Betrügerische Arbeitsangebote Trade FS oder TrakTran

Heute kam eine neue Variant der betrügerischen Arbeitsangebote durch den Spam-Filter. Den Text haben die Kameraden schon stark verbessert. Als erstes fällt auf, dass die angeschriebene E-Mail-Adresse eigentlich nicht existiert. Der Server akzeptiert zwar alle Adressen, aber diese habe ich mit Sicherheit noch nie verwendet. Sie stammt damit nicht aus einem guten Adressverzeichnis und ist nur erraten.

Homepage Trade FS
Homepage Trade FS

„Betrügerische Arbeitsangebote Trade FS oder TrakTran“ weiterlesen

Warenkreditbetrug auf neuen Seiten

Warnung Betrug

Heute erhielt ich einen Hinweis auf neue Web-Seiten unter denen die Betrüger Ihre Angebot verbreiten. Dies sind die Seiten

  1. atreck-transport.com
  2. fusion-transport.com
  3. foll-transport.com
  4. bespost.com

Die IP-Adresse dieser Domain Namen lautet 103.31.186.45. RDNS ergibt den Namen lh21365.voxility.net. Dieser Server schein neu zu sein. Ich habe die IP Adresse bisher nicht auf meiner Liste.

Die Web-Seiten sind von der Firma Streck Tranpsport kopiert, die auf ihrer Seite bereits seit dem 5. Juli davor warnt.

Die Betrüger haben die Seiten kopiert und dabei die Namen und Logos ausgetauscht. Was die Betrüger vergessen haben, ist das favicon der Firma Streck zu ersetzen. Sämtliche Seiten wurden dahingehend angepasst, dass der Mitarbeiter sich auf jeder Seite im Kopfbereich mit Benutzername und Password einloggen kann. Als Online-Zugang dient wahrscheinlich auch die modifizierten Original Seite.

Gefälschte Kopfzeile
Gefälschte Kopfzeile

Sogar das Original Kontaktformular wird leicht modifiziert genutzt. Hier wurde die Telefonnummer aber nicht der Name der Mitarbeiterin ausgetauscht. Der Ausbildungsflyer der Firma Streck (als PDF-Dokument) steht im Original bereit. Womit klar wird, dass es sich bei den angeblichen Firmen um Fälschungen handelt. Leider scheinen die Domains nicht von Google indiziert zu werden, sonst könnte ich recht einfach prüfen, welche weiteren Domains existieren.

Das Prinzip ähnelt dem bekannten Vorgehen (Loy, MS Transporte Schwab, …). Ob jedoch die gleichen Betrüger dahinter stehen ist schwer abzuschätzen.

Spam Mails zu diesen Domains habe ich nicht im Eingang gefunden. Vielleicht haben die Betrüger mich aus ihren Adresslisten entfernt.

Gute Nacht

PS : Siehe auch die Warnung im Forum computerbetrug.de

Rufmord – Gewinnmitteilungen in meinem Namen

An der Beschwerde-Front zu den Spam Mail [1] herrscht Ruhe. Offenbar wurden die Mails nur am 19. und 20. Juni verschickt. Heute kam nur eine Mail „user unkown“ Mail herein, so dass ich ein wenig Zeit zum Nachforschen habe. Dieses Netz (vplanet.net) wird auch für anderen Spam genutzt. Die Google-Suche förderte einen Beitrag bei anti-spam-ev.de als Top Ergebnis zu Tage. Dort wird vermutet, dass die angeschriebenen E-Mail Adressen aus einem Datenleck bei gmx.de stammen. Da ich nur Beschwerden von GMX Nutzern bekommen, könnte diese Vermutung richtig sein. Ich habe auch eine „Unknown User“ Rückmeldung für einen gmx-Account bekommen, der wahrscheinlich in der Zwischenzeit gelöscht wurde.

Ich habe auch GMX-Accounts, bekomme auf diesen Accounts aber keinen SPAM; in den gesammelten Spam Mails über die letzten 10 Monate gibt es keine Hinweise auf vplanet.net.

Das Muster bei anti-spam-ev.de deutet auf einen Muttersprachler als Autor der Mails hin. Ansonsten ist der Aufbau mit dem Hoax auf meine Kosten sehr ähnlich.

Ein Hinweis auf 93.171.216.169 zeigt, dass über dieser Server auch die anderegg-as.com Spam Mails verteilt werden. Heureka! Damit schließt sich der Kreis: Anderegg-AS, MS-Transporte Schwab, Loy-Transport oder … alles eine Gruppe; ich habe hier wohl die Ursache für den Rufmordversuch.

Genug für heute, gute Nacht!

  1. [1]Artikel vom 20.06.2013

Arbeitsangebote von Anderegg Allround Service

Warnung Betrug
Vor einigen Tagen bekam ich einen Hinweis, dass die Betrüger auch unter dem Firmennamen Anderegg Allround Service agieren und dazu die Domain anderegg-as.com auf dem Server mit der bekannten IP-Adresse 109.163.237.38[1], nutzen. Sie haben sich tatsächlich der Mühsal unterzogen, den Inhalt ins Adobe Flash Format zu konvertieren. Im Firefox unter Linux baut sich die Seite nicht sonderlich elegant auf. Jungs, daran muss noch etwas gearbeitet werden.

Ansonsten nichts neues.

Update 16.06.2013

Ich hätte den Artikel vielleicht ein paar Tage früher schreiben sollen. Am Samstag erhielt ich ein Anruf mit der Nachfrage, ob ich mir sicher wäre, dass dies Betrug ist. Da war der unterschriebene Arbeitsvertrag raus. Da die ersten Bestellungen bereits unterwegs sind, bevor der Arbeitsvertrag beginnt, ist es zwar nicht sinnlos eine Mail zu schreiben, dass man den Arbeitsvertrag widerruft, aber der Ärger kommt mit großer Wahrscheinlichkeit ins Haus; und mit den ersten Paketen schnell die Polizei. Da ist es ratsam schneller zu sein, selbst zur Polizei zu gehen und Anzeige zu erstatten. Auf keinen Fall die Pakete nach Arbeitsanweisung weiterleiten. Zurückschicken und Bestellung stornieren.

  1. [1]Siehe den Artikel: Fake: Versandmitarbeiter für MS Transporte Schwab – Team (2) vom 10. April 2013

Arbeitsangebote-Spam: Der Gleichordnung Manager fur Warenverteilung.

Unter dem seltsamen Begriff „Gleichordnung“ versucht nun ein Kevin Chandter, HR Department, Everyday Recruitment Agency Ltd Dumme für einen Warenbetrug per E-Mail zu rekrutieren. Die Betreffzeilen können variieren; der Text ist meist gleich. Der gleiche Schund wie bei MS- Tansporte Schwab, Loy-Transporte etc. Siehe auch hier.

Der Domainname everydayrecruitment.com zeigt auf zwei IP-Adressen (141.101.117.53, 141.101.116.53). Hatten wir die schon? Nein, die sind mir neu. Das Prinzip ist jedoch das gleiche, wie bei den heads-uk.net Seiten. Die Original-Seiten finden sich unter der Adresse: http://www.everydayrecruitment.co.uk. Statt php-Seiten liefert der Fake statische html-Seiten.


Verschiedene Betreff:

  • Die Firma braucht einen Partner fur Organisation der Lieferungen aus Auktionen.
  • Wir suchen den Partner fur die Warenlieferung aus Deutschland.
  • Personalagentur sucht Bewerber fur die Logistik.

Ein anderer, alter Trick wird auch wieder verstärkt gestreut. Der Text ist nach erstem Hinsehen identisch. Zweiter Blick lohnt nicht. Diesmal lauten die E-Mail Adressen auf: google-germany.com. Diese Domain ist nicht auf Google sondern seit zwei Tagen auf eine Brenda J. Landis registriert. Mehr als einen Mail-Server habe ich zu der Domain nicht gefunden. Die Domain des Mail-Server ist wiederum „geschützt“ registriert.

Betrug mit Warenbestellungen


Warnung Betrug
In mehreren Artikeln habe ich über die MS-Transporte Schwab und über Loy-Transporte geschrieben.[1] [2]

In den letzten Tagen häuften sich die Suchtreffer nach MS-Transporte Schwab auf dieses Blog. Ein sicheres Zeichen für ein gesteigertes Interesse an diesem Thema. Frage: Warum?

Lange hatte ich auf einen Kommentar zu diesem Thema gewartet und fand endlich jemanden, der ein Arbeitsangebot angenommen hat. Allerdings ist noch kein weiterer Kontakt zustanden gekommen. Dafür hat mich jemand anderes angerufen und mir den Arbeitsvertrag und weitere Informationen zukommen lassen, so dass ich einen Teil meines Verdachtes belegen und das Vorgehen der Betrüger rekonstruieren kann.

Rekonstruktion des Ablaufes

„Betrug mit Warenbestellungen“ weiterlesen

  1. [1]MS-Transporte Schwab vom 24.03.2013, 08.04.2013
  2. [2]Loy Tranporte Team 07.01.3013