Mindestenssechszeichen...keine Panik!

Ein Schrecken zum Frühstück

7. April 2019 von Yhoko
Alles begann vor ein paar Tagen, als mich zwei automatische E-Mails von meinem Provider erreichten. Darin hiess es, man würde alle US-Domains (.com, .net, .org) auf EU-Registrare (z.B. DENIC) umschreiben und auch meine Domain Yhoko.com sei davon betroffen. Eine Aktion meinerseits sei nicht erforderlich, es würden lediglich noch weitere Informations-Mails vom Registrar kommen. Das war erstmal eine gute Nachricht, sollen die .com Domains ruhig nach Europa umgezogen werden. Ich zitiere:

[...] Auch Ihre Domain yhoko.com ist davon betroffen. Wir möchten Sie daher informieren, dass wir im Verlauf des Monats April 2019 den Transfer Ihrer Domain vornehmen werden. Aufgrund des Verifizierungsprozesses ist es notwendig, Ihre Stammdaten kurzzeitig zu ändern. Dies betrifft u.a. Ihre E-Mail-Adressen. Über diesen Punkt werden Sie per Mail von der Registry noch einmal separat informiert werden. Handlungen Ihrerseits sind nicht notwendig.
Nach dem erfolgreichen Transfer der Domain sind alle Ihre Stammdaten inkl. E-Mail-Adressen wieder wie gewohnt hinterlegt. Fortan profitieren Sie von einem noch höheren Sicherheitsstandard und verbesserten Serviceleistungen.


Zwei Tage später, also gestern, kam dann tatsächlich eine weitere Mail, die mich aufforderte, meine E-Mail Adresse zu bestätigen. Darin war ein kryptischer Link enthalten, der auf [https] domreg.keyweb.de führte – eine Domain meines Anbieters, also alles in Ordnung. Das alles war an sich auch völlig normal und plausibel, man will ja aktuelle Daten haben. Also klickte ich ihn an und keine zwei Minuten später trudelte eine Bestätigungs-Mail in mein Postfach, mit nur folgendem Inhalt:

Der Transfer fuer die Domain yhoko.com wurde gestartet.


Das "fuer" versetzte mich in Aufregung, plötzlich schlugen alle Alarmglocken und ich fasste in Gedanken zusammen: "Du hast gerade einen kryptischen Link in einer E-Mail angeklickt, die angeblich von deinem Provider kommt. Direkt im Anschluss wurde ein Domain-Transfer von Yhoko.com eingeleitet und du weisst nicht mal, wohin."
Ich war nervös und ging der Sache weiter nach. Zunächst rief ich das Admin-Panel von Keyweb auf, wo solche News und Änderungen ja auch immer publiziert werden: nichts zu finden. Dann prüfte ich die Whois-Daten um zu sehen, ob die Meldung überhaupt echt und der Transfer wirklich in Gange war: Ja, war er – zudem war nicht mein Provider eingetragen sondern "enom.com", ein Anonymisierungsdienst für Domains. Die Nervosität wuchs weiter. Jetzt galt es, als letzten Strohhalm noch die Herkunft der E-Mails zu prüfen; ein Blick in den Header verriet: sie kamen nicht von keyweb.de sondern von keyspecial.de. Kurzer Blick auf [https] www.keyspecial.de — leer. Ups.

Plötzlich fiel es mir wie Schuppen von den Augen. Die Informations-Mail erwähnte explizit nur Yhoko.com, obwohl ich noch einige weitere .com Domains registriert habe. Sie wurde doppelt versendet bzw. zugestellt. Es gab keine persönliche Anrede und auch keinen Sachbearbeiter, in keiner der Mails. Immer nur der Hinweis auf den automatischen Versand und dass Antworten direkt gelöscht würden. Dann diese Bestätigungs-Mail, in der ausdrücklich und sogar in Fettschrift dazu gedrängt wurde, den kryptischen Link innerhalb von 2 Wochen anzuklicken (andernfalls drohte man mit einer Sperrung). Es gab zudem Tippfehler in den Mails und das "ue" statt "ü" in der Transfer-Bestätigung. Und als Tüpfelchen auf dem i verschwand daraufhin die Domain Yhoko.com aus meinem Admin-Panel bei Keyweb. Dort werden DENIC-Domains (.de) separat zu den CNO (.com/.net/.org) Domains aufgelistet und Yhoko.com verschwand aus der CNO-Liste – tauchte aber auch nicht bei der DENIC auf. Plötzlich klang auch die erste Informations-Mail völlig unglaubwürdig, wieso sollten meine Stammdaten geändert werden? Und am Ende versprach man mehr Sicherheit und Service..? Wozu überhaupt der Bestätigungslink? Und vor allem: Warum gingen all diese Mails nicht an meine übliche Kontaktadresse, die nur Keyweb kennt (dort landen normalerweise auch Ankündigungen und News) sondern an die Mail-Adresse, die im öffentlichen Whois-Register steht und damit für jeden einsehbar war? Doppel-Ups.

Nun aufgestachelt kontaktierte ich den Support, gleichzeitig informierte ich mich bei Google über die Masche und fand einige Negativberichte über enom.com, die aber nicht Enom selbst betrafen sondern Scammer, die unter deren Flagge Kundendaten phishten. Zumindest der Laden selbst schien also sauber zu sein, gehörte zudem zu GoDaddy (trotz doofem Namen der grössten US-Registrar) und ich hatte ja keine Benutzerdaten herausgegeben oder fremde Links angeklickt, das war einerseits beruhigend... aber wie konnte dann überhaupt ein Transfer ausgelöst werden? Selbst wenn der kryptische Link irgendwie präpariert gewesen wäre, so war ich zu dem Zeitpunkt ja nicht im Admin-Panel eingeloggt und er hätte überhaupt nichts bewirken können/dürfen. Trotzdem war Fakt, dass direkt nach dem Anklicken der Transfer gestartet wurde. Plötzlich kam mir noch eine, äusserst beunruhigende Möglichkeit in den Sinn: Was, wenn Keyweb selbst gehackt wurde? Andererseits, wozu brauchte man dann meine Mithilfe bzw. warum wurde ich überhaupt informiert und nicht gleich erpresst? Selbst wenn eine Art Bestätigung erforderlich gewesen wäre, hätte das alles ohne mein Zutun ablaufen können.

Es ergab irgendwie alles keinen Sinn, und die Situation blieb unklar, aber nicht zu handeln hätte ich als fahrlässig empfunden. Also schrieb ich sofort Enom und auch Keyweb an, um den Transfer zu stoppen (so ein Domain-Transfer dauert zum Glück einige Stunden bis Tage). Mein "Notfall"-Ticket wurde auch sofort an die zuständige Abteilung weitergeleitet, doch da versauerte die Anfrage erst einmal über Nacht. Schlafen konnte ich nicht wirklich gut und hatte auch immer die Zeitlimits im Kopf, die bei so einem Transfer gelten. Noch war Yhoko.com "im Transfer" und noch war ein Widerspruch möglich, aber wenn der Support den Termin verschläft...

Schliesslich, am nächsten Tag, die gute Nachricht: Der Support bestätigte, das alles seine Richtigkeit hat, und Yhoko.com war auch wieder im Admin-Panel aufgetaucht. Wohlgemerkt nur in der Liste meiner Domains, weder im CNO noch im DENIC-Bereich – aber das wird wohl auch nachgeholt. Es stellt sich also heraus, dass Keyweb tatsächlich...
  • unpersonalisierte und automatisierte E-Mails
  • von keyspecial.de statt normalerweise keyweb.de
  • an meine Whois-Adresse statt wie sonst die interne Kontaktadresse
  • mit Tippfehlern und ausgeschriebenen Umlauten
  • mit kryptischen Link-Bestätigungen
  • und konsequent doppelt verschickt.
  • Und das alles für den Anfang und zufälligerweise nur für Yhoko.com.
Anders gesagt, die Firma erfüllt offiziell sämtliche Anzeichen für Scam-Mails, mit dem letzten Punkt sogar noch mehr. Ganz ehrlich, ich wette (und hoffe) sie haben damit tausende von Admins aufgestachelt und ernten nun den Shitstorm bzw. Supportsturm dafür. Wird wohl mal Zeit, den Anbieter zu wechseln...

Yhoko


Kommentar schreiben

Name:
E-Mail:
Beitragstext: