Woche 13: Mehr als eine leere Webseite - das Geschäftsmodell mit aufgegebenen Domains

04.04.2023 - Hinter einer leeren Webseite kann mehr stecken, als ein erster Blick vermuten lässt. Dies zeigt ein Fall, der dem NCSC letzte Woche gemeldet worden ist. Ein Javascript auf einer leeren Webseite leitete den Besucher auf eine dubiose Website weiter, aber nur dann, wenn die Aufrufe von einer Suchmaschine oder von Social-Media-Seiten kamen. Geschäftemacher übernehmen systematisch aufgegebene Domänen, insbesondere solche mit einem vertrauenswürdigen Ruf und somit einem guten Suchmaschinen-Ranking, und versuchen, diese gezielt auf dubiose Werbeseiten weiterzuleiten, um dann mit verschiedenen Tricks Geld zu machen.

Aufgegebene Domänen im Visier von Geschäftemachern

Viele Domäneninhaber kennen das Problem: Man besitzt Domänen, die eigentlich nicht mehr benötigt werden und überlegt sich, diese zu kündigen, da sie jährliche Gebühren generieren. Es machen sich aber nur die Wenigsten Gedanken, dass nach der Kündigung jede und jeder die Domäne wieder registrieren kann und darauf Inhalte nach Belieben platzieren kann. Das NCSC erhielt in der Vergangenheit immer wieder Meldungen, in denen sich ehemalige Domänenbesitzer beschwert haben, dass nun dubiose Webshops oder Webseiten mit Erwachsenenangeboten unter der URL der alten Webseite angezeigt werden. Im Visier stehen dabei vor allem die Domänen, welche zwar über einen kleinen, aber dennoch für Angreifer interessanten Besucherkreis verfügen. Dabei wird vom Angreifer das von der originalen Website aufgebaute Ranking in den Suchmaschinen ausgenutzt. Falls ein entsprechender Suchbegriff eingegeben wird, taucht dann nicht die ursprüngliche, sondern eben die wiederauferstandene, vom Angreifer neu gelöste Domäne und deren Inhalte an der alten Position im Suchmaschinen-Ranking auf.

Auch letzte Woche wurden dem NCSC eine Reihe angeblich betrügerischer Webseiten gemeldet. Auffällig dabei ist, dass alle Domänen bei der gleichen Firma registriert worden sind und die Erstregistration bereits einige Zeit zurückliegt. Der Verdacht liegt also nahe, dass auch in diesem Fall die Reputation der Webseiten verwendet wird, um für betrügerische Produkte zu werben. Tatsächlich stellte sich schnell heraus, dass alle Domänen vor kurzem den Besitzer gewechselt hatten.  

Nur eine leere Webseite nach dem Aufruf – oder doch mehr?

Der direkte Aufruf der verdächtigen Webseite zeigte auf den ersten Blick jedoch nichts Verdächtiges, sondern nur eine leere Seite. Eine vertieftere Analyse durch das NCSC ergab, dass hinter der Seite weit mehr steckt. Schaut man auf den Quelltext, findet man Javascript-Befehle, welche den sogenannten Referrer überprüfen, also schauen, über welchen Link man die Seite geöffnet hat. Wird die Webseite über eine gängige Suchmaschine oder Social-Media-Seiten aufgerufen, dann wird das Opfer auf eine präparierte Webseite weitergeleitet. Wird die Seite von einer nicht im Skript aufgelisteten Domäne aufgerufen oder wird die Adresse direkt in die Adresszeile des Browsers eingegeben, wird nichts respektive die leere Seite eingeblendet.

Javascript, welches nur beim Aufruf von Suchmaschinen und Social Media-Seiten auf die Unterseite umleitet. Die Seiten, bei denen umgeleitet wird, sind im Script aufgeführt.
Javascript, welches nur beim Aufruf von Suchmaschinen und Social Media-Seiten auf die Unterseite umleitet. Die Seiten, bei denen umgeleitet wird, sind im Script aufgeführt.

Arbeitsteilung und Geschäftsmodell «Weiterleitung»

Die präparierte Webseite enthält eine Weiterleitung auf einen Webauftritt, welcher für ein dubioses Investment-Angebot wirbt. Es wird so versucht, möglichst viele potentielle Opfer auf die Webseite zu bringen und zu einem «unwiderstehlichen» Investment zu verleiten. Auf der Werbeseite selbst wird Bezug auf die Fernsehsendung «Höhle der Löwen» genommen und behauptet, dass die Investitionsmethode so gut sei, dass der Sender die Sendung nicht ausstrahlen dürfe.

Werbung für dubiose Investment-Angebote. Dabei wird häufig auch auf die Sendung «Höhle der Löwen» Bezug genommen Im Link sieht man die Nummer der Webseite von der weitergeleitet wurde.
Werbung für dubiose Investment-Angebote. Dabei wird häufig auch auf die Sendung «Höhle der Löwen» Bezug genommen Im Link sieht man die Nummer der Webseite von der weitergeleitet wurde.

Der Link auf der «Werbeseite» offenbart dabei das Geschäftsmodell: Dort findet man den Code der Webseite, von der der Besucher weitergeleitet wurde. Die unlauteren «Werber» können so feststellen, welche Seite den Klick generiert hat und vergüten diesen entsprechend. Der aktuelle Inhaber der zuvor aufgegebenen Domäne, versucht so, die Registrationsgebühr wieder reinzuholen und zusätzlich noch möglichst viel Geld zu verdienen.

Das Vorgehen zeigt exemplarisch die Arbeitsteilung: Während eine Gruppe die Werbeseiten mit dubiosen Investment-Angeboten erstellt, versuchen andere möglichst viele Klicks auf diese Seiten zu generieren. Der eigentliche Investitions-Betrug wird dann wiederum durch eine andere Gruppe ausgeführt.

Empfehlungen:

  • Seien Sie sich bewusst, dass eine aufgegebene Domäne (der registrierte Name der Webseite) von anderen reserviert und allenfalls betrügerisch verwendet werden kann.

  • Falls Sie eine Domäne aufgeben wollen, prüfen Sie, ob diese ein gewisses Ranking in den Suchmaschinen erreicht. Wenn Sie die Domäne noch einige Zeit behalten, aber sich kein Inhalt mehr darauf befindet, verliert diese automatisch ihr Ranking und wird dadurch unattraktiv.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 04.04.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/vanity/ncsc/23w13-de