In den letzten Tagen haben sich mehrere Kunden mit der gleichen Anfrage bei uns gemeldet: Sie haben eine E-Mail erhalten mit der Mitteilung, dass jemand einen .com-Domain mit gleichem Namen wie die bereits bestehende .ch-Adresse registieren möchte. Nun bietet der Domainregistrar ein Vorkaufsrecht für den bestehenden Inhaber der .ch-Domain an.

Update von 18.06.2020: Der Name der Absenders (angebliche Firma, Ansprechperson etc.) sowie die betreffende Domain-Endung können variieren. Heute hat uns eine identische E-Mail erreicht, in der eine .co-Domain angeboten wurde. Der Absender gibt sich als DNS Schweiz aus.

Das Angebot tönt attraktiv. Und um die aufgezeigten «weitreichenden Folgen» abzuwenden, erscheint der Preis von CHF 249.50 für zehn Jahre geradezu wie ein Schnäppchen. Zudem macht die Nachricht des freundlichen Herrn Pascal Keller (offenbar ein junger Schweizer Digitalprofi) einen seriösen Eindruck: hübsches Logo mit Schweizerkreuz, das E-Mail scheint von einer Anti-Virus-Software geprüft zu sein, sogar die verlinkte Website existiert und wirkt auf den ersten Blick sehr kompetent.

Doch schauen wir mal etwas genauer hin …

Zunächst einmal fällt auf, dass die Website im Browser als «Nicht sicher» angezeigt wird. Das alleine hat zwar noch nichts zu bedeuten, aber für einen Online-Spezialisten ist das schon eine schwache Leistung und lässt zumindest stark an der Kompetenz der Firma zweifeln. Auch dass jeder Link auf der Startseite wieder zurück auf dieselbige führt, ist sehr eigenartig.

Wie dem auch sei, schauen wir mal weiter.

Eine Telefonnummer sucht man auf der Website vergebens. Unter «Kontakt» erfährt man, dass man auf einen telefonischen Support verzichtet, «um die Kosten für unsere Dienstleistungen niedrig zu halten.» Aha! Das Unternehmen ist aber per E-Mail erreichbar und gibt eine Büroadresse in Basel an.

Eine kurze Suche auf zefix.ch fördert tatsächlich eine Firma IDS Schweiz AG zutage – doch diese ist im Aargau zuhause und im Bereich Energiemanagement tätig. Offensichtlich ist dies nicht der richtige Ansprechpartner (Spoiler: Diese Firma hat nichts mit den betrügerischen Vorgängen zu tun – womöglich wurde der Name dieses Unternehmens von den Urhebern als Deckmantel missbraucht).

Zurück zur Mail. Die Sache scheint dringend zu sein, innerhalb von 48 Stunden wird eine Antwort erwartet. Spätestens jetzt sollten die Alarmglocken läuten: Hier stimmt etwas nicht!

Kurzum: das Mail ist ein Betrugsversuch. Ignorieren Sie die Nachricht und antworten Sie nicht darauf, sondern löschen Sie diese. Bei der Kantonspolizei Zürich sind bereits mehrere Anzeigen eingegangen. Sollten Sie Opfer des Betrugs geworden sein, wenden Sie sich umgehend an die Polizei.

Die Registrierung eines .com-Domains oder einer beliebigen anderen Adresse kann bei jedem offiziellen Registrar (z.B. Hostpoint oder cyon) vorgenommen werden – zu günstigeren Konditionen. Zudem wird Sie niemals ein Registrar direkt kontaktieren, um Ihnen ein Vorkaufsrecht zu geben: Die Registrierung von Domains läuft automatisiert, so dass freie Domains und Domain-Endungen von jedermann/jederfrau sofort gekauft werden können.

Seien Sie immer vorsichtig, wenn Sie solche oder ähnliche E-Mail erhalten. Die meisten Betrüger lassen sich anhand von schlechter Grammatik im Mail relativ leicht entlarven. Doch nicht immer ist dies der Fall – wie unser «Herr Keller» zeigt. Genau hinschauen lohnt sich. Manchmal sind es kleine Hinweise, die Aufschluss über die (Un-)Glaubwürdigkeit eines Absenders geben: z.B. für die Schweiz seltene oder ungebräuchliche Domain-Endungen, ungewöhnliche Formulierungen, kleine Buchstabendreher in URLs etc.

Ein weiteres Indiz kann zudem die Verwendung des «scharfen S» (ß) in Texten sein: In der Schweiz ist dieses nicht gebräuchlich und lässt darauf schliessen, dass der Absender zumindest nicht mit den Schweizer Eigenarten der Grammatik vertraut ist.

• Unbekannter Absender
• Seltene oder nicht gebräuchliche Domain-Endungen (.com, .ru, .net etc.)
• Firmenadresse oder Kontaktangaben nicht auffindbar/überprüfbar
• Schlechte Grammatik oder ungewöhnliche Formulierungen
• Fehlende Sicherheitszertifikate auf Website
• Forderungen werden unter Zeitdruck gestellt und negative Konsequenzen angedroht

Mit grosser Wahrscheinlichkeit stammen Ihre Daten nicht aus einem Datenleck, sondern Sie sind per Zufall ins Visier der Betrüger geraten. Diese setzen Suchroboter ein, um das Netz nach beliebigen Domains, E-Mail-Adressen oder anderen öffentlich zugänglichen Informationen zu durchsuchen.

Bei Betrugsversuchen via SMS werden auch zufällige Telefonnummern nach einem bestimmten Schema generiert (z.B. 079 xxx xx xx) und in Massenversänden eingesetzt.

Es schadet aber nie, vorsichtig genug zu sein. Beachte hierzu auch unseren Blogartikel zum Thema Starke Passwörter und umsichtiger Umgang im Web.