Domain Security & Recovery

Ein praktischer Leitfaden zu den fünf Wegen, wie Angreifer Domains in der realen Welt tatsächlich übernehmen – Social Engineering, Kompromittierung des Registrar-Kontos, Übernahme des DNS-Anbieters, NS-Hijacking und Rückforderung abgelaufener Domains – sowie die spezifischen Kontrollmechanismen, die jeden einzelnen blockieren.

Im September 2015 kaufte ein ehemaliger Google-Mitarbeiter google.com über Google Domains für 12 Dollar und hatte etwa eine Minute lang die administrative Kontrolle über die wertvollste Domain der Welt. Die Geschichte von Sanmay Ved, dem 6.006,13-Dollar-Kopfgeld und was eine Minute Eigentumsrecht darüber verrät, wer wirklich eine Domain kontrolliert.

Am 15. Juli 2020 verschafften sich Angreifer per Telefon Zugang zu Twitter, übernahmen die verifizierten Konten von Obama, Biden, Musk, Gates, Apple und Uber und führten einen Bitcoin-Verdopplungsbetrug durch – mit einer Beute von rund 118.000 US-Dollar. Eine Tiefenanalyse, wie die Kontrolle über eine Online-Identität gestohlen wurde und was das für den Besitz eines Namens bedeutet.

Im Juli 2024 verwandelte eine Registrar-Migration von Google Domains zu Squarespace schwache Standard-Authentifizierung in eine Massenangriffsfläche. Angreifer kaperten die Domains von Krypto- und DeFi-Projekten – Compound Finance, Celer Network, Pendle, Unstoppable Domains – und leiteten sie auf Wallet-Drainer-Phishing-Seiten um. So schuf eine „nahtlose" Migration hunderte ungesicherter Eingangstüren, und was das über Registrar-Sicherheit und MFA lehrt.

Im Dezember 2021 kompromittierten Angreifer das Cloudflare-Konto von BadgerDAO und schleusten ein bösartiges Skript in das Website-Frontend ein. Die auditierten Smart Contracts wurden nie berührt — und dennoch verschwanden rund 120 Millionen Dollar durch Wallet-Freigaben, die Nutzer unwissentlich unterzeichneten. Eine Tiefenanalyse darüber, warum die Website Teil Ihrer Sicherheitsoberfläche ist.

Im September 2021 wurde Bitcoin.org — die langjährige Informationsheimat von Bitcoin, betrieben vom pseudonymen Operator Cobra — auf der DNS-Ebene gekapert und in ein gefälschtes „Verdoppele deine Bitcoin"-Gewinnspiel verwandelt, das Betrügern rund 17.000 US-Dollar einbrachte, bevor die Seite offline genommen wurde. Eine Domain-Mayday-Analyse darüber, was passierte, wie es geschah und was es selbst für kryptonative Seiten über ihre Abhängigkeit von DNS lehrt.

Im August 2022 waren Curve Finances Smart Contracts unangetastet — doch Angreifer übernahmen die Domain curve.fi beim Registrar, klonten die Website und raubten Nutzern rund 570.000 US-Dollar. Eine eingehende Analyse des DNS-Angriffs auf ein DeFi-Frontend und was er uns über Domain-Sicherheit lehrt.

Ende 2018 deckte Cisco Talos DNSpionage auf – eine Kampagne, die später mit iranischen Interessen in Verbindung gebracht wurde. Dabei wurden DNS-Einträge von Regierungen manipuliert, E-Mail- und VPN-Verkehr auf Angreifer-Server umgeleitet und gültige TLS-Zertifikate ausgestellt, um unsichtbar zu bleiben. Die Kampagne löste die erste Notfalldirektive dieser Art der US-Regierung aus.

Am 21. Oktober 2016 traf ein DDoS-Angriff des Mirai-IoT-Botnetzes den DNS-Anbieter Dyn in drei Wellen und legte Twitter, Netflix, Reddit, Spotify, GitHub, Airbnb und PayPal stundenlang lahm — eine Domain-Mayday-Fallstudie zur Konzentration auf einen einzelnen DNS-Anbieter.

Im September 2017 loggten sich Angreifer in den Drittanbieter-Registrar des niederländischen Sicherheitsunternehmens Fox-IT ein, änderten die DNS-Einträge, erlangten auf betrügerische Weise ein TLS-Zertifikat und führten 10 Stunden lang einen Man-in-the-Middle-Angriff auf den Client-Datenverkehr durch — bis Fox-IT ihn entdeckte und eine der transparentesten Post-Mortem-Analysen der Branche veröffentlichte.

Zwischen 2020 und 2022 lebte eine einzelne Bedrohungsakteurgruppe in GoDaddys Infrastruktur – sie stahl Quellcode, legte die Daten von 1,2 Millionen Managed-WordPress-Kunden offen und leitete Kundenwebseiten zeitweise auf bösartige Seiten um. Eine eingehende Analyse des Konzentrationsrisikos bei Registraren und was sie über einzelne Fehlerquellen lehrt.

Ende 2014 gab ICANN – die Organisation, die das Domain-Name-System des Internets koordiniert – zu, dass eine Spear-Phishing-E-Mail, die die eigene Domain vortäuschte, Zugangsdaten von Mitarbeitern abgegriffen und Angreifern administrativen Zugriff auf das Centralized Zone Data System verschafft hatte. Eine tiefgehende Domain-Mayday-Analyse, wie die DNS-Autorität selbst Opfer eines Phishing-Angriffs wurde, was offengelegt wurde und warum das noch immer relevant ist.

Am 25. Februar 2015 kaperte Lizard Squad Lenovo.com durch einen Angriff auf den Registrar Webnic, leitete die Domain des weltgrößten PC-Herstellers auf eine Webcam-Diashow um und fing E-Mails ab – nur wenige Tage nach dem Superfish-Skandal. Eine Domain-Mayday-Analyse darüber, warum der Registrar Ihr eigentlicher Sicherheitsperimeter ist.

Im Januar 2015 kapert Lizard Squad das DNS von malaysiaairlines.com und ersetzt die Airline-Website durch einen Eidechse im Frack und den Spott „404 — Flugzeug nicht gefunden." Kein Server wurde kompromittiert — die Angreifer änderten einfach, wohin die Domain zeigte. Ein Domain-Mayday-Deep-Dive darüber, wie DNS zur verwundbarsten Eingangstür der Fluggesellschaft wurde.

Am 24. April 2018 kaperten Angreifer das Internet-Routing für Amazon Route 53, vergifteten DNS-Antworten für myetherwallet.com und stellten einen Phishing-Klon hinter einem selbstsignierten Zertifikat bereit — und entzogen dabei rund 150.000 $ in Ethereum. Ein Domain-Mayday-Tiefgang darüber, warum DNS auf einer Routing-Schicht aufbaut, die standardmäßig vertraut.

Im Januar 2005 wurde panix.com – die Domain des ältesten kommerziellen ISPs New Yorks – mithilfe gestohlener Kreditkarten betrügerisch zu einem Registrar in Australien übertragen, wodurch Web und E-Mail tagelang ausfielen. Die damals geltenden Regeln zur automatischen Genehmigung von Registrar-Transfers machten dies möglich, und die Aufarbeitung formte die Domain-Transfer-Richtlinien grundlegend um.

Ende Januar 2021 wurde perl.com – das jahrzehntelange Zuhause der Perl-Programmier-Community – durch einen Registrar-Account-Kompromiss gestohlen, über China übertragen, auf eine mit Malware verbundene IP-Adresse gezeigt und für 190.000 Dollar angeboten. Hier erfahren Sie, wie es passierte, wie es wiederhergestellt wurde und was es über die Sicherheit von Registrar-Accounts lehrt.

Wie „Sea Turtle", eine 2019 von Cisco Talos aufgedeckte staatlich geförderte Kampagne, DNS durch die Kompromittierung von Registraren, Registries und DNS-Anbietern kaperte – Regierungen, Ministerien und Energieunternehmen auf Angreifer-Server umleitete, gültige Zertifikate fälschte und sogar eine nationale TLD-Registry kompromittierte.

Im Jahr 1995 stahl ein Betrüger namens Stephen Cohen sex.com vom rechtmäßigen Eigentümer Gary Kremen mit einem einzigen gefälschten Brief an Network Solutions. Der jahrelange Kampf um die Rückgabe endete mit einem Urteil über 65 Millionen Dollar, einem Flüchtigen in Mexiko und einem wegweisenden Urteil, das Domains als Eigentum einstuft.

Im September 2021 schleuste ein anonymer Auftragnehmer seine eigene Wallet-Adresse über einen bösartigen Commit in das MISO-Launchpad-Frontend von SushiSwap ein und leitete 864,8 ETH (~3 Mio. USD) aus der Jay-Pegs-Auto-Mart-Auktion um. Ein Domain-Mayday-Deep-Dive zu Code-Lieferketten, Frontend-Vertrauen und den Lehren aus verifizierbarem Eigentum.

Am 27. August 2013 phishte die Syrische Elektronische Armee einen Melbourne-IT-Wiederverkäufer, überschrieb die DNS-Einträge von nytimes.com und Twitter-Domains und legte die New York Times für Stunden offline. Eine eingehende Analyse, wie ein schwaches Glied in der Registrar-Kette zum Versagen der Eingangstür einer Zeitung wurde – und was Registry Locks hätten verändern können.

Multisignatur-Wallets werden in der Kryptowelt weithin als der Standard für sichere Verwahrung angesehen, aber die Antwort auf die Frage "Verbessern sie wirklich die Sicherheit?" hängt vollständig vom Bedrohungsmodell ab. Dieser Artikel erläutert, was Multisig abwehrt, was nicht und wo es die Situation sogar verschlimmern kann.

DNS over HTTPS (DoH) schützt die Privatsphäre der Nutzer, indem DNS-Anfragen innerhalb von HTTPS verschlüsselt werden. Enterprise Split-Horizon-DNS ist darauf angewiesen, dass das Netzwerk diese Anfragen sehen kann. Die Kollision zwischen beiden verändert die Art und Weise, wie Unternehmensnetzwerke, Browser und Betriebssysteme mit der Namensauflösung umgehen.

Eine Perspektive aus Sicht von Registrar/DNS-Betrieb auf den AWS-Vorfall vom 20. Oktober 2025, wie DNS tatsächlich funktioniert, warum sich dieser Fehler so weit verbreitete und was resiliente Internet-Teams dagegen tun können.