Schlagwort-Archive: Betrug

SPAM: Arbeitsangebote (2)

Eine kleine Ergänzung zur Domain arbeitnehmerde.com. Die host-Abfrage ergibt: arbeitnehmerde.com mail is handled by 10 mx.arbeitnehmerde.com. IP-Adresse für mx.arbeitnehmerde.com ist 184.82.165.46, unter der auch der Nameserver ns1.talent-jobsearch.org. läuft. Die Domain, talent-jobsearch.org, ist unter dem Namen Neta Paschel registriert. Wir erinnern uns: Registrant für arbeitnehmerde.com ist Walter C. Derry.

Die Domain heidtgroup.com, IP-Adresse 64.191.88.71, ist auf Heidt Group Pty Ltd; Christin Schaefer; heidt@mailae.com registriert. Die Nameserver ns1.megahoster.biz und ns2.megahoster.biz für diese Domain führen uns in die Ukraine. IP-Adresse 64.191.88.70 und 64.191.88.71. Upps, die letzte IP kennen wir schon.

Schauen wir uns die Mail-Adresse heidt@mailae.com näher an. Die Mails an @mailae.com werden von einer Reihe Google Servern empfangen. Die Domain mailae.com ist WhoisGuard Protected, was darauf hindeutet, dass jemand etwas zu verbergen hat. (Nein, mit Datenschutz hat dies nichts zu tun.) Vertrauen erweckt diese Mail-Adresse nicht.

Namen sind in diesen Fällen meist Schall und Rauch. Jeder kann einen Server bestellen und einen beliebigen Namen angeben. Solange die Rechnung bezahlt wird, kümmert es die Provider wenig.

Genug für heute Abend.
Gute Nacht

SPAM: Arbeitsangebote

Achtung: Finger weg!

Wer sich auf diese Job oder Arbeitsangebote einlässt, macht sich meines Erachtens wegen Beihilfe zum Betrug und zur Geldwäsche strafbar!


Arbeitsangebot für einen Operationsmanager

Heute flatterten einige Arbeitsangebote für den Job eines Operationsmanager in mein virtuelles Postfach. Neben verschiedenen Absendern, die nichts mit der in der Mail erwähnten Heidt Group zu tun haben und nicht zur der in der Mail angegebenen Kontaktadresse passen, gibt es zwei Subject Zeilen:

  1. Arbeit in Deutschland
  2. Arbeitsmarkt Naturwissenschaften

Antworten soll man an Mac@arbeitnehmerde.com, Weston@arbeitnehmerde.com oder Stan@arbeitnehmerde.com. Gemäß whois ist die Domain arbeitnehmerde.com registriert auf:

Walter C. Derry
Walter Derry info@arbeitnehmerde.com
+1509-773-0751 fax: +1509-773-0751
1248 Sun Valley Road
Goldendale WA 98620
us

Der Text deutet auf Defizite in der Beherrschung der deutschen Sprache hin, ist aber schon recht gut – jedenfalls besser als viele andere Versuche.

Wir suchen einen Operationsmanager.

ÜBER UNS
Heidt Group bietet den auf den Erfolg gezielten Leitern und Manager Dienstleistungen
für Aufbau eines erfolgreichen Business an. Dafür stellen wir Ihnen unsere Kenntnisse und Erfahrungen zur Verfügung.

Wir erreichen Erfolge auf jedem Gebiet dank der engen Zusammenarbeit unserer Fachleute mit den Mitarbeitern des Kunden,
sowie dank der pflichtigen Ausbildung des Kundenpersonals zur Realisierung der von uns ausgearbeiteten Innovationen.

STELLUNG: Operationsmanager | STATUS: OFFEN

AUFGABEN:
– den Zahlungsstrom kontrollieren;
– Berichte über die Aufträge sorgfältig abfassen.

ANFORDERUNGEN:
– Hochschulreife oder Abschlusszeugnis bevorzugt;
– Zu unterschiedlichen Aufgaben bereit;
– Liebe zum Detail.

BEWERBEN SIE SICH JETZT:
Bitte senden Sie Ihre Bewerbung an Weston@arbeitnehmerde.com,und es wird an unsere Personalabteilung weitergeleitet.

Das die Kontrolle des Zahlungsstroms die Hauptaufgabe ist, lässt darauf schließen, dass es sich um einen Versuch handelt, Finanzagenten für nicht ganz koschere Geschäfte zu rekrutieren. Zwar fehlt das übliche Versprechen „Wenig Arbeit – großer Verdienst“, aber ansonsten sind alle SPAM Anzeichen vorhanden, was eine seriöse Arbeitsagentur tunlichst vermeiden würde. Die vorgeschriebenen Hinweise für den geschäftlichen Schriftverkehr fehlen.

Sucht man nach der Heidt Group findet sich eine aufwendige Web-Seite . Dort bietet eine Unterseite über Beschaftigungsmöglichkeiten ein Kontaktformular und eine deutsche Job-Beschreibung als PDF. Hier findet sich der unrealistisch hohe Verdienst. 700€ für 15 Stunden Arbeit pro Woche ergibt einen Stundenlohn von 46,67 €. (Ich sollte den Job wechseln.) Die Beschreibung lässt den Job des Finanzagent deutlicher zu Tage treten. Zahlungen entgegennehmen und weiterleiten.

(Bei meiner Suche nach weiteren Seiten im gleichen Stil über gemeinsame Stock Bilder – ähnlich Swiss Apotheke – bin ich auch auf Seiten der Oxon Accountancy und Kadobon Online BV gestoßen, die auf den ersten Blick mit dem gleichen Template / Tool-Kit erstellt wurden. Ob dies reelle Firmen sind, habe ich nicht weiter untersucht. Eine ähnliche Job-Beschreibung habe ich nicht gefunden. Der Aufwand, der betrieben wird um Leute hinters Licht zu führen, wird immer größer und zwischen gut und böse zu unterscheiden immer schwerer. Nach einigem Stöbern bin ich auf die mögliche gemeinsame Quelle bei Template Monster gestoßen – kannte ich noch nicht; auch ich lerne nie aus.)

Nach dem typischen Block über die Heidt Group (ist der bezahlt) bei Google findet sich eine skeptische Frage bei yahoo zu den Job-Angeboten der Firma. Beste Antwort: There is no job. There is only a scammer trying to steal your hard-earned money and time.

Weiter unten in den Suchergebnissen findet sich ein Beitrag bei Wortfilter mit mehr Informationen.

Gibt es eine Verbindung zwischen der SPAM Mail und der Web-Seite?

Über whois bin ich nicht fündig geworden. Es sind zahlreiche Domains mit unterschiedlichen Registranten im Spiel. Das zu untersuchen ist mir im Moment zu aufwändig. Große Teile der SPAM Mail sind offensichtlich der Job-Beschreibung entnommen – oder umgekehrt. Da es sich bei den identischen Teilen um miserables Deutsch handelt, ist ein Zufall sehr unwahrscheinlich. Eine Suche nach teile der Job-Beschreibung ergab keinen Hinweis auf weitere Server.

Es würde mich interessieren, warum in der Mail auf einen Link auf die aufwändig gestaltete Web-Seite verzichtet wird. Welche reelle Firma würde auf einen solchen Verweis verzichten?

Genug für heute. Gute Nacht!

SPAM: Shipment Notification from FedEx, Mon, 21 May 2012 10:09:59 +0100, 43938

Heute waren neun Mails dieses Typs im Postfach – nicht besonderes. Wechselnde Uhrzeit, wechselnde Zeitzone und eine wechselnde Nummer. Datum und Uhrzeit im Subject stimmen mit der Uhrzeit des Versandes überein. Das ist ein recht einfacher Trick um einen wechselnden Betreff zu erzeugen. Der X-Mailer ist auch eine willkürliche, wechselnde Zeichenfolge. ANsonsten ist der Header sehr spartanisch. Offenbar lohnt es sich nicht mehr, dem Empfänger einen echten Mail-Client vorzugaukeln. Der Anhang ist wieder eine ZIP-Datei mit eingepackten ausführbarem Programm. Gemäß VirusTotal erkennt Antivir zur Zeit (2012-05-21T20:32:25+00:00) den Virus TR/Spy.Bebloh.EB.23, ClamAV hingt wieder hinterher.

Die Trojaner nehmen langsam in der Größe zu (~200kByte). Sie werden recht zuverlässig als SPAM erkannt, aber wenn eine Größenbeschränkung für den SPAM-Check eingestellt ist, kann es sein, dass sie diese Grenze demnächst überspringen. Bei mir steht sie schon länger auf 1 MByte, früher waren es aber nur 100 KByte.

Gute Nacht!


From: FedEx
To:
Subject: Shipment Notification from FedEx, Mon, 21 May 2012 10:09:59 +0100, 43938
Date: Mon, 21 May 2012 10:09:59 +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: wfwgytb-13

Und noch eine Rechnung

Screenshot der Fraud Mail
Betreff: Rechnung Nr. 5986084 vom 9.05.2012
Hallo lieber Kunde/Kundin,

wir sind sehr erfreut Ihnen mitteilen zu können, dass Sie sich für Premium Mail angemeldet haben.
Sie können jetzt bis zu 550 Sms pro Monat umsonst versenden und Ihr Speichervolumen erhöht sich um 12 Gb.

82,49 Euro werden Ihnen monatlich von Ihrem Konto entzogen. Entnehmen Sie die Vertragsdetails bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freundlichen Grüssen
Ihr Kundenservice

Schon etwas besser, aber nicht gut genug. Diese Mail-Adresse nutze ich nicht und schon gar nicht unter dem Pseudonym „yvon camille“. Wenn man schon E-Mail Adressen automatisch generiert, sollte man den Vor- und Nachnamen wenigstens auch als Empfänger nehmen und ihn nicht mit „Lieber Kunde“ anreden.

Mein clamav will auch heute die Anhänge nicht als Schadsoftware erkennen. 🙁

Gute Nacht

Paypal: Fortsetzung blockiert ! Oder lieber ?

Screen Shot Paypal Fraud

Heute landete eine obige Mail in meinem Postfach. SpamAssassin hat sie leider durchgelassen. Aber da ich Paypal nutze, ist es nicht ganz einfach die Spreu vom Weizen zu trennen. Eigentlich nichts ungewöhnliches – nur schlechtes Deutsch und die alten Tricks. Interessant ist der angebliche Virenscan und der Hinweis, wie man Spoof- oder Phishing-E-Mails erkennt. Allerdings führt der Link nur zur Hauptseite von Paypal und von dort müsste man noch etwas suchen, um die gewünschte Information zu bekommen. In sich hat es der Link zum Einloggen, der nicht zu Paypal sondern zu einer Seite http://lordandladytantrum.co.uk/… führt. (Den vollständigen Link veröffentliche ich hier lieber nicht.) Eine andere Mail zeigt auf travelling-tots.co.uk. Da wurden wohl wieder ein paar Server gehackt.

Screen Shot der angeblichen Paypal Web Seite
Screen Shot der angeblichen Paypal Web Seite

Ich habe bei Paypal nachgelesen, wie ich echte E-Mails erkennen kann. (Gut, dass ich in diesen Punkten einen robusten Magen habe.) Ich darf mal zitieren:

Daran erkennen Sie echte Paypal E-Mails

Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang. Wir werden Sie darin nie auffordern, eine der folgenden Informationen preiszugeben:

Ihre Kreditkartennummer oder Kontoverbindung
Ihr Passwort, Ihre E-Mail-Adresse oder Ihren vollständigen Namen
die PIN oder TAN Ihres Bankkontos

Das ist ja alles ganz nett und wenig hilfreich – die obige Fraud Mail hält sich an diese Erkennungskriterien. Einzige wertvolle Information ist: Keine Anhänge! Aber bedeutet dies auch kein HTML? Ich schaue mal in mein Postfach. Nein, Paypal nutzt auch für die einfachen Zahlungsbestätigungen HTML. Unterschiede zur Fraud Mail: Paypal verwendet den Absender service (at) paypal.de und nicht PayPal (at) paypal.de. Außerdem nutzt Paypal sowohl Text als auch HTML (also doch Anhänge) und nicht wie die Fraud Mail ausschließlich HTML.

Ob Paypal schon etwas von digitalen Signaturen gehört hat? Wahrscheinlich genauso viel wie Banken, Postbank, Sparkassen und Co. Zu umständlich? Wohl kaum! Eher dürften da die geringen zusätzlichen Kosten pro E-Mail eine Rolle spielen. Die Masse macht es eben. Obwohl! DKIM-Signaturen werden schon genutzt. Nur welcher Nutzer sieht dies in seinem Mail-Client?

Belustigend ist auch der Server, der die Mails schickt (siehe Bild 3). Bei Gelegenheit werde ich recherchieren, wer sich hinter diesen Critcom – Trusted Internet Marketing Professionals verbirgt. „Trusted“ müssen die mir mal erklären.

CRITCOM - Trusted Internet Marketing Professionals
CRITCOM - Trusted Internet Marketing Professionals