Betrügerische Websites / Fakeseiten erkennen

Bei Tippfehlern oder Popups kommt es oft zu einer ungewollten Weiterleitung, auch Redirection genannt, auf Websites bei denen Nutzer oft nicht wissen- echt, oder nicht? Meist sind die Seiten vom Design so gehalten, wie ihre echten Vorbilder. Das betrifft nicht nur Fakeseiten die angeblich von Microsoft sind, der Redmonder Konzern ist aber ein beliebtes Vorbild für Kopien. Die Echtheit lässt sich oft aber mit einfach Mitteln herausfinden.

Als Beispiel für so eine Schmierenkampagne ziehe ich mal die (Sub)Domain www.microsoft.com-ausgewaehlter-gewinner.online heran. Wenn du auf diese Seite geleitet wirst, sieht sie etwa so aus:

fakeseiten

Das Script des Popups prüft anhand der auslesbaren Besucherdaten (die Angaben die du mitlieferst kannst du zum Beispiel hier prüfen: http://www.dnstools.ch/wie-ist-meine-ip.html) deinen ISP (Internet Anbieter) und versucht dann im Popup Script damit einen kleinen Psychotrick- Nähe, Wiedererkennungswert.

Hast du einen anderen Anbieter, steht eben der da. Bewegt man nun aber seine grauen Zellen, sollten die Alarmglocken schon hier läuten: Warum verlost dein ISP über eine Microsoft Seite Produkte? Wie passen iPhones, Androids und die PlayStation zu Microsoft?

Anschließend Psychotrick Nummer 2: Klicke schnell, oder es ist weg. Nicht denken, klicken! Bevor ein anderer schneller klickt als du, um dir deine Microsoft iDroid Playstation wegzunehmen. Im grauen Balken über der höchst komplexen Frage läuft dazu dann noch der Countdown. In 5 Minuten ist alles zu spät, du wirst ohne iPhone sterben!

Das erst mal zu den ersten visuellen Merkmalen. Kommen wir mal zur genauen Hinterfragung.

Eine Domain lautet zB. http://microsoft.com, dort kann der Domänenbesitzer Subdomains erstellen, zB. http://answers.microsoft.com, die Subdomain answers.microsoft.com steht immer noch vor microsoft.com. Die Domäne baut sich dann hierarchisch so auf:

Top Level: com

Domain: microsoft

Subdomain: answers

Achte auf die gesetzten Punkte in der Domain, die sind der Trenner.

Am Beispiel dieser Fakeseiten  ist der in Wirklichkeit com-ausgewaehlter-gewinner.online. Die Betrüger haben also bewusst das com in der Domain vorgestellt, um dann bewusst jeden x-beliebigen Konzern vortäuschen zu können. In diesem Fall ist der Aufbau also:

Top Level: online

Domain: com-ausgewaehlter-gewinner

Subdomain: microsoft

Die Domain com-ausgewaehlter-gewinner.online wird nur für Betrug genutzt und hat nur Inhalte auf Subdomains, denn sie ist nicht erreichbar. Das sie aber einen Besitzer hat, kann man solche Fakeseiten mit einer einfachen Whois- Abfrage prüfen:

Domain Name: COM-AUSGEWAEHLTER-GEWINNER.ONLINE
Domain ID: D11164509-CNIC
WHOIS Server: whois.namecheap.com
Referral URL:
Updated Date: 2015-11-11T12:15:30.0Z
Creation Date: 2015-10-22T03:22:53.0Z
Registry Expiry Date: 2016-10-22T23:59:59.0Z
Sponsoring Registrar: Namecheap
Sponsoring Registrar IANA ID: 1068
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant ID: G1IJBZ0VE1W5QFIX
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code: 00000
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: 1c33a27e073d4bac9d9b4a68bd0e90f8.protect@whoisguard.com
Admin ID: Q4FXDXA3JOISAYRZ
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code: 00000
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: 1c33a27e073d4bac9d9b4a68bd0e90f8.protect@whoisguard.com
Tech ID: EUIXSFQJDXKIJ1W1
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code: 00000
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext:
Tech Fax: +51.17057182
Tech Fax Ext:
Tech Email: 1c33a27e073d4bac9d9b4a68bd0e90f8.protect@whoisguard.com
Name Server: REZA.NS.CLOUDFLARE.COM
Name Server: TIM.NS.CLOUDFLARE.COM
DNSSEC: unsigned
Billing ID: QC1UEX2KGAYGU5XS
Billing Name: WhoisGuard Protected
Billing Organization: WhoisGuard, Inc.
Billing Street: P.O. Box 0823-03411
Billing City: Panama
Billing State/Province: Panama
Billing Postal Code: 00000
Billing Country: PA
Billing Phone: +507.8365503
Billing Phone Ext:
Billing Fax: +51.17057182
Billing Fax Ext:
Billing Email: 1c33a27e073d4bac9d9b4a68bd0e90f8.protect@whoisguard.com
>>> Last update of WHOIS database: 2015-12-26T12:30:49.0Z <<<

Auf Betrug weisen hier bei diesen Fakeseiten Faktoren wie der Registrar Namecheap (Ein „Service“ zur Verschleierung des echten Besitzers) und der Sitz Panama hin. Domaininhaber mit anderen Endungen als .de kannst du zum Beispiel hier abfragen http://whois.domaintools.com. Prüfungen der Besitzer .de Domänen kannst du auf http://denic.de vornehmen.

 

1 Kommentar

  1. Pingback: People paid $1 to see how many people paid $1

Kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.