Wie man fake Websites und Online-Shops erkennt — Teil Zwei: Wer verbirgt sich hinter einer Domain?

Wir haben den ersten Teil mit der Erwähnung von «whois» beendet.

Whois (auf Deutsch «wer ist») ist ein Protokoll, mit dem Internet-Domains und deren Eigentümer, Adresse usw. (den «Registrant», also die registrierende Person) abgefragt werden können.

Frage: Bringt es etwas, wenn du weisst, wer Eigentümer einer Domain ist? Unter Umständen schon; denn das ultimative Ziel sollte sein, nicht in die Falle von Betrügern zu tappen. Der Verdacht auf Betrug liegt schon im Äther, aber du möchtest Fakten sammeln, dich auf Spurensuche gegeben, um dein ungutes Gefühl entweder zu bestätigen und fallenzulassen.

Ein vollständiges Bild über eine Website, ihre Redlichkeit oder Betrugsabsichten, ergibt sich nur aus vielen Puzzlestücken. Die Tipps von Verbraucherschutzorganisationen immer zuerst auf Impressum, AGB (bei Shops) zu schauen, sollten immer vor der Abklärung der Domain kommen.

Bei Shops und Business-Websites (besonders im Bereich Finanzanlagen): immer Handelsregistereintrag überprüfen über Zefix oder kantonale Handelsregister-Website

Falls du von einer Privatperson, was kaufen möchtest, empfehlen wir die entsprechenden Portale dafür. Dort bekommst du auch einen gewissen Käuferschutz und die Faustregel aus unserer Sicht lautet immer: wenn immer möglich bar bezahlen, sich nicht auf dubiose Zahlungsmethoden einlassen.

Wir besprechen hier professionelle Websites, also Sites, die dir professionelle Dienstleistungen oder Produkte anbieten wollen. Dazu zählen wir Shops aber auch Sites, die z.B. Finanzanlagen verkaufen wollen, gerade weil sich im Gebiet Geldanlegen sehr viele Betrüger tummeln.

Hier gleich ein Beispiel, das uns aus tatsächlichen Erfahrungen zugetragen wurde: eine Firma mit ch-Domain und Adresse in Basel bietet eine lukrative Anlagemöglichkeit. Enorme Rendite, was sonst. Die Faustregel ist immer die gleiche: bei exorbitanten Versprechungen muss ganz besonders genau hingeschaut werden.

Hier ist bereits das erste Problem: die enorme Rendite blendet so enorm, vermindert das kritische Denken und Evaluieren, und schon glaubt man den Infos im Impressum, das professionell daherkommt, jedoch einen Mangel hat:

Es gibt keinen Hinweis zu einem Handelsregistereintrag. Gerade für eine Firma, die vollmundige Versprechungen abgibt und erst noch im Finanzbereich arbeitet, ist das eine sträfliche Unterlassung.

Wenn der Hinweis fehlt, muss man selbst nachzuschauen. Heutzutage ist das einfach. Auf die Website des Zentralen Firmenindex der Schweizerischen Eidgenossenschaft gehen und den Firmennamen eintippen:

https://www.zefix.ch/de/search/entity/welcome

Man kann auch über das jeweils kantonale Handelsregister eine Firma überprüfen, z.B. uns selber, die Arteeo GmbH in Zürich.

Der direkte Link: https://zh.chregister.ch/cr-portal/auszug/auszug.xhtml?uid=CHE-313.807.947

Der Handelsregistereintrag kann nicht zu 100 % vor Betrug schützen. Es tummeln sich im Finanzbereich viele Firmen, die im HR vorhanden sind. Aber es sortiert schon mal die offensichtlichen, zumeist ausländischen Betrüger aus, die wohl die grosse Masse an möglichen Betrugsfallen ausmacht. Auch mit HR-Eintrag gilt die Regel aus Teil eins: wenn etwas zu schön tönt, um wahr zu sein, dann ist es wohl erfunden.

Bei ausländischen Anbietern, die keinen Registereintrag oder einen obskuren ausländischen haben: Hier kann Online-Spurensuche mit «whois» helfen

Falls das Angebot verführerisch klingt, aber leider in der Schweiz nicht erhältlich ist, die Website eine Form von Impressum hat, aber nicht wirklich einen Handelsregistereintrag (gibt es auch im Ausland), und wir trotzdem (leider) interessiert bleiben, können wir mal nachschauen, wo die Firmen-Domain registriert ist.

Leider gibt es bei der der «whois»-Abfrage gleich ein Problem: in vielen Ländern werden schon lange keinen Daten über registrierende Personen und Firmen in den Abfrageresultaten angezeigt. In der Schweiz ist das seit 2021 so, in Deutschland noch früher.

Hier was nic.ch, die Schweizer Stelle verantwortlich für ch-Domains, schreibt:

Bei der Abfrage von .ch- und .li-Domain-Namen werden seit 1. Januar 2021 keine Personendaten mehr angezeigt. Zugang zu den Personendaten der Halterin oder des Halters eines Domain-Namens wird nur noch auf Gesuch gewährt, sofern sich die gesuchstellende Person oder Organisation authentifiziert und ein überwiegendes legitimes Interesse an den angefragten Daten glaubhaft macht.

https://www.nic.ch/de/whois/domaininfo/

Leider können wir nicht mehr so viele Informationen aus einem «whois»-Eintrag erhalten wie vor Jahrzehnten. Selbst wenn Länder wie die Schweiz, Deutschland und andere private Informationen wie Name und Adresse nicht verbergen würden, gibt es sogenannte «domain privacy»-Dienste, die bereits seit 2001 sozusagen treuhänderisch für dich eine Domain halten. Das bedeutet, deine persönlichen Details wie z.B. Adresse werden nie veröffentlicht.

Vor ein paar Jahren noch verlangten «Domain Registrars» für diesen Schutz eine Zusatzgebühr zur normalen Domain-Gebühr. Heute ist das meistens kostenlos zu haben. Unten ein Beispiel von «namecheap.com», einem der grossen amerikanischen Domain-Registrierdienste.

Wir haben etwas recherchiert, wie sich die Fachwelt zum Thema stellt: Natürlich sollte die «whois»-Datenbank vor Missbrauch geschützt werden, also die Besitzerin einer Domain soll nicht nicht mit Phishing-Mails bombardiert werden. Wir finden, als Privatperson sollte man klar einen solchen Privatsphärenschutz bei Domains nutzen, aber für eine Firma hat er keinen Platz.

ICANN, die sozusagen höchste Überwachsstelle (eine gemeinnützige Organisation in den USA) aller Domain-Namen, machte 2010 eine Studie zu Missbrauch der «whois»-Datenbank. Die Erkenntnis war, dass es immer mehr Betrüger gäbe, die registrierte Domains hinter einem Privatsphärenschutz verstecken würden, um die Domain für «Phishing» und andere betrügerische Aktionen zu nutzen.

Wir haben oben erwähnt, dass die Schweiz beim ch-Domain keine Domain-Eigentümerinfos mehr veröffentlicht. Andere Länder, wie z.B. Grossbritannien, erlauben es nur Privatpersonen die eigenen Infos zu verbergen, Firmen sind davon ausgenommen.

In der Niederlande hat SIDN, der offizielle «Registrar» des nl-Domains, im Oktober dieses Jahres entschieden, die Benutzung von «proxy»-Diensten für die Registrierung von Domains nicht mehr länger zu erlauben.

Sie sagen, es sei sowieso überflüssig geworden, weil seit 2010 Registrierinfos von Privatpersonen nicht mehr öffentlich angezeigt werden. Es gibt auch einen «Opt-Out»-Dienst, um bei besonderen Umständen private Informationen schützen zu können. Der Grund solche Drittdienste nicht mehr zu erlauben, wird damit begründet, dass es einfach aus ihrer Sicht zu viel Domain-Missbrauch gab. Sie sagen klar, dass nur wenn wir wissen, wer sich tatsächlich hinter einer Domain verbirgt, können wir effektiv Missbrauch stoppen. Hier der Link:

https://www.sidn.nl/en/news-and-blogs/privacy-and-proxy-services-prohibited-from-nl-after-1-october

Unser Fazit: eine seriöse Firma versteckt ihre Domain wenn immer möglich nicht hinter einem Domain-Privacy-Service; kann sie es nicht, bietet sie ein solides und nachvollziehbares Impressum

Ein Anbieter in der Schweiz muss zwangsläufig mit einem ausführlichen Impressum trumpfen, d.h. mit einer überprüfbaren Adresse (am meisten gleich mit Online-Karte), Link zum HR-Eintrag, Link zu lokalen Telefonverzeichnissen usw.

Ein ausländischer Anbieter, der die Möglichkeit hat, seine Domain offenzulegen, beispielsweise bei den immer noch populären «.com»-Domains und vielen anderen, die nicht direkt mit einem Land identifiziert werden, sollte das tun.

Ein paar «whois»-Beispiele zum Vergleich: Schweiz vs. «.com»

Als Beispiel nehmen wir eine international agierende Firma: die von der UBS übernommene Credit Suisse. Gewisse Informationen über die Domain der Credit Suisse gibt es bei der Schweizer Registrierungsstelle für Domains, nic.ch, unter der Adresse:

https://www.nic.ch/whois/

Wie bereits erwähnt, sehen wir die Inhaberin der Domain nicht. Wir sehen nur den «Registrar», also die Firma, die von der Credit Suisse beauftragt wurde, die Domain zu registrieren. Deren Name erscheint als einziger Firmenname.

Interessant, so finden wir, sind die «Name Servers», die für die Erreichbarkeit der Website zuständig sind, denn sie tun nichts anderes, als bei einer Browseranfrage den eingegeben Domain-Namen «credit-suisse.ch» in die entsprechende Internet-Protocol-Nummer umzuwandeln. Die Domain-Namen, die wir sehen, sind eigentlich nur für uns Menschen gedacht. Maschinen, d.h. Webserver funktionieren jedoch mit IP-Nummern. In diesem Fall können wir ersehen, dass die DNS, die Domain-Name-Servers, auf die Domain credit-suisse.com lauten, also nicht in die Länderdomain .ch gehören.

Schauen wir mal den gleichen Eintrag beim «whois» von domaintools.com an. Geben wir dort «credit-suisse.ch» ein (direktes Link: https://whois.domaintools.com/credit-suisse.ch) erhalten wir folgende Informationen:

Wir haben die gleichen DNS-Informationen erhalten: vier Server mit dem Präfix dns1 bis dns4, die darum besorgt sind, alle Anfragen mit der Eingabe credit-suisse.ch auf den korrekten Server zu leiten. Warum hat es hier vier DNS? Gute Frage. Aus der Praxis wissen wir, dass Server technische Probleme haben können, glücklicherweise nicht oft. Das gilt für Webserver aber auch für DNS.

Was hier domaintools zusätzlich an Informationen bietet, sind «IP Address» und«IP Location». Freundlicherweise wird gleich die Landesflagge Schweiz angezeigt. Zusätzlich zeigt auch die ASN, die «autonomous system number», eine Art Internet-Routing-Nummer, ebenfalls die Schweizer Flagge. Interessant ist auch die Zusatzinformation bei «IP Address», dass auf jenem Server aktuell über 1’100 Websites gehostet sind. Es gibt online weitere Möglichkeiten, eine Liste all dieser Websites einzusehen.

Ohne die IP-Nummer weiter überprüfen (dazu gibt es weitere Online-Tools) zu müssen, wissen wir also, dass die Website der Credit Suisse AG, Schweiz, in der Schweiz gehostet ist.

Gehen wir nun rüber zu credit-suisse.com. Wir können dazu den Direktlink nutzen:

https://whois.domaintools.com/credit-suisse.com

Wir sehen, dass die Website in Seattle, Bundesstaat Washington gehostet ist, und zwar von einem Dinosaurier der frühen Website-Zeit: Akamai, die eine interessante Geschichte aufweisen können: https://www.akamai.com/company/company-history.

Was hier heraussticht, ist dass credit-suisse.com auf einem einzelnen physischen Server gehostet ist. Schauen wir uns die untere Hälfte des Eintrags an:

Credit Suisse benützt keinen «Privacy Protection»-Dienst und wird bei icann.org (der «whois»-Datenbank) als «Registrant Organization», also die Domain-registrierende Organisation gelistet. Wenn wir die Web-Adresse credit-suisse.com besuchen, wissen wir, dass die Credit Suisse Group AG in der Schweiz dahintersteckt, aber einfach ihr .com-Domain.

Es sind genau diese Infos, die wir bei einer seriösen Firma sehen wollen, die Inhaberin einer «com», «net», «org» oder vielen weiteren «top level domains» ist. Wie oben erwähnt: für die Schweizer und viele andere Länderdomains kann man die Inhaberin der Domain nicht sehen, aber wenigstens zeigt domaintools an, wo die Website gehostet ist.

Bonus-Info «IP-Location»: Wo genau ist die Website gehostet? Mögliche nützliche Info, um Website-Lügen zu entlarven

Nehmen wir an, wir würden behaupten, dass wir in der Schweiz ansässig sind, auch unsere Website sei in der Schweiz gehostet. Du hast aber Zweifel. Da nic.ch, wie wir gesehen haben, nicht anzeigt, wo eine Domain gehostet ist, benützen wir domaintools.com unter dem Link https://whois.domaintools.com/arteeo.ch, um sofort bestätigt zu bekommen, dass unsere Behauptung stimmt. Die einzige Abweichung im Eintrag unten ist, dass wir nicht die DNS von Metanet in Zürich anwenden, sondern jene von Cloudflare, einem populären CDN, cloud delivery network, das die Website mit cleverem Caching schneller an den Browser ausgeben kann.

Versteckte Domain, verstecke E-Mail-Adresse – Missbrauch von privaten, verschlüsselten E-Mail-Adressen

Zum Abschluss erwähnen wir noch einen Fall, der uns zugetragen wurde. Die Website hatte sich bereits durch fehlendes Impressum, Adresse und weitere Infos disqualifiziert. Die Domain und auch die Website war bei einem der ganz grossen Domain-Registrars in den USA registriert und gleich auch noch gehostet.

Durch Internet-Forensik fanden wir heraus, dass die Website bzw. die angebliche Organisation, die sie betrieb, auch ein LinkedIn-Profil aufwies. Dort wurde eine exakte Adresse in einem nicht-europäischen Land gelistet. Selbstverständlich war keine Organisation unter jener Adresse gelistet. Sie war rein erfunden. Interessanterweise fanden wir auf der Website voreingestellt als Sprache Chinesisch (das HTML lang attribute: https://www.w3schools.com/tags/att_lang.asp). Fazit: eine ganze Reihe von Ungereihmheiten.

Am Schluss wollten wir zusätzlich die E-Mail-Adresse überprüfen, die Vertreter jener Organisation benützen. Vor allem wollten wir wissen, von wo, mit welcher IP-Nummer, die E-Mail verschickt wurde. Wir können es nicht verhehlen: wir waren nicht überrascht auf einen «private email» Dienst zu stossen, ein verschlüsselter, privater Mail-Dienst, der zufälligerweise vom gleichen Domain-Registrar und Webhoster betrieben wurde.

Falls du Zweifel hast an einer E-Mail, von wem und von wo sie gesendet wurde, wir können diese kurze Anleitung wärmstens empfehlen: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/so-lesen-sie-den-emailheader-6077.

Wir hatten es also mit einer Organisation zu tun, die auf keinen Fall schlüssige überprüfbare Informationen über sich preisgeben wollte, die es vorzog sich in der Anonymität einer Internet-Grossfirma sicher zu fühlen. Zu viele «red flags», wie man so schön sagt.

Falls du Fragen zu diesem Beitrag hast, Feedback geben willst oder aus deinen Erfahrungen schreiben willst, schreib uns unten in den Kommentaren. Danke!