Betrügerische Arbeitsangebote Trade FS oder TrakTran

Heute kam eine neue Variant der betrügerischen Arbeitsangebote durch den Spam-Filter. Den Text haben die Kameraden schon stark verbessert. Als erstes fällt auf, dass die angeschriebene E-Mail-Adresse eigentlich nicht existiert. Der Server akzeptiert zwar alle Adressen, aber diese habe ich mit Sicherheit noch nie verwendet. Sie stammt damit nicht aus einem guten Adressverzeichnis und ist nur erraten.

Homepage Trade FS
Homepage Trade FS

„Betrügerische Arbeitsangebote Trade FS oder TrakTran“ weiterlesen

Warenkreditbetrug auf neuen Seiten

Warnung Betrug

Heute erhielt ich einen Hinweis auf neue Web-Seiten unter denen die Betrüger Ihre Angebot verbreiten. Dies sind die Seiten

  1. atreck-transport.com
  2. fusion-transport.com
  3. foll-transport.com
  4. bespost.com

Die IP-Adresse dieser Domain Namen lautet 103.31.186.45. RDNS ergibt den Namen lh21365.voxility.net. Dieser Server schein neu zu sein. Ich habe die IP Adresse bisher nicht auf meiner Liste.

Die Web-Seiten sind von der Firma Streck Tranpsport kopiert, die auf ihrer Seite bereits seit dem 5. Juli davor warnt.

Die Betrüger haben die Seiten kopiert und dabei die Namen und Logos ausgetauscht. Was die Betrüger vergessen haben, ist das favicon der Firma Streck zu ersetzen. Sämtliche Seiten wurden dahingehend angepasst, dass der Mitarbeiter sich auf jeder Seite im Kopfbereich mit Benutzername und Password einloggen kann. Als Online-Zugang dient wahrscheinlich auch die modifizierten Original Seite.

Gefälschte Kopfzeile
Gefälschte Kopfzeile

Sogar das Original Kontaktformular wird leicht modifiziert genutzt. Hier wurde die Telefonnummer aber nicht der Name der Mitarbeiterin ausgetauscht. Der Ausbildungsflyer der Firma Streck (als PDF-Dokument) steht im Original bereit. Womit klar wird, dass es sich bei den angeblichen Firmen um Fälschungen handelt. Leider scheinen die Domains nicht von Google indiziert zu werden, sonst könnte ich recht einfach prüfen, welche weiteren Domains existieren.

Das Prinzip ähnelt dem bekannten Vorgehen (Loy, MS Transporte Schwab, …). Ob jedoch die gleichen Betrüger dahinter stehen ist schwer abzuschätzen.

Spam Mails zu diesen Domains habe ich nicht im Eingang gefunden. Vielleicht haben die Betrüger mich aus ihren Adresslisten entfernt.

Gute Nacht

PS : Siehe auch die Warnung im Forum computerbetrug.de

Rufmord – Gewinnmitteilungen in meinem Namen

An der Beschwerde-Front zu den Spam Mail [1] herrscht Ruhe. Offenbar wurden die Mails nur am 19. und 20. Juni verschickt. Heute kam nur eine Mail „user unkown“ Mail herein, so dass ich ein wenig Zeit zum Nachforschen habe. Dieses Netz (vplanet.net) wird auch für anderen Spam genutzt. Die Google-Suche förderte einen Beitrag bei anti-spam-ev.de als Top Ergebnis zu Tage. Dort wird vermutet, dass die angeschriebenen E-Mail Adressen aus einem Datenleck bei gmx.de stammen. Da ich nur Beschwerden von GMX Nutzern bekommen, könnte diese Vermutung richtig sein. Ich habe auch eine „Unknown User“ Rückmeldung für einen gmx-Account bekommen, der wahrscheinlich in der Zwischenzeit gelöscht wurde.

Ich habe auch GMX-Accounts, bekomme auf diesen Accounts aber keinen SPAM; in den gesammelten Spam Mails über die letzten 10 Monate gibt es keine Hinweise auf vplanet.net.

Das Muster bei anti-spam-ev.de deutet auf einen Muttersprachler als Autor der Mails hin. Ansonsten ist der Aufbau mit dem Hoax auf meine Kosten sehr ähnlich.

Ein Hinweis auf 93.171.216.169 zeigt, dass über dieser Server auch die anderegg-as.com Spam Mails verteilt werden. Heureka! Damit schließt sich der Kreis: Anderegg-AS, MS-Transporte Schwab, Loy-Transport oder … alles eine Gruppe; ich habe hier wohl die Ursache für den Rufmordversuch.

Genug für heute, gute Nacht!

  1. [1]Artikel vom 20.06.2013

Arbeitsangebote von Anderegg Allround Service

Warnung Betrug
Vor einigen Tagen bekam ich einen Hinweis, dass die Betrüger auch unter dem Firmennamen Anderegg Allround Service agieren und dazu die Domain anderegg-as.com auf dem Server mit der bekannten IP-Adresse 109.163.237.38[1], nutzen. Sie haben sich tatsächlich der Mühsal unterzogen, den Inhalt ins Adobe Flash Format zu konvertieren. Im Firefox unter Linux baut sich die Seite nicht sonderlich elegant auf. Jungs, daran muss noch etwas gearbeitet werden.

Ansonsten nichts neues.

Update 16.06.2013

Ich hätte den Artikel vielleicht ein paar Tage früher schreiben sollen. Am Samstag erhielt ich ein Anruf mit der Nachfrage, ob ich mir sicher wäre, dass dies Betrug ist. Da war der unterschriebene Arbeitsvertrag raus. Da die ersten Bestellungen bereits unterwegs sind, bevor der Arbeitsvertrag beginnt, ist es zwar nicht sinnlos eine Mail zu schreiben, dass man den Arbeitsvertrag widerruft, aber der Ärger kommt mit großer Wahrscheinlichkeit ins Haus; und mit den ersten Paketen schnell die Polizei. Da ist es ratsam schneller zu sein, selbst zur Polizei zu gehen und Anzeige zu erstatten. Auf keinen Fall die Pakete nach Arbeitsanweisung weiterleiten. Zurückschicken und Bestellung stornieren.

  1. [1]Siehe den Artikel: Fake: Versandmitarbeiter für MS Transporte Schwab – Team (2) vom 10. April 2013

Arbeitsangebote-Spam: Der Gleichordnung Manager fur Warenverteilung.

Unter dem seltsamen Begriff „Gleichordnung“ versucht nun ein Kevin Chandter, HR Department, Everyday Recruitment Agency Ltd Dumme für einen Warenbetrug per E-Mail zu rekrutieren. Die Betreffzeilen können variieren; der Text ist meist gleich. Der gleiche Schund wie bei MS- Tansporte Schwab, Loy-Transporte etc. Siehe auch hier.

Der Domainname everydayrecruitment.com zeigt auf zwei IP-Adressen (141.101.117.53, 141.101.116.53). Hatten wir die schon? Nein, die sind mir neu. Das Prinzip ist jedoch das gleiche, wie bei den heads-uk.net Seiten. Die Original-Seiten finden sich unter der Adresse: http://www.everydayrecruitment.co.uk. Statt php-Seiten liefert der Fake statische html-Seiten.


Verschiedene Betreff:

  • Die Firma braucht einen Partner fur Organisation der Lieferungen aus Auktionen.
  • Wir suchen den Partner fur die Warenlieferung aus Deutschland.
  • Personalagentur sucht Bewerber fur die Logistik.

Ein anderer, alter Trick wird auch wieder verstärkt gestreut. Der Text ist nach erstem Hinsehen identisch. Zweiter Blick lohnt nicht. Diesmal lauten die E-Mail Adressen auf: google-germany.com. Diese Domain ist nicht auf Google sondern seit zwei Tagen auf eine Brenda J. Landis registriert. Mehr als einen Mail-Server habe ich zu der Domain nicht gefunden. Die Domain des Mail-Server ist wiederum „geschützt“ registriert.

Neue Web-Adresse für Versandbetrug

Briefkopf enterhold SA
Der Briefkopf des Bewerbungsformulars von Enterhold SA

Warnung Betrug
Ich hatte schon in der Vergangenheit über den Versandbetrug über die Web-Seiten MS Transporte Schwab und Loy Transporte geschrieben. Gestern bekam ich eine Anfrage zu einen Bewerbungsformular der Firma Enterhold SA.

Die Ähnlichkeit mit dem Formular der MS Transporte Schwab, das mir vorliegt, stacht gleich ins Auge.

Die Web-Seite www.enterhold.net zeigt auf die IP-Adresse 109.163.237.38; auf diesem Server liegen auch die Seiten von MS-Transporte Schwab und Loy Transporte. Es handelt sich also um die gleichen Hintermänner.

BTW: Die Telefonnummer (+35) 220 301 075 gehört tatsächlich nach Luxemburg, müsste aber +352 20 301 075 geschrieben werden, da die Vorwahl von Luxemburg +352 ist. Auch Handelsregister Einträge scheint es zu der Firma zu geben. Nach Berichten auf anderen Web-Seiten gibt es die Mails dazu schon seit mindestens 24. April 2013. Im meinem Postfach sind keine angekommen.

Dafür versucht es seit gestern ein Jack Bosworth oder Logan Farrell mit den Adressen cv@heads-uk.net bzw. hr@heads-uk.net (IP-Adresse 108.162.199.49).

Damit soll es gut sein. Mehr muss ich dazu wohl nicht schreiben; steht alles in den vorhergehenden Artikeln. Danke für den Hinweis und die Nachfrage.

Bewerbungsformular Enterhold SA
Bewerbungsformular Enterhold SA

Betrug mit Warenbestellungen


Warnung Betrug
In mehreren Artikeln habe ich über die MS-Transporte Schwab und über Loy-Transporte geschrieben.[1] [2]

In den letzten Tagen häuften sich die Suchtreffer nach MS-Transporte Schwab auf dieses Blog. Ein sicheres Zeichen für ein gesteigertes Interesse an diesem Thema. Frage: Warum?

Lange hatte ich auf einen Kommentar zu diesem Thema gewartet und fand endlich jemanden, der ein Arbeitsangebot angenommen hat. Allerdings ist noch kein weiterer Kontakt zustanden gekommen. Dafür hat mich jemand anderes angerufen und mir den Arbeitsvertrag und weitere Informationen zukommen lassen, so dass ich einen Teil meines Verdachtes belegen und das Vorgehen der Betrüger rekonstruieren kann.

Rekonstruktion des Ablaufes

„Betrug mit Warenbestellungen“ weiterlesen

  1. [1]MS-Transporte Schwab vom 24.03.2013, 08.04.2013
  2. [2]Loy Tranporte Team 07.01.3013

Fake: Versandmitarbeiter für MS Transporte Schwab – Team (2)

Warnung Betrug
Vor einigen Tagen hatte ich einen Beitrag über die Spam Mails mit den Stellenangeboten einer angeblichen MS Transporte Schwab geschrieben. Heute wurde dieser Beitrag von jemanden kommentiert, der seit dem 10. April einen Arbeitsvertrag hat. Dies veranlasste mich, die Sache nochmals aufzugreifen.

Als ich den Beitrag schrieb, war in den Mails keine Domain angegeben und ich hatte den Verdacht, die Betrüger könnten es aufgegeben haben, Domains zur Täuschung der Opfer zu fälschen. Heute fand ich nach etwas Suchen die Domain ms-transporte-schwab.com.

Was lässt sich über die Domain herausfinden

„Fake: Versandmitarbeiter für MS Transporte Schwab – Team (2)“ weiterlesen