist der 15.12.2010 vorgegeben.
Ui, das muss doch wichtig sein. Oder etwas nicht?
Wohl eher nicht: Eine Firma möchte gerne Erste-Hilfe-Kästen verkaufen und versucht dabei offensichtlich, über den Aufbau von Druck (“Terminsache”, “Abgabeschluss 15.12.2010″) und mittels des auf “wichtig” getrimmten Aussehen des Schreibens (Barcode, Vorgangsnummer, Betreff “Prüfung Ihrer Betriebsstätte”, usw.) die Verkaufszahlen zu erhöhen.
Nach Adressbuchschwindel und Domainrenewal-Schwindel nun also auch noch Erste-Hilfe-Kasten-Schwindel? 
Wenn man eine gewisse Größe erreicht hat, bleiben Zufälle nicht aus. So auch in einem aktuellen Fall, bei dem uns die betrügerische Bestellung von Hostingleistungen aufgefallen ist.
Die dort genutzten Kundendaten waren zwar echt, wurden aber von einem Täter genutzt um seine eigene Identität zu verschleiern. Für den Betroffenen ist das natürlich ärgerlich.
Nun haben wir festgestellt, dass der Betrüger für seine Anmeldung die Daten einer Person genutzt hat, die selbst seit vielen Jahren Kunde bei uns ist. Wir konnten unseren – absolut unverdächtigen – Partner daher direkt über den Missbrauch seiner Daten informieren. Zumindest seine Bankverbindung hat er daraufhin von der eigenen Homepage entfernen können und ist nun vorgewarnt, falls von irgendwelchen anderen Firmen auf einmal Abbuchungen oder Mahnungen eintreffen sollten.
Schön, dass der Kunde sich trotz der ernsten Thematik über den Hinweis von uns gefreut hat 
.
