SPAM: Betrügerische Arbeitsangebote unter germanysjob.com

Seit gestern (02. März 2014 11:21:01Z) gibt es eine weitere Domain – germanysjob.com – für kriminelle Arbeitsangebote. Diesmal haben die Betrüger allerdings vergessen der Domain germanysjob.com einen Mail- und Web-Server zuzuordnen. Auffällig ist, dass die Mail von einem selbst stammt. Die Bewerbung soll an eine E-Mailadresse vorname@germanysjob.com geschickt werden. Bei mir sind Ulf und Carsten als Empfänger aufgetaucht. Jungs: Ohne einen der Adresse zugeordneten Mails-Server wird dieser Beutezug nicht funktionieren.

Auch wenn der Ausdruck und die Rechtschreibung noch immer nicht perfekt ist: Die Kameraden haben dazu gelernt; der Text enthält neuerdings Umlaute.

From: <thomas@example.com>
To: <thomas@example.com>
Subject: Starten Sie heute an zu arbeiten
Date: 3 Mar 2014 13:28:15 +0000

Sehr geehrte Damen und Herren

Ich benutze diese Gelegenheit, um Ihnen eine freie Stelle in unserer Firma vorzuschlagen und ihre kurze Beschreibung zu geben.
Haben Sie Ihre Karriere schon beendet, sind die im Schwangerschaftsurlaub, ein Rentner oder einfach Arbeitslose?
Dann ist diese Stelle für Sie.

Beschäftigungsgrad: Teilbeschäftigung – 1 bis 3 Stunden pro Tag.
Mindestens 20 Stunden der Beschäftigung pro Woche können wir Ihnen garantieren.

Gehalt: 3000 Euro pro Monat plus Kommissionsgeld.

Arbeitsort: Europa

Beachten Sie bitte!
Sie brauchen keinen einziges Cent auszugeben, um an die Arbeit in unserer Firma zu gehen.

Wenn Sie bereit sind, den Fragebogen und mehr Information über diese Stelle zu bekommen,
ein Telefongespräch zu vereinbaren, schicken Sie bitte einen Brief auf
Carsten@germanysjob.com
unter Angabe

1. Ihrer ID-Nummer für diese Stelle: IDNO #4931/PN
2. Namen und Vornamen
3. Telefonnummer im internationalen Format

 

Update 05.03.2014:
Heute kam eine E-Mail mit der Domain arbeiten-de.com. Diese Domain hat selbst keine IP Adresse, wohl aber der Mail-Server mx.arbeiten-de.com (IP: 165.98.133.60).
Update 26.03.2014:
Die Mail wird jetzt mit der neuen Domain nebenjobde.com verteilt; Mailserver mx.nebenjob.de (IP: 108.59.249.55). Die Domain wurde gestern, am 25.03.2014 18:45:11Z, erstellt.

SPAM: Personalagentur sucht Personal fur eine britische Firma

Unter der Seite lcsrecruitment.net sind wieder Bauernfänger unterwegs unter dem Deckmantel einer echten Firma unterwegs. Die Firma LCS Recruitment gibt es wirklich, die hat jedoch die Adresse lcsrecruitment.co.uk. Ein kleiner aber wichtiger Unterschied. Die gefälschte Web-Seite ist nahezu 1:1 von der Original-Seite kopiert und greift direkt auf die Scripte und Stylesheets des Originals zu.

Fälschung

Betrugsseite LCS Recruitment.net
Betrugsseite LCS Recruitment.net

Original

Ausschnitt aus der Original Seite LCS Recruitment
Ausschnitt aus der Original Seite LCS Recruitme

Die Spam Mail

Auch mit folgender Mail – Umlaute wie üblich unbekannt – werden wieder Dumme für den Warenkreditbetrug gesucht:

Personalagentur sucht Personal fur eine britische Firma.

Position: Manager fur Warenversand.
Arbeitsbereich des Unternehmens umfasst internationale Lieferung von Waren,
Kurierdienste.

Aufgaben:
– Empfang, Sortieren und Versand von Waren per Post.
– Artikel sortieren.
– Erfassung der eingehenden und ausgehenden Waren.
– Rechtzeitige Lieferung und Versand.
– Abfertigung der Dokumente.

Anforderungen:
– Sicherer Umgang mit Microsoft Office, Mail, Internet.
– Fester Wohnsitz in Deutschland.
– Alter von 19 bis 55 Jahren.

Arbeitsvertrag.
Zeitplan fur den ersten Monat: zunaechst 3-4 Stunden pro Tag.
2100 Euro Bezahlung + monatliche Bonus.

Bitte senden Sie Ihren Lebenslauf per E-Mail cv@lcsrecruitment.net

Mit freundlichen Gruben Ava Preston
Staffing agency „LCS Recruitment“

Laut WHOIS wurde die Domain am 24.02.2014 für die Firma LCS Recruitment eingerichtet, die sich in 48226 Detroit MI, 3113 Daylene Drive befindet. Diese Adresse wird von Google Maps allerdings nicht gefunden. Es gibt diese Straße nicht in Detroit.

Die Mails an die Domain lcsrecruitment.net (IP 91.220.131.32) werden über yandrex.ru abgewickelt, der Server der Web-Seite steht in Russland.

Finger weg und gute Nacht!

Update 03.03.2014: Die Seite ist schon wieder verschwunden. Zwar gibt es noch die Domain, aber keinen DNS-Record mehr zu der IP Adresse.

Update 10.03.2014 Auf der Seite, die ich für die Original-Seite gehalten habe, ist derzeit nur eine CentOS Apache 2 Testseite zu sehen. Da ich die kleine „Firma“ angeschrieben habe und auf die Betrüger aufmerksam gemacht habe, könnte es natürlich sein, dass sie ihre Seite erst einmal herunter genommen haben. Eine Antwort habe ich allerdings nicht erhalten.

SPAM: Arbeitsangebote

Es ist wieder einen neue, vereinfachte Variante der Arbeitsangebote unterwegs. Unten ein Beispiel des Komitee für Arbeitskräfte. Im Unterschied zu anderen Angeboten wird ein Jahresgehalt von 40.000 € versprochen, Zwei Wochen Urlaub sind amerikanischer aber nicht europäischer Standard. Hier müsste ein Mindesturlaub von 24 Tagen (auf Basis einer 6-Tagewoche, wenn ich mich nicht irre) zugesagt werden. Eine genaue Beschreibung der Tätigkeit fehlt hier.

Die Domain alicia.in.ua ist in der Ukraine registriert und der Server (IP 95.163.107.213) steht in Russland.

Lassen Sie die Finger davon.

Sehr geehrter Arbeitssuchender
Sie erhalten diese Nachricht als ein Bewerber um die Stelle von einem Obermanager in unserer Internet-Gesellschaft. Unser aktuelles Angebot an Sie schließt einen flexiblen Arbeitsplan, Krankenversicherung, ein Bruttogehalt von 40.000 EUR (Vierzigtausend Euro), einen jährlichen Urlaub für zwei Wochen ein.
Wenn Sie Interesse für weitere Information bezüglich Stellenangebote haben, bitte füllen Sie ein Formaular www.alicia.in.ua/
Achtungsvoll,
Komitee für Arbeitskräfte
Helmuth Adrian

SPAM: Stellenangebote magna-recruitment.com

Im Moment sind die Betrüger wieder fleißig auf der Suche nach neuen Mitarbeiter. Bewerbungen gehen im Moment an die Mail Adressen

  1. vorname@germany-googleapps.com
  2. vorname@arbeit-googleapps.com
  3. cv@magna-recruitment.com

Ansonsten gibt es nichts Neues an der Front.

SPAM: Verwaltungsarbeit in der grossen Firma

Jetzt schicke ich mir schon selbst Stellenangebote. Sie auch? Lassen Sie die Finger davon; es handelt sich um Betrug und Sie landen im Knast. In diesem Fall dürfte es um Geldwäsche aus Pishing gehen. Sie erhalten einen Beträge auf ihr Konto gutgeschrieben und leiten diese Beträhe – nach Abzug ihrer Provision – ins Ausland als Bar-Überweisung per Western Union weiter.

Der Mailserver für die Domain arbeit-googleapps.com, mx.arbeit-googleapps.com (IP 220.67.126.175) steht in Korea, obwohl er vor zwei Tagen (28.11.2013) mit amerikanischen Kontaktdaten registriert wurde. Dies ist schon der zweite Fall heute, in dem kein Anonymisierungsdienst für die Registrierung genutzt wurde. Sollte es Schule machen?

Also Finger weg!

Genug für heute.

Date: Fri, 29 Nov 2013 04:13:44 -0800
From: <thomas@example.com>
To: <thomas@example.com>
Subject: Verwaltungsarbeit in der grossen Firma

Guten Tag!
Wir suchen die Mitarbeiter fuer die Verwaltungsfunktion in der Abteilung für die Arbeit mit Kunden,die mit der Geldangelegenheit verbunden ist.

Fuer die Arbeit ist notwendig:
Sie sollen eine minimale Kenntnisse im Finanz-und Währungssystem haben
Kontaktfreudig und verantwortlich sein
einen Zugang zum Internet, E-Mail und Mobilfunk haben
Ein Bankkonto für die Zahlung von Bonus und Gehalt haben

Arbeitsbedingungen:
Teilbeschaeftigung
Arbeitszeit koennen Sie selbst variieren
Ein guter Arbeitslohn
Karriereaufsteig

Für weitere Information über das Unternehmen und die Dienststellung fuellen Sie das Registrierungsformular solcher Art aus:
1.Name und Vorname
2.Kontakttelefon
3.Aufenthaltsland

Unsere Kontakte: Clare@arbeit-googleapps.com

Nach der Ermittlung Ihres Registrierungsformulars setzen wir uns mit Ihnen in Verbindung und schicken eine weitere Information.
Viel Erfolg!!!

Versandbetrug – weitere Firma

Homepage ETT-SA
Homepage ETT-SA

Unter dem Namen „E.T.T., European Trade and Transport SA“ betreiben die Betrüger eine neue Seite unter der Adresse www.ett-sa.com, IP 62.109.20.212. Der Server gehört zu einem Russischen Netz und die Domain ist auf einen Amerikaner registriert. Wahrscheinlich gibt es den Registrant nicht oder es weiß nichts von seinem Glück. Also bitte keine voreiligen Schlüsse ziehen.

Woher die Bezeichnung ETT genommen wurde, habe ich auf die schnelle nicht ermitteln können. Es gibt unter anderem einen Online Shop in Deutschland und eine französischen Firma ett-sa.fr, die diese Abkürzung im Namen führt.

Unter Stellenangebote findet sich das folgende Angebot:

Stellenangebot

Aufgrund unseres starken Wachstums suchen wir Sie als Versandmitarbeiter (m/w)

Ihre Aufgaben

Allgemeine Versandtätigkeiten
Sie unterstützen den reibungslosen Lager- und Logistikablauf

Ihr Profil

Pünktlichkeit und Zuverlässigkeit
Selbstständige und gewissenhafte Arbeitsweise
Deutschkenntnisse in Wort und Schrift
Grundkenntnisse in MS-Office
Internetzugang und E-Mail-Adresse
Drucker und Scanner

Wir bieten Ihnen

• Wirtschaftlich gefestigtes Unternehmen
• Eine Arbeit von Zuhause
• Einen unbefristeten Arbeitsvertrag
• Ein festes und gesichertes Einkommen
• Soziale Absicherung

Bewerbung

Interesse geweckt? Wir freuen uns auf Ihre aussagekräftigen Bewerbungsunterlagen einschließlich ausgefüllten Bewerbungsschreiben per E-Mail.
Für weitere Informationen rufen Sie uns an oder schreiben Sie uns eine E-Mail!

Heute wurde mir berichtet, dass die Betrüger sogar telefonischen Kontakt mit dem Versandmitarbeiter oder Opfer aufgenommen haben. Offenbar werden – neben den bekannten Spam-Mails – Job-Börsen im Internet für die Rekrutierung der Mitarbeiter genutzt. Dank der Skepsis des neuen Versandmitarbeiters ist kein größerer Schaden entstanden. Ihm war aufgefallen, dass die Bestellungen auf seinem Namen liefen und die bestellten Waren recht teuer waren, was ihn dazu bewegte das „Geschäftsmodell“ zu recherchieren. Am nächsten Tag ist er zur Polizei gegangen. Allerdings liegt bereits eine Anzeige wegen Geldwäsche gegen den Versandmitarbeiter vor, da die Kreditkartendaten gestohlen waren.

Also: Wenn sie über das Internet geworben werden, der Kontakt nur per E-Mail erfolgt, auf eine persönliches Bewerbungsgespräch aus Kostengründen verzichtet wird und ihr Arbeitgeber Waren auf ihren Namen bestellt, die sie – nachdem, sie die Rechnungsunterlagen entfernt haben – weiterleiten sollen, dann ist Gefahr im Verzug.

Weitere Kennzeichen eines Stellenangebotes zum Warenversandbetrug:

  1. Weiterleitung der Pakete ins Ausland
  2. Bestellungen wurden vor Beginn des Arbeitsvertrages vorgenommen
  3. Es gibt eine Homepage, die anderen Betrugsseiten sehr ähnlich sieht
  4. Telefonnummer im Ausland, Nummer passt nicht zum Heimatland der Firma

Nicht alles muss zutreffen und die Betrüger werden sich und ihre Methoden anpassen, je mehr vor ihnen gewarnt wird.

Weitere Informationen gibt es in den älteren Artikeln unter den entsprechenden Kategorien.

Warenkreditbetrug auf neuen Seiten

Warnung Betrug

Heute erhielt ich einen Hinweis auf neue Web-Seiten unter denen die Betrüger Ihre Angebot verbreiten. Dies sind die Seiten

  1. atreck-transport.com
  2. fusion-transport.com
  3. foll-transport.com
  4. bespost.com

Die IP-Adresse dieser Domain Namen lautet 103.31.186.45. RDNS ergibt den Namen lh21365.voxility.net. Dieser Server schein neu zu sein. Ich habe die IP Adresse bisher nicht auf meiner Liste.

Die Web-Seiten sind von der Firma Streck Tranpsport kopiert, die auf ihrer Seite bereits seit dem 5. Juli davor warnt.

Die Betrüger haben die Seiten kopiert und dabei die Namen und Logos ausgetauscht. Was die Betrüger vergessen haben, ist das favicon der Firma Streck zu ersetzen. Sämtliche Seiten wurden dahingehend angepasst, dass der Mitarbeiter sich auf jeder Seite im Kopfbereich mit Benutzername und Password einloggen kann. Als Online-Zugang dient wahrscheinlich auch die modifizierten Original Seite.

Gefälschte Kopfzeile
Gefälschte Kopfzeile

Sogar das Original Kontaktformular wird leicht modifiziert genutzt. Hier wurde die Telefonnummer aber nicht der Name der Mitarbeiterin ausgetauscht. Der Ausbildungsflyer der Firma Streck (als PDF-Dokument) steht im Original bereit. Womit klar wird, dass es sich bei den angeblichen Firmen um Fälschungen handelt. Leider scheinen die Domains nicht von Google indiziert zu werden, sonst könnte ich recht einfach prüfen, welche weiteren Domains existieren.

Das Prinzip ähnelt dem bekannten Vorgehen (Loy, MS Transporte Schwab, …). Ob jedoch die gleichen Betrüger dahinter stehen ist schwer abzuschätzen.

Spam Mails zu diesen Domains habe ich nicht im Eingang gefunden. Vielleicht haben die Betrüger mich aus ihren Adresslisten entfernt.

Gute Nacht

PS : Siehe auch die Warnung im Forum computerbetrug.de

SPAM: Arbeitsangebote von arbeiten-google.com

Warnung Betrug
Die Arbeitsangebot machen nun schon den größten Teil der Spam Mails aus. Nun haben sie sich eine Domain arbeiten-google.com (mx.arbeiten-google.com / 67.159.12.94) eingerichtet. Die Mail Adressen sind sehr verschieden. Es werden hier wohl einfach alles als E-Mail Adresse akzeptieren.

Date: Tue, 25 Jun 2013 22:21:08 -0500
From: <e66b3f8@example.com>,
<thomas@example.com>
X-Mailer: The Bat! (v3.5) Home
To: <e66b3f8@example.com>,
<thomas@example.com>
Subject: Aktuelle Stellenausschreibungen
Hallo, Wir haben eine ausgezeichnete Gelegenheit für einen Lehrling Antragsteller, einem schnell wachsenden Unternehmen beizutreten.

Ein zu Hause Key Account Manager Position ist eine große Chance für die Eltern zu Hause zu bleiben
oder jede Person, die in den Komfort von zu Hause aus arbeiten möchte.

Dies ist ein Teilzeitjob / flexible Stunden nur für die Europäer, dies ist im Hinblick auf unsere nicht mit einer Niederlassung derzeit in Europa,
auch weil von PayPal und eBay Politik die verbietet direkt mit den Bewohnern einiger Länder zu arbeiten.

Voraussetzungen: Computer mit Internetzugang, gültige E-Mail-Adresse, gute Tipp-Fertigkeiten.
Wenn Ihnen die obige Beschreibung passt und Ihren Anforderungen erfüllt, bewerben Sie sich auf diese Anzeige unter Angabe Ihrer Lage.

Sie werden die Abwicklung von Bestellungen von Ihrem Computer machen. Wie viel Sie verdienen, liegt an Ihnen.
Der Durchschnitt liegt in der Region von 750 EUR – 1000 EUR pro Woche, je nachdem, ob Sie arbeiten Voll-oder Teilzeit.

Region: nur Europäer.

Wenn Sie weitere Informationen wünschen, kontaktieren Sie uns bitte, teilen Sie uns mit wo Sie sich befinden, unsere Job-Referenznummer – 75370-21/9HR.
Bitte nur ernsthafte Bewerber.

Wenn Sie interessiert sind, antworten Sie bitte auf: Herschel@arbeiten-google.com

Was die doppelten oder x-fachen Adressen mit Zufallszeichenfolgen sollen ist mir nicht ganz klar? Spam-Filter irritieren?

Hier die bei mir aufgetretenen Antwortadressen:

  1. Adele@arbeiten-google.com
  2. Alvaro@arbeiten-google.com
  3. Arturo@arbeiten-google.com
  4. Bernardo@arbeiten-google.com
  5. Carmine@arbeiten-google.com
  6. Dennis@arbeiten-google.com
  7. Earline@arbeiten-google.com
  8. Elbert@arbeiten-google.com
  9. Elvin@arbeiten-google.com
  10. Gerardo@arbeiten-google.com
  11. Gina@arbeiten-google.com
  12. Herbert@arbeiten-google.com
  13. Herschel@arbeiten-google.com
  14. Isaac@arbeiten-google.com
  15. Jacklyn@arbeiten-google.com
  16. Kent@arbeiten-google.com
  17. Laurence@arbeiten-google.com
  18. Margie@arbeiten-google.com
  19. Paul@arbeiten-google.com
  20. Raquel@arbeiten-google.com
  21. Rosella@arbeiten-google.com
  22. Shelby@arbeiten-google.com
  23. Wm@arbeiten-google.com

Und weil es so schön ist, hier die Job-Referenznummern:

  1. 01421-62/2HR
  2. 06554-20/3HR
  3. 07733-14/7HR
  4. 08266-37/4HR
  5. 08278-52/9HR
  6. 19026-40/3HR
  7. 19371-79/8HR
  8. 30927-98/3HR
  9. 31192-80/7HR
  10. 37286-36/3HR
  11. 39392-15/5HR
  12. 45937-83/3HR
  13. 51963-78/3HR
  14. 62498-57/6HR
  15. 66579-60/7HR
  16. 74606-50/5HR
  17. 75370-21/9HR
  18. 80174-80/3HR
  19. 83922-73/2HR
  20. 84271-64/6HR
  21. 84672-37/1HR
  22. 92450-51/1HR
  23. 92459-85/2HR
Update 13.03.2014:
Jetzt sind diese Mails wieder mit neuen Domains unterwegs.
Siehe: Arbeitsangebote für einen Lehrling Antragsteller

Weitere Seiten mit Versandbetrug

Warnung Betrug
Dank eines Tipps – mir wurden die FAQ der Paramout Group zum Arbeitsangebot zugeschickt – bin ich heute auf weitere Seiten mit Warenbetrug gestoßen. Die FAQ hingen an einer Mail, die über eine angebliche Job-Vermittlung heads-uk.net, über die gestern unter Neue Web-Adresse für Versandbetrug.

Als Sammelbegriff für diese Gruppe Betrüger sollte ich „Paramount“ verwenden. Zu diesem Betrügern habe ich folgende Seiten gefunden:

  • uk-paramountgroup.net (IP: 141.101.116.212, 141.101.117.212)
  • www.paramountfreight.co.uk (IP: 81.201.139.249)
  • paramountdelivery.net (IP: 91.220.131.32)
  • paramountdelivery.com (IP :108.162.196.239, 108.162.197.239)
  • www.tomexsa.com (IP:199.30.240.232)

Die Inhalte der englischen Web-Seiten sind bis auf die Namen der Firmen und die Logos weitgehend identisch. Das Design stammt nach Selbstauskunft einer Seite von webcreationuk.co.uk. Die Adresse unter „Contact“ ist für alle Firmen dieselbe Anschrift angegeben:

Unit 4 Dockwells Estate
Off Central Way
North Feltham Trading Estate
Feltham
Middlesex
TW14 0RX

Als Telefonnummern finden sich: +442081444840 (P. Group), 020 3289 8890 (P. Delivery und Tomexsa), 020 8890 2244 (P. Freight Forwarding). Um sich selbst vor Spam zu schützen, nutzen Sie ein CAPTCHA.

Interessant sind die Antworten auf die Frage, warum die Waren über einen Dritten geliefert werden müssen. Hier ein Auszug aus den FAQ.

Frage: Warum können die Postsendungen nicht direkt an Ihre Firmenadresse geschickt werden?
Antwort: Der Versand einzelner Güter auf Firmenadresse mit der weiteren Versendung an Kunden erhöht den Preis des Gutes und macht es nicht konkurrenzfähig.

Frage: Warum können die Postsendungen nicht direkt an Kundenadresse geschickt werden?
Antwort: Vor dem Absenden der Pakete an Kunden möchte unser Unternehmen sicher gehen, dass die Güter ordnungsgemäß verpackt wurden und der Inhalt entspricht der Bestellung. Dies geschieht, um Verwechslungen oder möglichen Betrug zu vermeiden. Für diese Zwecke wird ein Manager für Warenverteilung gesucht.

Diese Antworten sind Unfug, denn der Zwischenversender bekommt pro Paket 30 € plus einen Monatslohn von 400 €. Zu einer Zahlung des Monatslohnes wird es nie kommen. In einem mir berichteten Fall hat es drei Tage gedauert, bis der Postbote von der Polizei begleitet wurde. Es lag bereits eine Anzeige wegen Kartenbetruges und Geldwäsche vor.

Genug für heute.


Logos

Paramount Group
Paramount Group
Paramout Freight Forwarding
Paramout Freight Forwarding
Paramount Delivery Service
Paramount Delivery Service
Tomexsa Logistics
Tomexsa Logistics

Spam: Suche nach Finanzagenten

Angeblich sucht die Rullion wieder Mitarbeiter in Deutschland. Kann gut sein, aber die per E-Mail verschickten Job-Angebote sind gefälscht. Hier werden ahnungslose Schafe als Finanzagenten gesucht, um betrügerische Geldüberweisungen ins Ausland zu transferieren.

Die offizielle Homepage der Rullion ist rullion.co.uk und nicht rullion.net. Siehe auch meinen früheren Artikel. Damals wurde die Domain rullion.org genutzt und aus Christoph Taylor wird Andrew Spencer.

Unterschrieben sind Mails mit:

Mit freundlichen Gruessen,
Andrew Spencer
HR Department
Recruitment agency Rullion
job_cv@rullion.net