Zum Inhalt springen

Phishing-Warnung

Gefälschte E-Mails zu angeblich gesperrtem Hosting im Umlauf – nicht von uns

Klicken Sie keine Links in diesen E-Mails an!
Geben Sie keine persönlichen Daten oder Kreditkarteninformationen ein. Löschen Sie die Mail.

Was ist passiert?

Seit dem 04.07.2026 versenden Betrüger gefälschte E-Mails im Namen von DomainProvider.de. Darin wird behauptet, Ihr Hosting sei abgelaufen und Ihre Domain deshalb gesperrt. Über einen Button „Jetzt erneuern" sollen Sie innerhalb von 3 Tagen zahlen – bevorzugt per Kreditkarte –, sonst drohe die dauerhafte Löschung.

Wichtig: Diese E-Mails stammen nicht von uns. Unsere Systeme wurden nicht kompromittiert. Es handelt sich um Phishing – also um einen Betrugsversuch.

Bitte klicken Sie keine Links an und geben Sie keine Zahlungs- oder Zugangsdaten weiter. Prüfen Sie Vertrags- und Zahlungsinformationen ausschließlich nach Login in Ihrem Kundenkonto.

Falls Sie unsicher sind, ob eine Nachricht echt ist, leiten Sie diese (wenn möglich inkl. vollständiger Header) an unseren Kundenservice weiter - wir prüfen das gerne für Sie.

Wie sieht die Phishing-Mail aus?

Die E-Mail trägt den Titel „Aussetzung Ihres Hostings bei DomainProvider.de – Aktion innerhalb von 3 Tagen erforderlich" und wirkt auf den ersten Blick echt: Logo, Firmenname, unsere Bonner Adresse und sogar unsere Telefonnummer sind korrekt übernommen. Lassen Sie sich davon nicht täuschen – all diese Angaben sind öffentlich und lassen sich leicht kopieren.

So sieht die aktuelle Phishing-Mail aus:

Screenshot einer Phishing-Mail im Namen von DomainProvider.de mit gefälschtem Absender und betrügerischem Zahlungslink

Woran erkennen Sie die Fälschung?

  • Falscher Absender: Die Mail kommt von fremden Adressen wie admin@robensdesigns.com – nicht von domainprovider.de oder gerwan.de.
  • Allgemeine Anrede: Die Mail beginnt mit „Sehr geehrte Damen und Herren" – ohne Ihren Namen. Wir sprechen Sie in unseren E-Mails i.d.R. immer persönlich an.
  • Keine konkreten Angaben: Weder Domainname noch Kundennummer oder Rechnungsnummer werden genannt. In echten E-Mails von uns steht, um welche Domain oder welchen Vertrag es geht.
  • Künstlicher Zeitdruck: „Innerhalb von 3 Tagen", sonst drohe die „dauerhafte Löschung" – solche Fristen setzen unter Druck und sind ein typisches Phishing-Merkmal.
  • Drängen auf Kreditkartenzahlung: Die Mail „empfiehlt" die Zahlung per Kreditkarte über den Button „Jetzt erneuern". Zahlen Sie niemals über einen Link oder Button aus einer solchen E-Mail.
  • Leicht überprüfbare Behauptung: Angeblich ist Ihre Domain gesperrt und alle Dienste sind unterbrochen. Ob das stimmt, sehen Sie sofort: Funktionieren Ihre Website und Ihre E-Mail-Postfächer, ist die Behauptung falsch.

Was sollten Sie tun?

  1. NICHT auf Links klicken! – öffnen Sie keine Links aus der Mail, auch nicht den Button „Jetzt erneuern".
  2. KEINE Daten eingeben! – falls Sie bereits auf den Link geklickt haben, geben Sie auf keinen Fall Zahlungs- oder Zugangsdaten ein.
  3. Status im Kundenkonto prüfen – melden Sie sich direkt über www.domainprovider.de an (nicht über Links aus der Mail) und prüfen Sie dort Ihre Verträge.
  4. Mail LÖSCHEN – verschieben Sie die E-Mail in den Papierkorb.
  5. Im Zweifel bei uns melden – wenn Sie unsicher sind, ob eine E-Mail echt ist, kontaktieren Sie uns direkt unter 0228 9696770 oder per E-Mail an info@gerwan.de.

Sie haben bereits Daten eingegeben?

Wenn Sie auf den Link geklickt und Kreditkartendaten eingegeben haben, handeln Sie sofort. Wir empfehlen Ihnen umgehend:

  • Lassen Sie Ihre Kreditkarte unverzüglich sperren – bei Ihrer Bank oder über den Sperrnotruf 116 116.
  • Erstatten Sie Anzeige bei der Polizei – das geht auch online über die Onlinewachen der Polizeien in Deutschland.
  • Beobachten Sie Ihre Kontoauszüge in den kommenden Wochen auf unbekannte Abbuchungen.

Frühere Phishing-Welle (März 2026)

Bereits im März 2026 waren gefälschte E-Mails im Namen der Gerwan GmbH im Umlauf. Damals wurde behauptet, eine Domainverlängerung sei fehlgeschlagen – der Link führte auf eine externe Website, die Kreditkartendaten abfragte.

Die damaligen E-Mails wirkten technisch legitim (SPF/DKIM/DMARC waren oftmals gültig), da sie über kompromittierte externe Server versendet wurden. Auch für diese Mails gilt: Keine Links anklicken, keine Daten eingeben, Mail löschen.

Stand: 4. Juli 2026