Phisher nutzen den bekannten Registrar-Dienst United-domains für ihre Aktivitäten. Die schockieren mit angeblich nicht bezahlten Rechnungen.
Der Online-Dienstleister united domains betreut nach eigenen Angaben über 1,6 Millionen registrierte Domains und verfügt über mindestens 300.000 Kunden. Das Unternehmen aus Starnberg in Oberbayern wirbt damit, dass man die Daten der Domain-Inhaber nicht öffentlich macht, um deren Privatsphäre zu schützen. Aktuell haben Phisher den bekannten Webhosting- und Domain-Anbieter ins Visier genommen. Sie wollen aus der Popularität ihren eigenen Vorteil ziehen.
Phishing-Mail ohne persönliche Anrede
Absender der Phishing Mail ist zwar die United-domains AG. Doch wer genauer nachsieht, stellt fest, dass dahinter die E-Mail-Adresse support-9f088860@reverlex.com steckt. Ein Unternehmen in dieser Größenordnung würde niemals E-Mails mit einem solchen Absender verschicken, zumal bei reverlex.com nur eine voreingestellte Seite von Apache2 zu sehen ist. Das müsste eigentlich jeden misstrauisch stimmen.
Doch beim Betreff „Dringende Zahlungserinnerung – Rechnung 44250304“ werden wahrscheinlich so manche Empfänger aus Panik weniger auf derartige Details achten. Sie befürchten, dass ihre Webseite offline geschaltet wird. Und genau das beabsichtigen die Cyberkriminellen mit der Aktion.
United-domains droht angeblich mit Aussetzung der Domain
Uns schrieben die Phisher in der Nachricht, in der man mangels Daten auf eine persönliche Anrede verzichtet hat:
Sehr geehrte Kunden,
Leider müssen wir Sie darauf aufmerksam machen, dass die Rechnung 44250304 vom 01.08.2024 trotz unserer vorherigen Mitteilung noch nicht beglichen wurde. Diese Rechnung betrifft folgende wichtige Dienstleistungen:
- Domainname : tarnkappe.info
Aufgrund der ausstehenden Zahlung sahen wir uns gezwungen, die oben genannten Leistungen und damit verbundenen Dienste gemäß unseren Vertragsbedingungen vorübergehend auszusetzen.
Sobald Sie Ihre Rechnung begleichen, werden Ihre Dienste innerhalb weniger Stunden wieder vollständig aktiviert. Um dies schnell und unkompliziert zu erledigen, nutzen Sie bitte folgenden Link : http://www-9f088860.insibah.com/?id=tarnkappe.info
Jetzt (United Domains) bezahlen »
Wir möchten Sie eindringlich darauf hinweisen, dass bei ausbleibender Zahlung innerhalb von drei (3) Tagen nach Erhalt dieser E-Mail Ihre Dienste unwiderruflich gelöscht werden. Dies beinhaltet auch die unwiederbringliche Löschung aller Festplatten gemäß unserer Datenschutzerklärung. Nach Ablauf dieser Frist ist eine Wiederherstellung nicht mehr möglich.
Wir verstehen, dass es zu Verzögerungen kommen kann, und möchten Ihnen versichern, dass wir an einer schnellen Lösung interessiert sind. Zögern Sie nicht, uns bei Fragen oder Unklarheiten zu kontaktieren.
Vielen Dank für Ihr Verständnis und Ihre umgehende Aufmerksamkeit in dieser Angelegenheit.
Mit freundlichen Grüßen,
Ihr Kundenservice United-domains AG
Subdomain der Phisher schon nicht mehr existent
Die Phishing-Seite unter der Subdomain 9f088860.insibah.com gibt es schon nicht mehr. Bei Insibah Media, deren Website sich auf der Domain präsentiert, soll es sich angeblich um eine Agentur handeln. Doch es gibt kein Impressum und bei jeglichen Suchmaschinen keinerlei Hinweis auf irgendwelche Aktivitäten dieser „Agentur“.
Das wird die Absender aber sicher nicht davon abhalten, eine neue Domain zu registrieren, um ihr Geschäft wieder aufzunehmen. Teil der URL war auch eine Tracking-ID. Wahrscheinlich hätte uns die Website mit einer Zahlungsaufforderung via Kreditkarte für unsere eigene Domain begrüßt. Höchst merkwürdig erscheint die angekündigte Löschung der Festplatten der Kunden, weil ein Domain-Registrar gar keine Festplatten verwaltet.
Dumm nur, dass wir gar kein Konto bei United Domains haben und dort noch nie Kunde waren. Möglicherweise fordert man die Opfer auf der Phishing-Seite zu einer Überweisung zu einer ausländischen Bank auf, um eine Rückbuchung zu verhindern. Oder aber es geht darum, die Kreditkartendetails der Personen in Erfahrung zu bringen. Leider konnten wir das nicht überprüfen. 9f088860.insibah.com hat weder die Wayback Machine noch Archive.is in ihr Archiv aufgenommen.
