Betrug, Bedrohungsinformationen

Gefälschte E-Mails zur Domainverlängerung verleiten Website-Betreiber dazu, Geld an Betrüger zu überweisen

von Stefan Dasic | 25. Juni 2026
Social Engineering
Als bevorzugte Quelle bei Google hinzufügen

Sie erhalten eine E-Mail-Benachrichtigung, dass der Domainname Ihrer Website bald abläuft. „Verlängern Sie jetzt“, heißt es darin, „sonst könnten Ihre Website und Ihr E-Mail-Konto nicht mehr funktionieren.“ Der Link führt zu einer professionell gestalteten Seite, auf der Ihr Domainname bereits angezeigt wird, Ihr Registrar und das Ablaufdatum aufgeführt sind und ein Countdown-Timer läuft.

Es fühlt sich dringlich und persönlich an, deshalb wirkt es echt.

Die unter dem Namen „Renovarix“ betriebene Website verlängert keine Domains. Stattdessen leitet sie Besucher durch eine Reihe von Seiten weiter, auf denen persönliche Daten und schließlich Zahlungsdaten erfasst werden.

Gefälschte Domain-Verlängerung

Wie der Betrug funktioniert

Domainnamen laufen tatsächlich ab, und der Verlust einer Domain kann ein ernstes Problem darstellen. Für viele Menschen und Unternehmen ist eine Domain mehr als nur eine Webadresse. Sie ist Ihre Marke, Ihre E-Mail-Adresse, Ihre Suchmaschinenplatzierungen und der Name, den Kunden eingeben, wenn sie Sie finden wollen. Wenn sie abläuft, funktionieren Ihre Website und Ihre E-Mail möglicherweise nicht mehr. Wenn jemand anderes sie registriert, bevor Sie sie zurückerhalten, kann die Wiedererlangung schwierig oder unmöglich sein. Das ist ein großer Verlust, und Betrüger wissen das.

Dieser Betrug macht sich diese Angst mit einem überzeugend gefälschten Verlängerungsprozess zunutze.

Die E-Mail-Adresse und die Website sind gefälscht. Die „Live-Registrierungsdaten“ sind nur teilweise echt. Wenn Sie auf „Jetzt verlängern“ klicken, wird Ihre Domain nicht verlängert. Stattdessen werden Sie durch eine Kette von Websites weitergeleitet, die zunächst Ihren Namen, Ihre Adresse, Ihre Telefonnummer und Ihre E-Mail-Adresse erfassen und schließlich nach Zahlungsdaten fragen.

Falls Sie die E-Mail gelöscht haben, brauchen Sie sich keine Sorgen zu machen. Falls Sie auf den Link geklickt haben, schließen Sie einfach die Seite. Falls Sie persönliche Daten oder Zahlungsinformationen eingegeben haben, befolgen Sie bitte die oben genannten Anweisungen.

Die E-Mail, mit der alles begann

Der Betrug beginnt mit einer E-Mail, wobei die Gestaltung variieren kann. Manche sind recht plump: eine einfache „Erinnerung zur Domain-Verlängerung“ von einer generischen Firma namens „Domain Services Inc.“ mit einer Rechnungsnummer und einem fälligen Betrag.

Gefälschte E-Mail zur Vertragsverlängerung

Andere wirken deutlich professioneller und geben die Marke „Renovarix“, eine Referenznummer sowie eine seriös wirkende Geschäftsadresse in London an.

Gefälschte E-Mail zur Vertragsverlängerung

Aber es gibt ein gemeinsames Merkmal: Die „offizielle“ Verlängerungsmitteilung von Renovarix wurde von einer gewöhnlichen Gmail-Adresse versendet. Ein Unternehmen, das angibt, über eine Niederlassung in London und einen 24/7-Support zu verfügen, würde Rechnungsmitteilungen wohl kaum über Gmail versenden. Wenn das Erscheinungsbild professionell wirkt, der Absender jedoch nicht dazu passt, ist das ein deutliches Warnsignal.

Eine Seite, die zu viel weiß

Der Link öffnet eine Seite, die sofort eine „Abfrage“ durchführt und den Fortschritt mit Meldungen wie „Verbindung zur Registrierungsstelle wird hergestellt“ und „WHOIS-Einträge werden abgerufen“ anzeigt, bevor Ihr Domainname, Ihr Registrar und das Ablaufdatum angezeigt werden.

Gefälschte Domain-Verlängerung

Dadurch entsteht der Eindruck, als hätte die Website eine Abfrage bei der offiziellen Domain-Registrierungsstelle durchgeführt. Einige der Informationen stammen zwar möglicherweise aus echten öffentlichen Registern, doch ein Großteil dessen, was der Seite einen seriösen Anschein verleiht, ist frei erfunden. So wird beispielsweise die angezeigte „Registry-ID“ nicht von einer Registrierungsstelle abgerufen, sondern lokal in Ihrem Browser anhand Ihres Domainnamens generiert und dient lediglich dazu, einen offiziellen Eindruck zu erwecken.

Alles ist darauf ausgelegt, dich in Panik zu versetzen

Sobald dieses Dashboard geladen ist, verwandelt sich die gesamte Seite in einen Trichter, der darauf ausgelegt ist, Sie in Eile zu versetzen.

Ein rotes Banner behauptet, Ihre Domain laufe in „03 Tagen“ ab, unabhängig vom tatsächlichen Ablaufdatum. Ein zweiter Countdown zeigt an, dass ein „Sonderpreis“ von 2,00 €, reduziert von 9,99 €, in fünfzehn Minuten abläuft. Wenn Sie versuchen, die Seite zu schließen, erscheint ein Pop-up-Fenster mit der Warnung „Warten Sie – Ihre Domain ist in Gefahr!“, versehen mit einer Schaltfläche zum Schließen, auf der steht: „Nein danke, ich gehe das Risiko ein.“

Vorgetäuschte Dringlichkeit bei der Verlängerung

Seriöse Registrare setzen weder auf Countdown-Timer noch auf Pop-ups, die Schuldgefühle wecken sollen. Der Druck selbst ist der Betrug.

Die „Erneuerung“ erneuert gar nichts

Hier ist das deutlichste Anzeichen dafür, dass etwas nicht stimmt: Wenn Sie auf „Jetzt verlängern“ klicken, wird weder Kontakt zu Ihrer Registrierungsstelle aufgenommen noch eine Verlängerung veranlasst. Ihr Browser wird lediglich auf eine andere Website weitergeleitet.

Einige Versionen zeigen sogar eine fröhliche Bestätigung mit der Meldung „Verlängerung abgeschlossen!“ an, zusammen mit einem neuen Ablaufdatum, einer Bestätigungsnummer und dem Hinweis, dass eine Quittung per E-Mail versendet wurde. Nichts davon entspricht einer tatsächlichen Transaktion. Alles wird in Ihrem Browser generiert.

Wohin Ihre Daten tatsächlich gelangen

Über diese Schaltfläche gelangen Sie über einen Marketing-Partnerlink zu einer Seite namens „Secure Checkout“.

Zur Kasse gehen, um Daten zu erfassen

Auf der Seite werden Sie nach Ihrem Namen, Ihrer Adresse, Ihrer Postleitzahl, Ihrem Wohnort, Ihrer Telefonnummer und Ihrer E-Mail-Adresse gefragt. Nach dem Absenden werden Sie zu weiteren Seiten weitergeleitet, auf denen schließlich die Zahlung verlangt wird.

Zur Kasse gehen, um Daten zu erfassen

Zwei Details deuten darauf hin, dass es sich hierbei eher um ein wiederverwendetes Betrugs-Kit als um einen echten Domain-Dienst handelt. Es kann Ihre Daten automatisch aus dem von Ihnen angeklickten Link übernehmen, und in den gefälschten Fünf-Sterne-Bewertungen ist immer noch von „HappyPrizes“ die Rede und davon, wie einfach es war, „etwas Schönes zu gewinnen“ – Textüberbleibsel aus einem früheren Gewinnbetrug, bei dem dieselbe Vorlage verwendet wurde.

Warum die Menschen darauf hereinfallen

Der Betrug funktioniert, weil er eine echte Sorge ausnutzt. Er beginnt mit einer glaubwürdigen Prämisse. Die Verlängerung von Domainnamen ist ein ganz normaler Bestandteil des Betriebs einer Website, sodass eine Benachrichtigung über den Ablauf der Laufzeit nicht ungewöhnlich wirkt. Darauf bauen die Betrüger mit überzeugendem Branding, öffentlich zugänglichen Informationen und künstlich geschaffener Dringlichkeit auf.

Es wirkt zudem persönlich. Viele Menschen fragen sich, woher die Betrüger von ihrer konkreten Domain wussten. Die Antwort lautet: Sie kennen Sie nicht persönlich. Jede registrierte Domain erscheint in öffentlichen WHOIS-/RDAP-Einträgen, die den Domainnamen, den Registrar, wichtige Daten und manchmal auch eine Kontakt-E-Mail-Adresse enthalten. Betrüger sammeln diese Informationen in großem Umfang und generieren dann Links, die Ihnen Ihre eigenen Domain-Daten anzeigen. Durch die vertrauten Informationen wirkt die Seite seriös, obwohl sie aus öffentlichen Einträgen stammt.

Schließlich erzeugt der Betrug ein Gefühl der Dringlichkeit. Countdown- Timer, Warnungen, dass Ihre Domain in Gefahr ist, und ein „Sonderangebot“ für 2,00 € sollen Sie dazu bringen, zu handeln, bevor Sie innehalten, um die Behauptung zu überprüfen. Der niedrige Preis ist nicht das Ziel. Es geht vielmehr um Ihre persönlichen Daten und Zahlungsinformationen.

Nichts davon bedeutet, dass ein Opfer unvorsichtig ist. Es macht es menschlich – und zum Ziel von Menschen, die genau wissen, wie ein besorgter Website-Betreiber reagiert.

Was tun?

Wenn Sie eine solche E-Mail erhalten, löschen Sie sie einfach. Der sicherste Weg, eine Domainverlängerung abzuwickeln, ist ganz einfach:

  • Klicken Sie nicht auf den Link in der E-Mail. Rufen Sie die Website Ihres Registrars über ein Lesezeichen oder durch manuelle Eingabe der Adresse auf und überprüfen Sie dort das tatsächliche Ablaufdatum. Falls Sie auf den Link geklickt haben, schließen Sie die Seite. Das bloße Betrachten der Seite stellt kein Risiko für Ihre Domain dar.
  • Finden Sie heraus, wer Ihr Registrar ist. Die Verlängerung erfolgt über Ihr bestehendes Konto und nicht über eine Website, von der Sie noch nie gehört haben.
  • Betrachten Sie Dringlichkeit als Warnsignal und nicht als Grund zur Eile. Echte Erneuerungen sind keine 15-minütigen Notfälle.
  • Überprüfen Sie den Absender. Rechnungsbenachrichtigungen von einer Gmail-Adresse oder mit einem Markennamen, der nicht mit Ihrem tatsächlichen Anbieter übereinstimmt, sind Warnzeichen.
  • Malwarebytes Browser Guard ist kostenlos und kann dabei helfen, Betrugs- und Phishing-Seiten beim Surfen zu blockieren.

Falls Sie bereits personenbezogene Daten (wie Ihren Namen, Ihre Adresse, Ihre Telefonnummer oder Ihre E-Mail-Adresse) eingegeben haben:

  • Seien Sie auf weitere Betrugsversuche gefasst. Angreifer könnten Sie per Telefon oder E-Mail kontaktieren und vorgeben, Ihr Registrar zu sein, oder sich auf Ihre Domain, eine „Bestellung“ oder eine „Verlängerung“ beziehen.
  • Vertrauen Sie keinen unaufgeforderten Anrufen oder E-Mails, auch wenn der Absender scheinbar Details zu Ihrer Domain kennt.
  • Wenn Sie sich an Ihren Registrar oder Ihre Bank wenden müssen, verwenden Sie bitte die Kontaktdaten von deren offizieller Website und nicht die Angaben aus der E-Mail oder auf der Betrugsseite.

Falls Sie Zahlungskartendaten eingegeben haben:

Aktivieren Sie die Transaktionsbenachrichtigungen, damit Sie benachrichtigt werden, sobald Ihre Karte verwendet wird.

Wenden Sie sich umgehend an Ihre Bank oder Ihren Kartenaussteller. Teilen Sie ihnen mit, dass Sie Ihre Kartendaten auf einer betrügerischen Website eingegeben haben, und fragen Sie, ob sie empfehlen, die Karte zu sperren und zu ersetzen, auch wenn Sie noch keine nicht autorisierten Abbuchungen feststellen können.

Behalten Sie Ihr Konto genau im Auge. Betrüger führen manchmal kleine „Test“-Abbuchungen durch, bevor sie größere Transaktionen versuchen.

Indikatoren für Kompromittierung

  • renovarix[.]org — gefälschte Seite zur Domainverlängerung
  • xe54ghj[.]com — Redirector
  • paysuccessful[.]site — Seite zur Erfassung personenbezogener Daten
  • molipy8trk[.]com — Redirector
  • topprogressstores[.]online — Abschlussangebot

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Stefan Dasic

Stefan Dasic

Stefan ist ein leidenschaftlicher Anhänger von Antiviren-Lösungen und hat sich schon früh mit Malware-Tests und der Qualitätssicherung von AV-Produkten beschäftigt. Als Teil des Malwarebytes widmet sich Stefan dem Schutz der Kunden und der Gewährleistung ihrer Sicherheit.

NEUESTE ARTIKEL

Wanzen
PixelSmash

Die „PixelSmash“-Sicherheitslücke verwandelt Videodateien in Angriffswerkzeuge

Juni 24, 2026

Forscher haben eine kritische Sicherheitslücke in FFmpeg entdeckt, die es Angreifern ermöglichen könnte, mithilfe einer schädlichen Videodatei anfällige Systeme zu kompromittieren.

Produkt
Ein Wolf im Schafspelz

Hüten Sie sich vor Verlängerungsbetrug, bei dem sich die Betrüger als Malwarebytes ausgeben

Juni 24, 2026

Betrüger versenden gefälschte Benachrichtigungen zur Software-Verlängerung, in denen behauptet wird, dass Ihnen ein Abonnement in Rechnung gestellt wurde. Einige geben sich sogar als Malwarebytes aus.

Betrug
Ein junger Mann setzte sich mit dem Kopf in der einen und einem Telefon in der anderen Hand.

Total auf alle Ihre Geräte.“ Sextortion-Betrüger schlagen erneut zu

Juni 24, 2026

Sie behaupten, sie hätten Videos, Malware und die vollständige Kontrolle über Ihre Geräte. Hier erfahren Sie, wie Sie eine Sextortion-E-Mail wie ein Sicherheitsforscher statt wie ein Opfer lesen können.

Als bevorzugte Quelle bei Google hinzufügen

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug