E-Mail-Betrug: Domaininhaberschaft muss erneut bestätigt werden

Unerwartete E-Mails, die zu dringendem Handeln auffordern, sollten stets mit Vorsicht behandelt werden. Cyberkriminelle geben sich häufig als vertrauenswürdige Organisationen und Aufsichtsbehörden aus, um ein falsches Gefühl der Dringlichkeit zu erzeugen und die Empfänger zu übereilten Entscheidungen zu drängen. E-Mails mit dem Betreff „Domain Ownership Revalidation Required“ sind ein Paradebeispiel für diese Taktik. Sicherheitsforscher haben diese Nachrichten als Teil einer Phishing-Kampagne identifiziert, die darauf abzielt, Zugangsdaten für E-Mail-Konten zu stehlen. Wichtig: Diese E-Mails stammen in keiner Verbindung zu einem legitimen Unternehmen, einer Organisation, einem Domain-Registrar oder einer Aufsichtsbehörde.

Getarnt als offizielle Konformitätsmitteilung

Die betrügerischen E-Mails sind so gestaltet, dass sie offiziellen Benachrichtigungen zur Domain-Konformität ähneln. Die Empfänger werden darüber informiert, dass ihre Domaininhaberschaft in den letzten 90 Tagen nicht erneut bestätigt wurde und dass Maßnahmen erforderlich sind, um die angeblichen Vorschriften einzuhalten. In den Nachrichten wird auf „ICANN-Regelung 3.18“ verwiesen und gewarnt, dass die Nichtbeachtung des Verifizierungsprozesses innerhalb von sieben Tagen zur Sperrung der E-Mail-Dienste (eingehend und ausgehend) führen wird.

Die in der E-Mail verwendete Sprache zielt darauf ab, Besorgnis und Dringlichkeit zu erzeugen. Durch die Drohung mit Serviceausfällen versuchen die Betrüger, die Empfänger zu sofortigem Handeln zu bewegen, ohne die Echtheit der Nachricht zu überprüfen.

Der gefälschte Revalidierungsprozess

Im Zentrum des Betrugs steht eine Schaltfläche mit der typischen Bezeichnung „Domain jetzt neu validieren“. Durch Klicken auf diese Schaltfläche werden die Benutzer auf eine betrügerische Webmail-Anmeldeseite weitergeleitet, die sich als legitimes E-Mail-Dienstportal ausgibt.

Die Phishing-Seite imitiert die Anmeldeseite von Roundcube Webmail und wird über Googles Firebase Storage-Plattform gehostet. Um die Seite überzeugender wirken zu lassen, ist die E-Mail-Adresse des Opfers möglicherweise bereits automatisch ausgefüllt. Anschließend werden die Nutzer aufgefordert, ihr Passwort einzugeben, um mit dem vermeintlichen Verifizierungsprozess fortzufahren.

In Wirklichkeit dient die Seite nur einem Zweck: dem Sammeln von Anmeldeinformationen und deren direkter Übermittlung an die Angreifer.

Was passiert, wenn Zugangsdaten gestohlen werden?

Kompromittierte E-Mail-Konten können Cyberkriminellen Zugang zu einer beträchtlichen Menge an persönlichen und geschäftlichen Daten verschaffen. Da E-Mail-Konten häufig mit zahlreichen Online-Diensten verknüpft sind, können Angreifer gestohlene Zugangsdaten nutzen, um ihren Zugriff noch weiter auszudehnen.

Sobald Kriminelle die Kontrolle über ein E-Mail-Konto erlangt haben, können sie Folgendes tun:

• Lesen Sie vertrauliche Nachrichten und sensible Kommunikation.
• Passwörter für verknüpfte Online-Konten zurücksetzen.
• Geben Sie sich in der Kommunikation mit Kollegen, Kunden, Freunden oder Familienmitgliedern als das Opfer aus.

• Versenden Sie zusätzliche Phishing-E-Mails von einem vertrauenswürdigen Konto.

• Sammeln von persönlichen Daten zum Zweck des Identitätsdiebstahls oder des Finanzbetrugs.

Da E-Mail-Konten häufig als primäre Wiederherstellungsmethode für andere Dienste dienen, kann ein einziges kompromittiertes Postfach zur Übernahme mehrerer Konten führen.

Warum die Behauptungen falsch sind

Mehrere Indikatoren belegen den betrügerischen Charakter dieser E-Mails. Die Nachrichten versuchen, die Autorität der Internet Corporation for Assigned Names and Numbers (ICANN) auszunutzen, indem sie fälschlicherweise suggerieren, dass die Domain-Revalidierung durch direkte E-Mail-Benachrichtigungen durchgesetzt wird.

Tatsächlich kontaktiert ICANN keine einzelnen Nutzer unaufgefordert per Nachricht, um eine Domain-Revalidierung zu fordern. Darüber hinaus verlangt keine seriöse Domain-Verwalterin oder kein vertrauenswürdiger Dienstanbieter von Nutzern die Bestätigung ihrer Anmeldedaten über einen Link in einer unerwarteten E-Mail.

Der in diesen Nachrichten häufig angegebene Absendername „Global Domain Validation Center“ steht in keinerlei Verbindung zu ICANN, akkreditierten Registraren oder einer anderen legitimen Domainverwaltungsorganisation. Das gesamte Szenario ist erfunden, um Glaubwürdigkeit vorzutäuschen und die Empfänger zu täuschen.

Die umfassendere Bedrohung jenseits des Diebstahls von Zugangsdaten

Das Hauptziel dieser Kampagne ist zwar das Sammeln von Zugangsdaten, doch werden ähnliche Betrugs-E-Mails häufig auch zur Verbreitung von Schadsoftware eingesetzt. Cyberkriminelle nutzen häufig E-Mail-basierte Angriffe, um potenziellen Opfern Schadsoftware zuzuspielen.

E-Mails mit Malware-Bezug können infizierte Anhänge oder Links zu schädlichen Webseiten enthalten. Häufig verwendete Dateitypen sind ausführbare Dateien, PDF-Dokumente, Archive wie ZIP- oder RAR-Dateien, Skripte und Office-Dokumente mit Schadcode. In manchen Fällen werden Benutzer aufgefordert, Makros oder andere Funktionen zu aktivieren, die den Infektionsprozess auslösen.

Die meisten Malware-Infektionen per E-Mail erfordern eine gewisse Interaktion des Nutzers, beispielsweise das Öffnen eines Anhangs, das Starten einer heruntergeladenen Datei, das Klicken auf einen schädlichen Link oder das Aktivieren eingebetteter Inhalte. Daher sind Vorsicht und Überprüfung beim Umgang mit unerwarteten Nachrichten weiterhin unerlässlich.

Wie man auf diese E-Mails antwortet

Empfänger einer E-Mail mit dem Betreff „Erneute Bestätigung der Domaininhaberschaft erforderlich“ sollten jegliche Interaktion mit der Nachricht vermeiden. Links sollten nicht angeklickt, Anhänge nicht geöffnet und persönliche Daten niemals über Seiten übermittelt werden, die über unerwünschte E-Mails erreichbar sind.

Am sichersten ist es, die E-Mail sofort zu löschen. Wer seine Zugangsdaten bereits auf der Phishing-Seite eingegeben hat, sollte umgehend sein E-Mail-Passwort ändern, die Passwörter aller Konten aktualisieren, die dieselben Zugangsdaten verwenden, und nach Möglichkeit die Zwei-Faktor-Authentifizierung aktivieren.

Schlussbetrachtung

Die E-Mail-Kampagne „Domaininhaberschaft erneute Validierung erforderlich“ ist ein Phishing-Betrug, der sich als ICANN-bezogene Compliance-Mitteilung tarnt. Ziel ist es, Empfänger durch eine gefälschte Webmail-Anmeldeseite zur Preisgabe ihrer E-Mail-Zugangsdaten zu verleiten. Die Nachrichten nutzen Angst, Dringlichkeit und falsche Behauptungen über regulatorische Vorgaben, um die Opfer zu Handlungen ohne ordnungsgemäße Überprüfung zu manipulieren.

Um sensible Daten zu schützen, ist es unerlässlich zu verstehen, wie diese Betrugsmaschen funktionieren. Indem Nutzer unerwarteten Anfragen skeptisch begegnen, Behauptungen über offizielle Kanäle überprüfen und Links in unerwünschten E-Mails meiden, können sie das Risiko, Opfer von Zugangsdatendiebstahl und anderen Cyberbedrohungen zu werden, deutlich reduzieren.