Betrug mit Warenbestellungen


Warnung Betrug
In mehreren Artikeln habe ich über die MS-Transporte Schwab und über Loy-Transporte geschrieben.[1] [2]

In den letzten Tagen häuften sich die Suchtreffer nach MS-Transporte Schwab auf dieses Blog. Ein sicheres Zeichen für ein gesteigertes Interesse an diesem Thema. Frage: Warum?

Lange hatte ich auf einen Kommentar zu diesem Thema gewartet und fand endlich jemanden, der ein Arbeitsangebot angenommen hat. Allerdings ist noch kein weiterer Kontakt zustanden gekommen. Dafür hat mich jemand anderes angerufen und mir den Arbeitsvertrag und weitere Informationen zukommen lassen, so dass ich einen Teil meines Verdachtes belegen und das Vorgehen der Betrüger rekonstruieren kann.

Rekonstruktion des Ablaufes

„Betrug mit Warenbestellungen“ weiterlesen

  1. [1]MS-Transporte Schwab vom 24.03.2013, 08.04.2013
  2. [2]Loy Tranporte Team 07.01.3013

SPAM: UPS Worldship Sendungsimport Beispieldatei

Ob dieser Text geschickt ist? Wer nicht mit UPS telefoniert hat, wird sich wundern igrend etwas vereinbart zu haben und den Braten riechen. Wer allerdings aus welchen Gründen auch immer mit UPS etwas telefonisch vereinbart hat, könnte auf den Trick hereinfallen. Frage mich. Wie groß ist der Streuverlust. Welches E-Mail Programm erzeugt eine Text/HTML Mail, in der der Textteil alle Absätze und teilweise die Leerstellen verliert? Sehr unprofessionell diese Mail.

From: <no-reply@notification.ups.com>
To: <thomas@example.com>
Date: Mon, 22 Oct 2012 16:49:56 +0700
Subject: UPS Worldship Sendungsimport Beispieldatei
Attachments: Sendungsimport_Beispiel.zip
Sehrgeehrter UPS Kunde,Wie telefonisch vereinbart sende ichIhnen hiermit die Beispieldatei als Anhang zu.Bei eventuellen Fragen rufen Siebitte die folgende Nummer: 0800 100 9079.Das ist eine automatisch generierteNachricht, bitte beantworten Sie es nicht.Mit freundlichen: UPS IntermediateTechnical SupportThe information provided by UnitedParcel Service (UPS) technical support is provided “as is” withoutwarranty of any kind. UPS disclaims all warranties, either express or implied,including the warranties of merchantability and fitness for a particularpurpose. In no event shall United Parcel Service, Inc. or its suppliers beliable for any damages whatsoever including direct, indirect, incidental,consequential, loss of business profits or special damages, even if UnitedParcel Service or its suppliers have been advised of the possibility of suchdamages. Some states do not allow the exclusion or limitation of liability forconsequential or incidental damages so the foregoing limitation may not apply.© 2012 United Parcel Service of America, Inc.

Die Beispieldatei Sendungsimport_Beispiel.zip enthält – wie erwartet – einen Trojaner Sendungsimport_Beispiel.pdf.exe und ist 13 von 43 Virenscannern unter den folgenden Namen bekannt:

  1. FakeAlert
  2. Heur.Dual.Extensions
  3. Mal/BredoZp-B
  4. PWS-Zbot.gen.anm
  5. Suspicious.Cloud.5
  6. Trj/CI.A
  7. Trojan.Zip.Bredozp.b (v)
  8. W32/Crypt.BGHX
  9. W32/EncPk.CWP!tr
  10. W32/Generic!zip-dobleextension
  11. W32/Heuristic-300!Eldorado

Wenn ich mir die „Namen“ Heur.Dual.Extensions und W32/Generic!zip-dobleextension anschaue, frage ich mich, warum andere Virenscanner dies nicht erkennen können.

SPAM: United Postal Service Tracking Number H2243103717

Nichts neues, aber ich finde die Aufmachung der Mail in der HTML Ansicht sehr schöne. Blasse Farbe auf hellem Grund liest sich immer gut.

United Postal Service Tracking Number H2243103717
Attention!, thomas @ example.com.
DEAR CLIENT , We were not able to delivery the post package
Print out the invoice copy attached and collect the package at our department.
With Best Regards , UPS Customer Services.

Nun machen sie sich nicht mal mehr die Mühe, das Programm im angehängten ZIP-Archiv als *.pdf oder Word-Dokument zu tarnen.

  • Artemis!963FE8239C00
  • FakeAlert
  • PWS-Zbot.gen.anq
  • TR/Agent.ZWA
  • Trojan.Necurs.97
  • Trojan-Ransom.Win32.PornoAsset.aoty
  • Trojan-Ransom.Win32.PornoAsset
  • Trojan:W32/Injector.AH
  • Trojan.Win32.A.PornoAsset.84992.M
  • Trojan/Win32.PornoAsset
  • TROJ_GEN.F47V1018
  • Troj/Katusha-BJ
  • UnclassifiedMalware
  • VIRUS_UNKNOWN
  • W32.Cridex
  • W32/FakeAV.BJTL
  • W32/Falab.F18.gen!Eldorado
  • W32/ZeroAccess.B!tr
  • Win32:Kryptik-KGB
  • Win32.Malware!Drop
  • WORM_CRIDEX.FTN
  • ZIP/Bredolab.A!Camelot