Direkt zum Inhalt

Gefakte Rechnungen für die Domain-Registrierung: Expiration notice

Fake Emails: Expiration Notice

Zurzeit (eigentlich aber immer) sind Emails unterwegs, die Besitzer von Webseiten durch falsche Rechnungen mit Expiration notice nervös machen. I.d.R. ist der Domainname wie meine-beste-seite.de über den Provider des Internet-Auftritts registriert und der Provider bezahlt auch die monatlichen / jährlichen Gebühren für den Domainnamen.

Wie kommen die Spammer an Name, Domainname und Emailadresse?

Den Namen des Inhabers eines Internet-Auftritts bekommen die Absender der betrügerischen Rechnungen einfach heraus. Sie fischen Name und Email meist aus dem Impressum und das auch noch automatisiert durch sogen. Bots. Bad Bots sind Programme wie Suchmaschinen. Sie durchstreifen das Web nach Sicherheitslücken, Kontaktformularen, Namen und Emailadressen, um Spam abzuladen oder Einfallstore für Angriffe zu finden.

Domainnamen registrieren

Domainnamen müssen registriert werden, aber die Registrierung kostet nur ein paar Cent im Monat für eine de-Domain wie meine-beste-seite.de. .com-, .org- oder .eu- sind ein paar Cent teurer, aber auch noch im Cent-Bereich pro Monat. 

Die Rechnungen mit Expiration notice hingegen wollen meist Beträge von 80$ bis 100$, sie sind schlichtweg primitiv aufgemacht, ohne Logo und in Englisch. Liest man sich den Inhalt genauer durch – eine hohe Aufmerksamkeit und gutes Englisch vorausgesetzt – kommt man auf den Kern der Email:

This important expiration notification notifies you about the expiration notice of your domain registration for meine-beste-seite.de search engine optimization submission.

Auf gut Deutsch: Diese wichtige Benachrichtigung benachrichtigt Sie über die Ablauf-Benachrichtigung Ihrer Domain-Registrierung für meine-beste-seite.de zur Suchmaschinen-Optimierung-Einreichung.

OH – also nicht die Registrierung des Domainnamens läuft ab, sondern eine SEARCH ENGINE OPTIMIZATION, also Suchmaschinen-Optimierung! Die niemand bestellt hat … 

Fake Emails Stufe 2

Dieser Fake ist nicht gerade harmlos, aber noch gut zu durchschauen. Gefährlicher sind die gefakten Emails, die dick auftragen. 

Von: WebSystems Net noreply@websystemsnet.com. 

Nachrichtentext:
Disclaimer statement: We are not legally liable for any losses or damages that you may incur due to the expiration of meine-gute-seite.de. Such losses may include but are not limited to: financial loss, deleted data, downgrade of search rankings, missed customers, undelivered email and any other technical or business damages that you may incur.

Auf gut Deutsch: Haftungsausschluss: Wir sind gesetzlich nicht verantwortlich für Verluste und Schäden, die Ihnen durch den Ablauf von meine-gute-seite.de entstehen. Derartige Verluste können finanzielle Verluste, gelöschte Daten, Verlust beim Ranking, verlorene Kunden, nicht gelieferte Emails und weitere Schäden, die Ihnen zustoßen, sein, sind aber nicht darauf beschränkt.

Wer dem Link in der Email folgen würde (BLOSS NICHT!!!), z.B. zu https://websystemsnet.com, bekommt folgenden Slogan sehen: Domain SEO Service Registration, also derselbe Betrug, wenn auch noch intensiver aufgemacht. SEO – Search Engine Optimization, also wieder mal Suchmaschinen-Optimierung.

Important noticeNotice#: 402326Date: 05/18/2019Expiration noticeDomain:meine-gute-seite.deExpiration date: 05/26/2019To: ,Domain Name:Registration Period:Amount:Term:meine-gute-seite.de06/09/2019 to 06/08/2020$86.001 YearSecure Online Payment

Natürlich variieren Absender und Texte immer wieder.

Wie kann ich sicher sein, dass hier eine Fake-Email vorliegt?

Zur Vorsicht fragt man am besten beim Provider nach. 

Für technisch versierte Domain-Inhaber liegen Im Email-Header die Informationen zum Absender. An den Header, den Nachrichtenkopf, kommt man nicht ohne Weiteres. Bei Apple Mail gibt es ein Feld im Kopf des Email-Fensters, um den Header, den technischen Nachrichtenkopf, einzublenden.

Alle Header ein- oder ausblenden

Das liefert eine undurchschaubaren Wust von technischen Infos. Die allerletzte Zeile der nur schwer nachvollziehbaren Texte ist z.B.

Received: ⁨from ps9504.domcheckamerica.website (unknown [23.247.2.143]) by domcheckamerica.website (Postfix) with ESMTP id 907EC43A37 for <info@meine-gute-seite.de>; Sat, 18 May 2019 23:31:35 -0400 (EDT)⁩

Hier ist des Pudels Kern: unknown [23.247.2.143] by domcheckamerica.website ist die IP-Adresse und die Webseite des Absenders. Eine Suche mit Google nach domcheckamerica liefert kein Ergebnis – die gibt es gar nicht. Oder eine Blacklist-Information mit der IP-Adresse einholen bei einem Blacklist-Check. 

Mehr dazu

Externe Quellen