Domänskojaren DNS SWEDEN

DNS Sweden - badragare

Den senaste veckan har en mycket stor mängd innehavare av .se-domäner tagit emot e-postmeddelanden från en verksamhet som kallar sig DNS SWEDEN.
DNS SWEDEN försöker i mailtexten ge intryck av att vara en registrar, men saknar själva namnservrar och har registrerat sin egen domän genom registraren GoDaddy.

DNSSweden.com - bedragare
Det går även att utläsa att domänen registrerats på en innehavare som egentligen är en Nederländsk domänadress:
“nederlandsdomeinregister.nl”, som numera är ledig (oregistrerad).

Men genom en enkel googling så ser vi att denna adress ( nederlandsdomeinregister.nl ) förekommer i varningar från 2013, 2016 och 2018 för exakt samma tillvägagångssätt, som jag kommer att berätta om i detta inlägg.
Källa: https://identityunderground.wordpress.com/2018/07/12/please-be-aware-of-eudt-be-unethical-and-dirty-domain-sales-tricks-en-version/

Uppdatering 2020-04-26: Efter att jag gjort lite efterforskningar, så valde jag att registrera det aktuella domännamnet [nederlandsdomeinregister.nl] och länkar den till denna sida. *alltid retar det väl någon*

Vi ser också att företaget hade organisationsnumret KVK: 64626679 och det hittar man numera på adresserna http://eudt.be/bnltrademark/, http://www.eutd.nl/contact/ och http://www.internetservicebenelux.com/contact/ så vi får väl förmoda ett enkelt namnbyte över tid (du förstår längre ner i texten).


E-postmeddelandet som skickats till svenska .se-innehavare lyder iaf:


Bästa Herr/Fru,

Vi har fått en begäran om registrering av webbplatsen www.DOMÄNNAMNET.com. Vårt system visar att du är ägare till www.DOMÄNNAMNET.se. Detta kan
få långtgående konsekvenser för dig i framtiden. Vi är därför skyldiga att kontakta dig, för att kunna erbjuda dig förstahandsrätten till registreringen. Det
innebär att vi kommer att avslå ansökan från den tredje parten och webbplatsen:

www.DOMÄNNAMNET.com

Efter överenskommelse kommer vi att länka denna webbplats till:

www.DOMÄNNAMNET.se

Detta innebär att du kommer att ha förstahandsrätten till domännamnet, i syfte att undvika
eventuella framtida problem.

Vi är oftast skyldiga att registrera domännamnet och att skydda det under en period av 10 år. Det årliga priset för COM-ändelsen är 249,90 kr per år. Det
innebär en engångsbetalning på 2499 kr. När länken är klar kommer all internettrafik som går till COM-ändelsen att automatiskt kopplas till din nuvarande
anknytning och webbplats. Denna process kommer att ta högst 24 timmar. Detta domännamn kommer då att ha en global räckvidd. Den tredje parten kommer att
avvisas och kan inte längre använda ditt domännamn.

Viktig information:

-Du kommer att få en engångsfaktura på 2499 kr, exklusive moms, för en period av 10 år.
-Detta kontrakt kan avbrytas när som helst efter den första perioden på ett år. Det belopp som betalats för resterande antal år kommer att återbetalas till ditt konto.
Om du accepterar vårt erbjudande, skicka ett avtal via e-post inom 48 timmar efter mottagandet av detta e-postmeddelande, ange ditt namn, adress och momsregistreringsnummer i ett svar till den här e-postadressen.
Den tredje parten kommer därefter att avvisas av oss, och vi kommer då att slutföra länken. Du kommer att få en bekräftelse och all information du behöver via e-post på samma dag.

Med vänliga hälsningar,
Mikael Bengtsson

DNS Sweden

Vad man kan säga om meddelandet är att det är tydligt att det är skickat av någon som saknar kunskap om de termer som används i branschen, exempelvis så är ett domännamn inte alls en webbplats, utan möjligen adressen till en webbplats. Att skriva www före en erbjuden adress är bara stolligt eftersom det är en subdomän till den aktuella domänen.
Att “slutföra länken” torde avse att de sätter upp en redirect/forwarding vilket dessutom kan ske tekniskt på flera olika sätt, men att “slutföra länken” är det i allafall inte alls frågan om.

Lika lustigt är tanken att en aktör som påstår sig ha fått en beställning på 2500:- kronor, skulle riskera den beställningen genom att “fråga om lov” hos en icke-kund.
Det ska ju nämnas i sammanhanget att det finns 1580+ delegerade toppdomäner, vilket rimligen skulle innebära att DNS SWEDEN skulle behöva fråga eventuella innehavare under alla andra toppdomäner “om lov” för varje domänbeställning de tar emot. Det lär inte bli många affärer då..
Källa 1580+ toppdomäner: https://www.iana.org/domains/root/db

Så det är naturligtvis inte alls sant, utan under de allra flesta toppdomäner är det “först till kvarn” som gäller, utan förprövning (såväl för .com och för .se).
Vidare påstås kostnaden vara 2500 för 10 års registrering, vilket endast är ett införsäljningsknep för att få det att verka som att 250 per år kanske inte är så farligt ändå.
Problemet är att dessa skojare använt knepet under lång tid, så vi VET att domänerna alltid endast registreras på 1 år och dessutom med en sk inlåsningseffekt, vilket innebär att skojarna anger sin egen e-postadress för registreringen.
Och inom att ett år har gått, så har DNS SWEDEN försvunnit, men hunnit “sälja” sina kunder till en ny hittepåtjänst som börjar skicka förnyelsefakturor till de lurade kunderna.

Kort sagt: Det här är klåpare som inte har en aning om vad de sysslar med och naturligtvis, så finns det ingen annan kund eller beställning, utan är endast avsett för att försätta mottagaren i ett trängt läge.
Men ni kommer att se att all text bara är översatt till olika språk.

Vad kan vi då säga om dessa domänskojare och hur pass omfattande är detta bondfångeri?

Jo, de har varit aktiva under denna livscykel i minst 1 år och växlar geografiska målgrupper över tid.

Efter en liten research ser jag att de åtminstone varit/är verksamma under följande domäner:

dnssweden.com
dnscr.org
dnsfinland.net

dnsfinland.org (numera nedsläckt)
idsgermany.com
dnsdeutschland.com
internetservicegermany.org
dnsfinland.com (numera nedsläckt)


Men även under nedan domäner, som jag hittat varningar för, runt om i Europa.


dnsswitzerland.com

dnsestonia.org


idsireland.org

dnsaustria.com


internetservicefrance.com

dnsuk.org (numera nedsläckt)


dnsbenelux.com (numera nedsläckt)


dnsportugal.org (numera nedsläckt)

Uppdatering 2020-05-16:
En besökare informerar om att de även använder sig av [dnsdenmark.com] och skickar likadana e-postmeddelanden till danska innehavare.

dnsdenmark.com

Och i Belgien har de till och med stämts.
https://assets.dnsbelgium.be/attachment/PRESS%20RELEASE%20Dnsbenelux.com%20EN%20FINAAL_0.pdf
https://www.dnsbelgium.be/en/news/dnsbeneluxcom

Men det är ju såklart tandlöst att hota med vite mot en anonymt/falskt registrerad domänadress..

Så vem ligger bakom allt detta elände då?
Ja, det berättade jag redan för över 10 år sedan, när de höll på med samma domänskojeri:

https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-part1/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-part2/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-part3/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-part4/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-part5/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-part6/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-part7/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-part8/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-epilouge1/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-epilouge2/
https://www.internetsweden.se/swedish-domain-scam-exported-by-sweden-epilouge3/

..efter det (och några fängelsedomar i bla Spanien, England och Belgien för några kontomålvakter) så växlade de ner domänskojeriet och växlade istället över till att skicka många många miljoner bluffakturor till samma länder som ovan
Om jag minns rätt kom de upp i ca 35 “Produktnamn” innan det ebbade ut och det sista som jag känner till drabbade Sverige var 2018-11-28 https://forenadebolag.se/varningslistan/arena-office-store/

Detta är en del av en väldigt omfattande kartläggning 2016-2017, där varje kolumn avser ett bluffaktureutskick (en kolumn = ett “produktnamn”), där detaljer som betalningsmottagare framgår.
  • och sedan ett år är de alltså tillbaka med domänskojeri igen och i Sverige nu som DNS SWEDEN.

Det torde vara överflödigt om vad jag anser om den Svenska Polisens engagemang i frågan, som haft detaljerad information om huvudmän, konton, kluster, omfattning och miljarder i brottsvinster, nu i över 10 års tid.

EDIT:
För den som tror att jag skämtar när jag skriver miljarder, så kan jag informera att jag är väldigt humorlös, när det kommer till dessa ämnen och ja, det är svenska huvudmän bakom all verksamhet!

Varför görs inget åt problemet?

(Som den “förståsigpåare” jag är, så “killgissar” jag lite..)

  1. Ett icke efterfrågat meddelande målar upp falska förutsättningar, som får mottagaren att handla ur en trängd/påhittad situation.
    (detta sker genom e-post, eller genom fakturaliknande papperserbjudanden eller manusföljda telefonsamtal)
  2. Handlingen består i att beställa domännamn, som presenterats med en falsk hotbild och med kraftigt falsk prisangivelse.
  3. Vid beställning registreras domännamn endast delvis med kundens uppgifter (inlåsningseffekt, för fortsatt bedrägeri)
  4. Faktuering vittnar om att betalning skall ske till ambulerande konton och via olika betalningskanaler (bla genom tjänsten factuursturen.nl)
  5. De betalningsmottagare som är kända, redovisar ingen omsättning till skattemyndigheter, trots att berörda banker AML-flaggar konton pga “Uncountable numbers of payments”

Det kan ju tyckas vara SJÄLVKLART BROTT för en drabbad företagare – varför sjutton gör inte myndigheterna någonting?

Om vi lekmannamässigt ser på 1-5, så skulle man kunna se händelserna som förbrott, huvudbrott och efterbrott.

I Sverige skulle man kunna tänka sig att myndigheter som Konsumentverket och Polisen skulle intressera sig för 1, 2 och 3
Varför jag drar in Konsumentverket (med ansvar för privatkonsumenter) är för att privatpersoner även kan agera som drabbade Enskilda Firmor och svenska myndigheter ser helt olika på när en Enskild Firma är näringsverksamhet och när hen är privatperson, därför bör det finnas ett ansvar hos KV. Se även EU´s gemensamma regler.
Och så här skriver Polisen: “Har du blivit lurad att göra något, eller att inte göra någonting som gjort att du tagit ekonomisk skada har du blivit utsatt för bedrägeri.”

Medan Skatteverket och Ekobrottsmyndigheten torde ha intresse av 4 och 5, då det strömmar extremt stora obeskattade belopp till kriminella i bla Sverige, belopp som omsätts i helt andra verksamheter.

Så svaret på varför ingen agerat, kan nog bara delvis spåras till bank- och myndighetssekretesser, landsgränser och att brott skett över internet.
Den större anledningen menar jag är oförståelse för den här typen av avancerad utbredd brottsstruktur, DNS, OSINT, lägg därtill resursbrist och en hög arbetsbelastning och myndigheternas nånannanism, så tror jag att vi närmat oss botten av problemet.

Nu finns en uppföljning till detta blogginlägg DNS Sweden – bakom fasaden

Related Articles

12 Comments

  • Domänskojaren DNS SWEDEN | Intechtell AB , måndag 27 april 2020 @ 6:53

    […] Ni kan lösa mer här: https://www.internetsweden.se/domanskojaren-dns-sweden/ […]

  • Birgit Off , måndag 27 april 2020 @ 12:19

    Tack för ditt jobb runt detta.
    Den har hjälpt mig.
    Jag kände igen deras förfarande och googlade på dem och hittade din info.
    Har nu även delat denna med vänner på FB.

  • Andreas , tisdag 28 april 2020 @ 8:56

    Mycket bra rapportering, fantastiskt grävande! Jag fick mailet igår och gjorde en sökning som hittade denna sidan.

  • PeA Scotte , torsdag 30 april 2020 @ 16:26

    Otroligt imponerande research du gjort och mkt intressant. Flera av mina kunder, småföretagare hörde av sig till mig om bla. detta bluff mail men ven ett som såg ut att komma från Loopia. Jag gjorde en snabb analys och kom direkt fram till att detta var ett bedrägeriförsök och mailade en varning till mina kunder(några hade dock redan hunnit klicka på länken i åtminstone Loopia mailet(som verkade vara ute efter inloggningsuppg. till deras Loopia konton)
    Meddelade direkt Loopia som spärrade från fortsatta utskick.
    Jag fick se n kopia på fakturan från DNSSWeden (som ju inte finns registrerat som bolag) och där fanns varken företagsnamn, org.nr eller BG-nr( man skulle visst betala via kreditkort eller via någon länk – bara det borde ju avskräcka folk tycker man…)

    Jag har mailat 2 ggr nu till info@dnssweden.com och anders@ – men givetvis inte fått något svar. Nu när jag läst din analys förstår jag bättre.

    Men går det inte att anmäla detta – mha ditt fina underlag – till den Europeiska Konsumentorganisationen – då detta ju på ett bedrägligt sätt omsätter enorma summor samt där man undanhåller både moms och skatt. Vad är det fär vits att ha rättssystem i olika länder, skattemyndigheter, Finansinspektioner, Polismakter och kriminalare, politiker samt banker som rä mer eller mindre inblandade osv. – och samtidigt tillåta att denna typ av bedrägerier liksom andra typer av bluff fakturor – år efter år utan att något görs. Det är ju rättsvidrigt.

    Återigen – kan man(du tex som har bäst kunskap och underlag) inte anmäla detta till Konsument Europa samt till kanske även “FBI” (minns inte vad den amerikanske motsvarigheten dit man kan anmäla olika typer av fraud till..)

  • Internet Sweden | Peter Forsman , torsdag 30 april 2020 @ 17:35

    Hej PeA,
    Tack, jo jag känner till utskicken som utger sig för att vara Loopia (https://blogg.loopia.se/varning-for-falska-e-postutskick-som-ser-ut-att-komma-fran-loopia/), men det är av allt att döma inte relaterat till dessa skojare.

    Vad gäller DNS Sweden, så finns det naturligtvis möjlighet att polisanmäla för den som anser sig ha blivit utsatt för brott, men då brott säkert av Polisen, anses ha begåtts utomlands, så finns minimal chans att en FU inleds.
    Sant är att det är såväl företag som privatkonsumenter som mottagit mailutskicken – problemet är då att Konsument Europa (som är en del av Konsumentverket i Sverige) är en del av ECC-nätverket (inom framförallt EU) är “rekommenderande” och de KAN bla använda sig av Trustpilot för att “varna” för verksamheter, men det förutsätter att skojarna använder en landstoppdomän inom EU (alltså har de inte möjlighet att varna för ex. .org eller .com)

    FBI-sidan som du tänker på är sannolikt [https://www.ic3.gov/], men det är främst US-medborgare som använder den och de har liten möjlighet att agera i Europa.

    Men det kan ju också tänkas att “någon” redan har meddelat upprättade kontaktytor hos brottsbekämpningen i berörda länder..

  • Jacob Sørensen , fredag 15 maj 2020 @ 22:41

    Jätte bra at du har gjort beskrivit detta scam. Dom er också aktive i Danmark, jag har mottaget samma mail på danskka, dom använder namnet DNS Denmark och sitet dnsdenmark.com.

  • Internet Sweden | Peter Forsman , fredag 15 maj 2020 @ 23:48

    Tack för informationen – Jag uppdaterar informationen.
    //Peter

  • Michael Rasmussen , fredag 22 maj 2020 @ 17:00
  • Ulf Lafveskans , tisdag 26 maj 2020 @ 17:10

    Tack! Polisanmälan är fullständigt lönlöst. Men detta hackningsförsök verkade så klumpigt att jag lämnat det utan åtgärd. Tidigare har jag utsatts för bedragare med hemort Estland. Man hade använt sig av en logga som var förvillande lik Bolagsverkets. En framsida med begäran om aktuell adress. En hel baksida försedd med helt tät text som ingen orkar läsa. Bolagsverket vägrade agera: “Det är ju inte vi!” Efter ett drygt år avslöjade Rapport bedrägeriet – och “kraven” försvann omedelbart.
    Så tack igen!

  • Paul Maric , onsdag 10 juni 2020 @ 15:06

    dnsnorway.com er nyeste tilskudd på listen 🙂

  • Paul Maric , onsdag 10 juni 2020 @ 15:30

    vi har mottatt noen slike i dag, fra ‘dnsnorway.com’. Etter å ha sett på headers, ser de ut til å ha blitt sendt fra Microsofts servere (ip-adresse 40.107.6.109, som er registrert på Microsofts datacenter i Irland). Jeg har fylt ut rapportskjema på cert.microsoft.com, så får vi se om det har noen effekt…

  • Internet Sweden | Peter Forsman , onsdag 10 juni 2020 @ 16:12

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *