Suche
Suche Menü

Domainklau via eMail

An dieser Stelle der erste Gastartikel von Sabine, einer Programmiererin die seit ca. zwei Jahren im SEO-Business unterwegs ist. Sie hat dieser Tage etwas zum Thema Domainklau erlebt, das hier näher beschrieben wird, um potentielle weitere Betroffene zu warnen und Meinungen einzuholen.

Mein Erreichbarkeitsscript meldet eine nicht erreichbare Domain – nichts Besonderes so weit. Erst der Aufruf der Seite treibt meinen Puls in die Höhe: Statt der gewohnten WordPress-Seite kommt eine Umleitung auf eine Stuttgarter SEO-Agentur. Was ist da passiert?

Tatsächlich scheint meine Modedomain einen neuen Eigentümer zu haben: Ein gestriges Update der Whois-Daten weist eben jene Stuttgarter SEO-Agentur als neuen Eigentümer aus.

Ich hatte die Domain wegen eines problematischen Domainnamens bei einem türkischen Provider gehostet, der auch für .de Domains einen Private Whois anbietet. Der Kontakt verlief einzig über eine eigens dafür angelegte GMX-Mailadresse und ein Paypalkonto.

Also frage ich beim Provider nach, wie es zum Eigentümerwechsel kam. Offensichtlich wurde die Domain Mitte Mai von meiner Mailadresse aus gekündigt, auch die Nachfrage des Providers wurde mit meiner Adresse bestätigt.

Bleiben zwei Möglichkeiten: Entweder hat jemand den GMX-Account gehackt, oder jemand hat mit einer gefälschten Mailadresse als Absender die Domain gekündigt, und dann die Antwort des Providers auf eine ähnliche Adresse empfangen. Leider hat der Provider die Originalheader der Mails nicht mehr vorliegen, so dass diese Frage ungeklärt bleibt.

So kontaktiere ich also den neuen Inhaber der Domain, eine unbekannte Stuttgarter SEO-Agentur. Keine Steuernummer, als Kontakt eine nicht erreichbare Handynummer, die auch als Kontakt für einen Erotikversand sowie einige weitere Versandartikelgeschäfte dient.

Neugierig auf die Antwort kontaktiere ich den neuen Eigentümer per Mail mit Angabe meiner sonst eher unter Verschluß gehaltenen Handynummer. Kurz darauf landen zwei anonyme russisch klingende Anrufe auf meine Handymailbox – was vielleicht ein Zufall ist.

Was bleibt sind Fragen: Hat nun jemand zufällig den GMX-Account gehackt, ist durch ein paar Mails im Posteingang auf die Domain aufmerksam geworden, hat sie gekündigt und neuregistriert? Oder ist es der Markeninhaber, der die damals versehentlich gekündigte Domain endlich wegschießen wollte?

Und noch eine ganz paranoide Variante: Ist es gar eine systematische Strategie aus der Kenntnis heraus, dass der Provider Mail-Kündigungen akzeptiert? Nun wäre es ja auch kein Problem, per Reverselookup alle bei diesem Provider gehosteten .de Domains anzuschauen und die Besitzer wertvoller Domains unter einem Vorwand anzuschreiben um an die Kontaktdaten zu gelangen. Dann mit gefälschter Mailadresse kündigen und zum nun bekannten Zeitpunkt schneller als die üblichen Grabber neu registrieren.

Letztlich erscheinen mir alle Varianten etwas unwahrscheinlich zu sein. Sicher bleibt, dass jemand in böser Absicht meine Domain gekündigt hat und sie entweder von der selben Person oder einer anderen gegrabbt wurde.

Einziger Trost: Die Domain wurde ohnehin vor ein paar Tagen von Google aus dem Index gekickt, die Domain ist somit absolut wertlos. Mich würde interessieren, ob Euch in letzter Zeit etwas Ähnliches passiert ist oder ihr gar eine Idee habt, was da wirklich passiert ist.

30 Kommentare

  1. Also falls es mir mal passieren sollte würde ich sicher nicht von “einer Stuttgarter SEO Agentur” schreiben, sondern Twitter, Facebook & Co. mit dem Namen zuspammen 😀

  2. hmm interessanter Fall.

    Spekulativ:
    Es handelt sich um eine lukrative Domain und man kann in den Denic-WHOIS Rückschlüsse auf deinen Provider in der Türkei ziehen?

    Gerade WEIL es ein private WHOIS war, das in D so ja eigentlich nicht möglich ist, wird die Domain dadurch zum Angriffsziel?

    Dann muss der Angreifer ja irgendwie an die E-Mail-Adresse, auf die Du die Domain registiert hast … das geht evtl. relativ leicht mittels Social Engineering. Anfrage, Blöd stellen… oder einen Kontakt beim Provider???

    Eine Mail zu versenden, die scheinbar von deiner Adresse kommt, ist das kleinste Problem, die Antwort abzufangen ebenso.

    Dann braucht der jenige nur noch den Release anzuwarten und schnell genug zu sein bei der Neuregistrierung … hmmmm

    Oder es war ein Insiderjob? Also beim Provider direkt? Vertraust du diesem 100%ig?

    Oder der Einbrecher kam tatsächlich zuerst an den GMX-Account und hat dann die Domain gefunden … puh…

    Schwer zu sagen, alles möglich. Der Provider sollte aber eigentlich Mails aufbewahren, gerade solche, die zur Kündigung dienen!!! Also ich halte das für extrem unseriös… was aber eigentlich schon beim private WHOIS für .de beginnt 😀

    Da haste ja schon keine wirkliche Handhabe rechtlich…

  3. @Malte: Finde gut, dass Sie damit vorsichtig ist, denn es ist längst nicht bewiesen, dass der jetzige Registrar auch für die Kündigung verantwortlich ist, auch wenn es naheliegend wäre…

    Domain-Grabbing betreiben ja so einige SEOs 😉

  4. das find ich ja mal hart…
    heutzutage ist man vor nichts sicher

  5. Sehe ich ähnlich wie Malte – vielleicht nicht im Blog, wo eine Abmahngefahr herrscht – aber auf Twitter etc. würde ich Namen nennen. Fahrlässig vom Anbieter, dass er die E-Mails nicht mehr hatt – könnte ja auch sein, das ein Mitarbeiter die Domain sich geholt hat und die Mails dann “unabsichtlich” gelöscht hat. Das mit dem Index hätte sich vielleicht wieder beruhigt – allein als Trotzreaktion wäre ich aber bereits am Namen ruspammen 😀

  6. @Kai Ich hatte ähnliche Verdachtsmomente wie du, u.a. hinsichtlich Insiderjob etc. Leider kann ich dazu nichts schreiben, muss Sabine entscheiden, was sie hier noch weiter publik macht.

    @Huggy: Denke auch, das die Domain früher oder später wiedergekommen wäre.

  7. Hui, das ist ja was.
    Ich würde erstmal auch auf Insider tippen.
    Mailaccount gehakt, mag ja sein, aber wer schaut dann dort durch die Mails? Sowas wird doch ehr zum reinen spammen benutzt.

    Ist die Frage wie vertrauenswürdig der Hoster wirklich ist…

  8. Danke für Eure Ideen dazu, anbei teile ich noch den Mailverkehr mit Euch, den mir der Provider übersandt hat.

    ——————————–

    From: sabine.xxx Posted on 15 May 2010 11:50 AM

    Sehr geehrtes xxx Team,

    hiermit möchte ich meine Domain xxx.de nicht verlängern und bitte um sofortige Löschung der Domain und der Leistungen.

    MfG

    From xxx Posted on 15 May 2010 11:59 AM

    Sehr geehrter Kunde,

    bitte bestätigen Sie uns die Löschung ihrer Domains nochmals per Email, ich Weise Sie drauf hin das Sie bereits die neue Rechnung bezahlt haben und somit der bereits bezahlte Zeitraum nicht zurückerstattet wird.

    Mit freundlichen Grüssen

    xxx

    From: sabine.xxx Posted on 16 May 2010 09:43 AM

    Sehr geehrtes xxx Team,

    ja bitte löschen Sie die Domains sofort.

    MfG

    From xxx Posted on 16 May 2010 10:13 AM

    Sehr geehrter Kunde,

    sofort löschen können wir es nicht, ich habe das Auto-Renew deaktiviert, damit ihre Domain nicht verlängert wird.

    Mit freundlichen Grüssen

    xxxx

    From: sabine.xxx Posted on 16 May 2010 11:37 AM

    Sehr geehrtes xxx Team,

    Dankeschön für ihre Hilfe.

    MfG

    ——————————–

    Variante unehrlicher Provider: Der Mailverkehr selbst wirkt glaubhaft auf mich. Andererseits ist ja die letzte Mail von Kundenseite gekommen. Warum fehlt dann der Mailheader? Vielleicht ein Export aus dem Ticketsystem, darauf deuten die unüblichen Trennzeichen zwischen den Malis hin.

    Genau wie Malte sagt bleibt die Möglichkeit, dass die Stuttgarter SEO-Agentur die gedroppte Domain zufällig abgegriffen hat, deshalb möchte ich sie nicht anprangern.

    Variante Stuttgarter SEO-Agentur als Angreifer: Meine Mail an den neuen Eigentümer habe ich von einer anderen Mailadresse aus geschickt, von dessen Provider ich zeitgleich mit den rusischen Anrufen eine Password-Reset-Anfrage erhalte.

    Gesetzt den Fall, der Angreifer ist die Stuttgarter SEO-Agentur und diese hat gezielt mein GMX-Konto gehackt. Was läge dann näher, als das Kennwort auch beim weiteren Mailaccount auszuprobieren und eine Password-Resetmail auszulösen (dessen Aktivierungslink ja möglicherweise an das zugängliche GMX Konto geht).

    Ich habe wenig Hoffnung, das Rätsel zu lösen, werde in Zukunft aber Domainprovider meiden, die per Mail Kündigungen usw. akzeptieren.

  9. @Huggy, Kai
    Es gibt die Möglichkeit, sich so auszdrücken, dann keine Abmahngefahr besteht. Zum Beispiel, in dem man einfach nur Tatsachen feststellt. Wobei man dabei natürlich darauf achten muss, dass die Anschuldigung auch nicht zwischen den Zeilen steht. Bzw. eben doch 😉

  10. Danke Sabine, dass Du hier weitere Details veröffentlichst. Wirklich eine spanndende Angelegenheit allerdings ist oft die naheliegendste Vermutung die richtige und die ist: Der Provider hat Dreck am Stecken.
    Der hat die Löschung veranlasst, sich mit der gefälschten Mail “abgesichert”, sowas wäre nebenbei gesagt vor Gericht kein Beweis!

    Angeblich Mails/Header gelöscht?! Ich bitte Dich, wie wahrscheinlich ist das?!

    und entweder die SEO Agentur aus Stuttgart hatte wirklich Snapper-Glück, oder was viel wahrscheinlicher/naheliegender ist: Einen Tipp vom Provider bekommen und sich das Ding geschnappt.

  11. Zudem müsste in deinem Account bei GMX doch noch was im Verlauf sein!!!
    Gesendete Nachrichten oder so!

  12. Ich überlege, ob derselbe Hacker hinter der Abstrafung stecken könnte. Beide Aktionen geschahen relativ zeitnah. D.h.: Domain kündigen und gleichzeitig Domain bei Google verpetzen (da ersichtlich war, dass dort was mit Links läuft). Dadurch wurde der PR genullt und die Wahrscheinlichkeit war hoch, dass sie anderen Domaingrabbern entgeht. Dann grabben und wie Huggy schreibt, warten bis sie wieder in den Index kommt, bzw. entsprechend aktiv werden. Wär zumindest ein möglicher Gedankengang…

  13. @Kai Bei POP3-Anmeldung wird der Mailverlauf nicht gespeichert, außerdem könnte der Angreifer bei Kenntnis des Kennwortes ja auch alle Spuren verwischen. Wind bekommen hätte ich nur, wenn ich zufällig zeitgleich abgerufen hätte.

    Die Domain hatte vor ihrer Abstrafung einen PR3. Ob dafür ein Provider seinen Ruf aufs Spiel setzt, weiß man nicht.

  14. Der PR ist ja relativ wurscht wenn es sich um eine geniale Keyworddomain handelt beispielsweise.

    Ist es denn ein so großer Provider, dass er einen Ruf zu verlieren hat?

    Hast du schonmal bei GMX gefragt, ob es LOGs gibt? Wenn du eine Anzeige gegen Unbekannt stellst bekommst du ja Akteneinsicht und in der Regel alle Daten, die vorliegen.

    @Frank: Das zu Timen mit Verpetzen bei Google und gleichzeitiger Übernahme halte ich für unmöglich, weil zu riskant.

  15. Mit einfachen Emails kann man schon ne Menge machen. Hab schonmal eine meiner Domains zu jemandem transferiert, ohne das es einen Request dafür gab.

    Seinen Provider angeschrieben und ein knappes “Bitte transferieren Sie meine xyz.de an Ihren Kunden ZYX”. Hat gereicht.

  16. Wirklich sehr dreist, sofern alles so abgelaufen ist.

    Der türkische Hoster ist jedenfalls, meiner Meinung, der Sündenbock und sollte hierfür geradestehen. Das Du hier was rechtlich bewirken kannst, bezweifle ich aber wiederum…

    Das man mit einfachen E-Mails Domains von A nach B transferieren, oder gar löschen kann, ist mir offengestanden nicht bekannt. Das sowas intern bei einem bekannten Registrar (hinter dem Rücken der Hoster stattfindet), sowas habe ich schonmal gehört.

  17. @Marco: Ich finde das Verhalten des türkischen Hosters ehrlich gesagt noch relativ vorbildlich. Anderen Anbietern reicht ein Fax – super, ich weiß dass Hans Mustermann eine geile Domain hat, schnapp mir via Impressum seine Daten und bin bei der Unterschrift etwas kreativ. Schon ist die Domain gelöscht.

    Die Variante, dass die registrierte Kundenemailadresse eine Mail senden muss, finde ich wesentlich professioneller.

    Die einzige Möglichkeit wäre es wohl, GMX zu kontaktieren und dort nachzuhaken, ob tatsächlich mails geschrieben worden sind oder ob der “angreifer” einfach die header gefälscht hat. Sollten die Mails wirklich von GMX sein..was soll der Anbieter noch tun?

    Was ich mich nur frage: er weist dich darauf hin, dass du eben eine neue Rechnung bezahlt hast, also die Dom. noch 1 Jahr dir gehören sollte (oder 11, 10,9 Monate – was auch immer). Die Email Kontaktaufnahme war aber von Mai, also gerade ein Monat her… Erklärungen?

  18. Juni 2009 Domain geht per KK zum Provider
    April 2010 Rechnung vom Provider für kommenden Zeitraum
    Mai 2010 gefakte Kündigung des Angreifers
    Juni 2010 aufgrund der Mail Expire statt Renew

    (Ob statt dem Expire direkt ein Update gelaufen ist, entzieht sich meiner Kenntnis)

  19. “April 2010 Rechnung vom Provider für kommenden Zeitraum”

    Provider sagt oben:

    “sofort löschen können wir es nicht, ich habe das Auto-Renew deaktiviert, damit ihre Domain nicht verlängert wird.”

    Auto Renew sollte also im April 2011 wieder relevant sein. Nicht im Juni 2010.

  20. Der erste Zeitraum ging von Juni 2009 bis Juni 2010. Im April beglich ich im Voraus die Rechnung für Juni 2010 bis Juni 2011. Aufgrund der gefakten Kündigung im Mai 2010 ist der neue Berechnungszeitraum gar nicht erst angebrochen. Übersehe ich etwas Wesentliches?

  21. Schlimme Sache finde ich, wenn man auf diese Weise eine/seine Domain verliert.
    Allerdings höre ich immer wieder das es bei “Anonym-Hostern” manchmal recht arge Vorgänge gibt. Beispiel:
    Vor nicht all zu langer Zeit ist ein großer (glaube amerikanischer) Hoster der sich auf das Anbieten von anonymen Domains (+Hosting) spezialisiert hat, von einem auf den anderen Tag offline gewesen.
    Alle Domains aller Kunden waren nicht mehr erreichbar, und umziehen konnte man die Domains natürlich auch nicht.
    Man munkelte sogar das der Hoster sich mit den Kundengeldern abgesetzt hat…

    Naja, wie auch immer, ähnliches hab ich schon oft gehört.

  22. Ach, sie haben also das Geld schon kassiert, aber noch nicht den Antrag auf Verlängerung gestellt? Ich frage mich nur wegen der Kündigungsfrist – ich habe bei .de immer einen Brief bekommen, wo ich extra angeben musste, dass ich die Domain löschen will (mit einem security code).

  23. Sorry, aber wer in der Türkei mit Privacy Whois hostet, der hat vermutlich selber Dreck am Stecken. Was ist denn der “problematische Domainname” genau gewesen?

  24. Die Geschichte ist ja mal wirklich hart. Echt krass, was sich manche erlauben. Ich würde den Namen der “Stuttgarter SEO Agentur” auch bekannt geben. Solche Verbrecher sollen keine Aufträge mehr bekommen!

    Grüße, Martin

  25. Julian, ich glaube nicht, dass Sabine den Namen nennen will. Aber wie sie bereits schrieb, gab es markenrechtliche Bedenken. Der Domainname war der Name einer GmbH, die möglicherweise nicht mehr existiert. Aber sie wollte auf Nummer sicher gehen, nicht doch Probleme zu kriegen. Wobei sie das jetzt hat…

    Was mir zu denken gibt: Sowohl der Provider als auch die SEO-Agentur tragen zu Beginn das Wort “media” im Namen. Ist auch dies Zufall?

    Doch letztendlich ist es egal, wie es gelaufen ist. Ein Provider, der auf bloße eMail hin eine Domain freigibt (obwohl diese sogar für ein weiteres Jahr bezahlt wurde!) ist für mich genauso untragbar wie einer, der Insiderjobs machen würde.

  26. Hallo,

    also ich würde hier eine Klage anstreben. Der Webhoster hat sich zu vergewissern wer die Domain löschen lässt. Bei Löschung per Email, hätte ich an dieser Stelle des Anbieter, die Domain in Transit gegeben.

    Normal müsste der Webhoster haften, da Emails nicht vor Gericht gültig sind, solange diese keine gültige Signatur haben. Der Webhoster kann sich nicht so einfach rausreden und den Kunden so abspeisen. Das geht so nicht. Schreibe den Webhoster an, das er ein Vorschlag machen soll für eine Wiedergutmachung. Ansonsten würde ich klagen, der Webhoster hätte in diesen Fall sehr schlechte Karten.

    Wenn nachgewiesen werden kann, das eine Straftat vorliegt, kann in manchen Fällen die Domain über die Denic wieder bekommen werden, hierzu solltest Du auch dich mal an die Denic wenden.

    Grüße Nico

  27. @Nico
    Der türkische Provider unterliegt bestimmt türkischem Recht. 😉

    Ich kenne zwar die Denic-Richtlinien jetzt nicht so genau, aber ich könnte mir auch vorstellen, dass es Sabine hilft wenn sie sich an die Denic wendet. Auch wenn Sie von der Denic vielleicht “nur” wertvolle Tipps zur weiteren Vorgehensweise erhalten sollte. Ob die Denic erst was machen kann wenn der türkische Provider von einem – falls möglich – deutschem Gericht (oder mit Glück von einem türkischem Gericht) verurteilt worden ist weiß ich allerdings nicht.

  28. Nachtrag: Vielleicht reicht es ja für die Denic, und auch dafür dass die SEO-Agentur sich die Domain nicht später per Gerichtsbeschluss wieder zurückholen kann, aus, wenn sich ein Richter eines deutschen Gerichts findet der bestätigt, dass die Löschung der Domain nicht Sabines Wille war, sondern von dem unbekannten Täter in betrügerischer Absicht gelöscht wurde. Dass die Löschung der Domain nicht ihr Wille war, wird sie dem Richter m.E. sehr leicht glaubhaft machen können. Welches Gericht in Deutschland dafür am geeignetsten ist, müsste m.E. jeder gute Fachanwalt für IT-/Domain-Recht wissen.

  29. Ich mache dies auch ab und an und kündige lukrative Domains bei denen ich genau weiß, dass der rechtmäßige Eigentümer wegen eigenen schlüpfrigen Geschäften keine juristische Gegenwehr zeigen wird.

    Wie mache ich dies?
    Ich registriere mir die gleiche Freemail-Adresse wie der Eigentümer hat.

    Allerdings ersetze ich ein l (kleines Ludwig) durch ein großes I (großes Ida).
    Und umgekehrt.

    Die eMail-Adresse sieht so zu 100% echt aus – ist sie aber nicht.

  30. Was bringt Dir die Email? Nichts… weil du dadurch nicht in den Besitz des Authcode kommst. Der Authcode wird standardmäßig immer an die E-Mail-Adresse des Eigentümers gesendet. Ohne einen Authcode kann man derzeit keinen KK Antrag für eine de Domain starten.

Kommentare sind geschlossen.