SEO für Fake Shops: Auf mehr als 16.000 Websites mit abgelaufener de-Domain wird abgezockt
Eine OMR exklusiv vorliegende Analyse lässt erahnen, wie groß die Betrugsmasche mit abgelaufenen Domains wirklich ist
- Was passiert, wenn Parteien, Verbände und Organisation ihre Domains auslaufen lassen
- Kein Einzelfall, sondern systematischer Betrug?
- So einfach lässt sich ein Fake-Shop erkennen
- Weshalb können Fake-Shop-Betreiber ihre Domains registrieren?
Die teure Reisetasche, die man sich schon so lange wünscht, gibt es online zu einem unschlagbaren Preis. Der Shop ist zwar unbekannt, aber was soll schon schiefgehen? So ähnlich denken viele Schnäppchenjäger, bezahlen per Vorkasse – und fallen damit immer wieder auf eine beliebte Betrugsmasche herein. Hoch im Kurs stehen bei den Fake-Shop-Betreibern Expired Domains, also Website-Adressen, die mal beispielsweise Vereinen, Parteien oder Arzt-Praxen gehört haben, dann aber zum Verkauf standen. OMR erklärt, weshalb gerade diese Seiten für die Betrüger so attraktiv sind und wertet eine exklusive Analyse aus, der zufolge aktuell rund 16.000 solcher Abzock-Domains mit .de-Endung online sein sollen.
Im März dieses Jahres feierte die SPD in Auersmacher, einem kleinen Ortsteil der Gemeinde Kleinblittersdorf im Süden vom Saarland, 100 Jahre Sozialdemokratie. Es gab Ehrungen zu besonders langer Parteimitgliedschaft, eine Festrede und zum Abschluss natürlich eine Party. Ob die Sozis im Jubiläumsrausch auch über das neue Geschäftsmodell gesprochen haben?
Auf der Webseite der Partei spd-auersmacher.de finden Besucher seit Ende 2018 nämlich keine Informationen mehr zu Kommunalwahlen & Co., sondern Angebote für Baby- und Kinder-Autositze. Besonders günstig ist aktuell beispielsweise ein Kinderschalensitz der Marke Petex. Auch eine Babyschale von Doona ist stark rabattiert. Und Sonnenblenden für die Autofenster erst – ein echtes Schnäppchen.
Insgesamt könnte man meinen, dass die SPD Auersmacher ein wirklich solides Online-Geschäft aufgebaut hat. Ist aber natürlich alles Quatsch. Laut Einträgen der Wayback Machine web.archive.org waren zuletzt im März 2018 die echten Inhalte der Sozialdemokraten auf der Homepage zu finden (auch damals seit 2014 nicht mehr aktualisiert, aber das ist ein anderes Thema). Irgendwann im Laufe des Jahres hat die Partei die Laufzeit der Domain dann nicht verlängert – seitdem ist sie ganz offensichtlich im Besitz von Fakeshop-Betreibern.
Was passiert, wenn Parteien, Verbände und Organisation ihre Domains auslaufen lassen
Die SPD Auersmacher ist damit natürlich nicht alleine und steht nur beispielhaft für ein offenbar immer stärker zunehmendes Phänomen. Auch die CDU hat es erwischt – auf cdu-bad-freienwalde.de werden jetzt günstige T-Shirts von Hugo Boss angeboten – häufig trifft es neben Domains von Parteien auf Stadt- oder Kreisebene die abgelaufenen Seiten von Firmen, Vereinen und Verbänden. So gibt es auf bege-gmbh.de beispielsweise angeblich günstige Taschen von Liebeskind, unter angelsportverein-salzwedel.de Klamotten. Onlinewarnungen.de versucht, in einer ständig aktualisierten Auflistungen solcher Fake-Shops Nutzer zu warnen. Eine vollständige Übersicht dürfte aber kaum zu realisieren sein. Denn laut einer Analyse von der Unternehmensberatungen für digitale Geschäftsmodelle wdp, die OMR vorliegt, ist die Betrugsmasche mit den Expired Domains größer, als gedacht. Rund 16.000 dieser Fake-Shops soll es demnach alleine mit .de-Endung geben.
Anstoß für die genauere Untersuchung des Phänomens sei eine Marktanalyse über von Online-Shops genutzte Technologien gewesen, sagt Christoph Nichau, Mitgründer und geschäftsführender Partner von wdp, im Gespräch mit OMR. „Neben den populären Systemen wie Adobe Commerce Cloud, Shopware und Shopify identifizieren wir Zen Cart, osCommerce und Opencart mit einer auffälligen Anzahl an Domains mit diesen Technologien.“ Bei stichprobenartigen Tests von Domains mit den drei weniger bekannten Shop-Systemen hätten Nichau und sein Team dann schnell einige Parallelen feststellen können. „Diese Domains fielen durch eine unseriöse Aufmachung von Markenprodukten mit sehr hohen Rabatten auf – augenscheinlich auf Schnäppchenjäger und ihre Kreditkartendaten ausgerichtet“, so Nichau weiter.
Kein Einzelfall, sondern systematischer Betrug?
Die Parallelen veranlassen Christoph Nichau und seine Kollegen, tiefer einzusteigen. Ihre These: Hinter auf Expired Domains aufgesetzten Shops stecken keine einzelnen Betreiber, sondern professionell agierende Netzwerke. Um diese Vermutung zu bestätigen, erstellen sie mit Hilfe von builtwith.com eine Übersicht aller .de-Domains, die eine der drei Shopping-Technologien Zen Cart (laut ibussines.de lebt das Shop-system fast nur von Fake-Shops), osCommerce und Opencart nutzen. „Das Ergebnis war ein Datensatz aus 29.406 Domains, inklusive Details, welche Technologien die Seiten außerdem noch nutzen“, erklärt Christoph Nichau.
Mit Hilfe von rund 200 Domains als Trainingsdaten einer Machine Learning Analyse kommt das Team am Ende auf 16.683 Domains, auf denen nach dem Auslaufen und einem Besitzerwechsel mit einer sehr hohen Wahrscheinlichkeit ein Fake-Shop aufgesetzt wurde. „Das legt nahe, dass hier pauschal viele auslaufende Domains gekauft werden, die günstig zu haben sind und noch organischen Rest-Traffic vorweisen“, so Nichau. „In Kombination mit den kostenlosen und in Masse installierbaren Shop-Technologien rechnet sich das Vorgehen so schon nach wenigen Bestellungen. Die technologischen Signaturen lassen dabei auf nur eine Hand voll Betreiber schliessen.“ Häufig ließen sich in Whois-Einträgen der Fake-Shops kryptische E-Mail-Adressen chinesischer Provider finden. Ob die Fake-Shop-Betreiber aber wirklich häufig aus China stammen oder lediglich entsprechende Provider nutzen, bleibt Spekulation. Anfang des Jahres waren zwei Männer in Osnabrück wegen gewerbsmäßigen Bandenbetrugs zu mehreren Jahren Gefängnis verurteilt worden, nachdem sie 280.000 Euro durch einen Fake-Shop eingenommen hatten. Bereits 2017 wurde ein Münchener überführt, der mit 19 Fake-Shops 428.000 Euro umgesetzt hatte.
So einfach lässt sich ein Fake-Shop erkennen
Eigentlich bedarf es keiner ausgefeilten Analyse, einen auf einer Expired Domain aufgesetzten Fake-Shop zu erkennen. Online-Shops für Kindersitze oder Joggingzüge auf Domains von Parteien? Hier könnte man schon stutzig werden. Als Zahlungsmethoden werden meist nur Vorkasse (das Geld ist dann vermutlich auch für immer weg, natürlich ohne die bestellte Ware erhalten zu haben) oder Kreditkarte (mit etwas Glück werden hier auch noch die Kartendaten missbraucht) angeboten. Ein Impressum fehlt eigentlich immer; die Texte sind schlecht, vermutlich mit einem Translator, übersetzt. „Alle unsere Produkte sind von der Fabrik authentische Qualität und Originalverpackung direkt. Unsere Produkte werden von unseren Kunden weltweit“, heißt es beispielsweise auf der bereits erwähnten Seite spd-auersmacher.de. Das Landeskriminalamt Niedersachsen hat in einer Warnung noch weitere Indizien aufgelistet, anhand derer sich Fake-Shops erkennen lassen.
Häufig fehlen den Seiten außerdem SSL-Zertifikate – hier warnen inzwischen viele Browser den Nutzer direkt beim Seitenaufruf. Dass die Masche mit Expired Domains aber dennoch für die Betrüger aufgeht, liegt auch an den meist extrem niedrigen, willkürlich festgelegten Preisen, die häufig nicht typischerweise mit gängigen Centbeträgen wie 95 oder 99 enden, sondern mit ungewohnt krummen Summen.
Ursprünglich ist der Handel mit Expired Domains vor allem in der SEO-Szene beliebt. Der Käufer einer starken Domain kann für sein neues Projekt von den teils über Jahre aufgebauten SEO-Rankings profitieren – und so schneller Erfolg haben. Bei den auf den abgelaufenen Domains aufgesetzten Fake-Shops geht es aber weniger um bestehende Rankings. So hatte spd-auersmacher.de laut Sistrix bis Ende 2018 einen Sichtbarkeitsindex von 0. Den hat diese Seite zwar auch heute wieder erreicht, lag zwischenzeitlich aber auch bei etwa 0.01 – inklusive Fake-Shop. Das ist extrem wenig, reicht aber dennoch für ein paar Top-10-Rankings mit Longtail-Keywords wie „chicco kindersitz youniverse größe 123 grey“ oder „petex max 105“. Die haben zwar ein sehr geringes Suchvolumen, Nutzer mit solch konkreten Suchbegriffen dafür aber häufig schon ein echtes Kaufinteresse.
Weshalb können Fake-Shop-Betreiber ihre Domains registrieren?
Beim Phänomen der Fake-Shops sieht Christoph Nichau vor allem auch die Denic, die zentrale Registrierungsstelle für .de-Domains, in der Pflicht: „Das Phänomen der Fake-Shops ist seit vielen Jahren bekannt und immer wieder in den Medien präsent. Das wahre Ausmaß ist aber deutlich umfangreicher als bisher angenommen und die Denic sollte diesem Treiben endlich ein Ende bereiten.“ In den FAQs für Domain-Anmelder heißt es beispielsweise: „Sie sind verpflichtet, im Domainauftrag korrekte und vollständige Daten für den Domaininhaber, inklusive einer E-Mail-Adresse, anzugeben.“ Dass das im Fall solcher Fake-Shops wohl nie passieren dürfte, würde wenig überraschen. Bei durch wdp durchgeführten Stichproben tauchen beispielsweise auch Namen wie „Erika Gabler“ auf – das weibliche Pendant zu Max Mustermann. Zusätzlich verstoßen die Betrüger häufig unter anderem gegen die Impressumspflicht und bei fehlender SSL-Verschlüsselung gegen die DSGVO.
Dass die Denic trotzdem nichts unternehmen kann, wird offen auf der Homepage unter der Überschrift „Warum DENIC nicht gegen Fake-Shops vorgehen kann“ kommuniziert: „Einen Zugriff auf die Inhalte von Webseiten, auf die eine Domain verweist, hat DENIC nicht. Deshalb kann DENIC auch nicht gegen Fake-Shops vorgehen oder die Inhalte einer Fake-Shop-Seite löschen.“ Außerdem lassen sich seit Inkraftreten der DSGVO keine Informationen mehr über de-Domain-Inhaber einsehen, die bis dahin noch Hinweise liefern konnten, ob es sich um einen seriösen Online-Shop oder um Abzocke handelt.
Da das Phänomen bei Betrügern immer beliebter und damit zu einem größeren Problem wird – 4,4 Millionen Deutsche sollen insgesamt bereits auf die Masche hereingefallen sein – wurde Anfang des Jahres auch die Politik hellhörig. So forderten die Verbraucherschutzminister einen Identitätsnachweis direkt bei der Registrierung einer Domain. Der ist bisher nicht erforderlich. Die Denic äußerte gegenüber diesem Vorschlag Bedenken. Auch eine solche Lösung würde Lücken aufweisen – zum Beispiel Identitäts-Diebstahl. Für Online-Shops wären verpflichtende EV-Zertifikate, SSL-Zertifikate mit deutlich strengeren Kriterien, sinnvoller.