Der Hoster GoDaddy scheint nun endlich durchzugreifen und hat gleich 15.000 Subdomains abgeschaltet, die für Betrugsversuche (Scam) genutzt wurden. Betrüger hatten diese auf kompromittierten Kundenkonten eingerichtet.
Anzeige
GoDaddy ist ein Domain-Registrar und Web-Hoster, der zudem noch SSL-Zertifikate (der drittgrößte Anbieter) ausgibt. Inzwischen ist diese Firmengruppe auch der Eigentümer von HostEurope (HE) – wenn HE in Europa auch eigenständig arbeitet. So viel als Vorbemerkung. Mir war GoDaddy vor allem ein Begriff, weil viele 'halbseidene' Domains oder Betrugsseiten bei diesem Anbieter gehostet waren. Versuchte man eine Abuse-Meldung an GoDaddy zu schicken, versandete diese Meldung regelmäßig.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Schatten-Netzwerk an Subdomains
Jetzt lese ich bei ZDNet.com, dass GoDaddy 15.000 Subdomains, die für Online-Betrug verwendet wurden, abgeschaltet habe. Die Subdomains wurden als Teil einer Spam-Operation verwendet, die Benutzer auf Webseiten lockte, die gefälschte Produkte verkaufen.
Anzeige
Sicherheitsforscher Jeff White von Palo Alto Networks stieß vor fast zwei Jahren zum ersten Mal auf das riesige Netzwerk von Schatten-Domains, die von den Betrügern betrieben wurde. Seitdem sammelt der Forscher Spam-E-Mails, die die Betrüger in Scharen versenden, und indiziert die Subdomain-URLs, die diese gefälschten Produkte bewerben. Anfang des Jahres teilte Weiß seine Ergebnisse GoDaddy mit, wo die meisten dieser Domains gehostet wurden.
Gehackte GoDaddy Kundenkonten
Diese Subdomains wurden wohl über kompromittierte Konten von GoDaddy-Kunden durch die Betrüger – ohne Wissen der Nutzer – angelegt. Laut eigener Untersuchung glaubt GoDaddy, dass die Betrügergruppe in den letzten Jahren entweder Phishing oder Credential Stuffing-Angriffe eingesetzt hat, um Zugang zu den Konten ihrer Kunden zu erhalten.
Sobald die Betrüger Zugang zu GoDaddy-Konten erhalten haben, richteten sie eine Subdomain für den Betrug auf den legitimen Websites der Kunden an. Dann wurde die Schatten-Domain in E-Mail-Spam-Kampagnen genutzt, um gutgläubige Kunden anzulocken.
Nachdem GoDaddy im vergangenen Monat die 15.000 Subdomains, die auf seinen Servern gehostet werden, entfernt hat, wurden auch Passwörter für kompromittierte Konten vorsorglich zurückgesetzt. Die betroffenen Benutzer wurden benachrichtigt, damit sie beurteilen können, ob die Eindringlinge Malware in kompromittierten Konten hinterlassen haben. Der Sicherheitsforscher White hat seine Erkenntnisse in diesem Beitrag veröffentlicht.
Anzeige
Das mit den "halbseidenen" Domains bei GoDaddy. Diese Erfahrung habe ich auch schon oft machen müssen. Gut, dass Godaddy nun zumindest mal ein wenig dagegen vorgeht. Wobei das natürlich auch nur ein Tropfen auf den heissen Stein sein dürfte.