Versandbetrug – weitere Firma

Homepage ETT-SA
Homepage ETT-SA

Unter dem Namen „E.T.T., European Trade and Transport SA“ betreiben die Betrüger eine neue Seite unter der Adresse www.ett-sa.com, IP 62.109.20.212. Der Server gehört zu einem Russischen Netz und die Domain ist auf einen Amerikaner registriert. Wahrscheinlich gibt es den Registrant nicht oder es weiß nichts von seinem Glück. Also bitte keine voreiligen Schlüsse ziehen.

Woher die Bezeichnung ETT genommen wurde, habe ich auf die schnelle nicht ermitteln können. Es gibt unter anderem einen Online Shop in Deutschland und eine französischen Firma ett-sa.fr, die diese Abkürzung im Namen führt.

Unter Stellenangebote findet sich das folgende Angebot:

Stellenangebot

Aufgrund unseres starken Wachstums suchen wir Sie als Versandmitarbeiter (m/w)

Ihre Aufgaben

Allgemeine Versandtätigkeiten
Sie unterstützen den reibungslosen Lager- und Logistikablauf

Ihr Profil

Pünktlichkeit und Zuverlässigkeit
Selbstständige und gewissenhafte Arbeitsweise
Deutschkenntnisse in Wort und Schrift
Grundkenntnisse in MS-Office
Internetzugang und E-Mail-Adresse
Drucker und Scanner

Wir bieten Ihnen

• Wirtschaftlich gefestigtes Unternehmen
• Eine Arbeit von Zuhause
• Einen unbefristeten Arbeitsvertrag
• Ein festes und gesichertes Einkommen
• Soziale Absicherung

Bewerbung

Interesse geweckt? Wir freuen uns auf Ihre aussagekräftigen Bewerbungsunterlagen einschließlich ausgefüllten Bewerbungsschreiben per E-Mail.
Für weitere Informationen rufen Sie uns an oder schreiben Sie uns eine E-Mail!

Heute wurde mir berichtet, dass die Betrüger sogar telefonischen Kontakt mit dem Versandmitarbeiter oder Opfer aufgenommen haben. Offenbar werden – neben den bekannten Spam-Mails – Job-Börsen im Internet für die Rekrutierung der Mitarbeiter genutzt. Dank der Skepsis des neuen Versandmitarbeiters ist kein größerer Schaden entstanden. Ihm war aufgefallen, dass die Bestellungen auf seinem Namen liefen und die bestellten Waren recht teuer waren, was ihn dazu bewegte das „Geschäftsmodell“ zu recherchieren. Am nächsten Tag ist er zur Polizei gegangen. Allerdings liegt bereits eine Anzeige wegen Geldwäsche gegen den Versandmitarbeiter vor, da die Kreditkartendaten gestohlen waren.

Also: Wenn sie über das Internet geworben werden, der Kontakt nur per E-Mail erfolgt, auf eine persönliches Bewerbungsgespräch aus Kostengründen verzichtet wird und ihr Arbeitgeber Waren auf ihren Namen bestellt, die sie – nachdem, sie die Rechnungsunterlagen entfernt haben – weiterleiten sollen, dann ist Gefahr im Verzug.

Weitere Kennzeichen eines Stellenangebotes zum Warenversandbetrug:

  1. Weiterleitung der Pakete ins Ausland
  2. Bestellungen wurden vor Beginn des Arbeitsvertrages vorgenommen
  3. Es gibt eine Homepage, die anderen Betrugsseiten sehr ähnlich sieht
  4. Telefonnummer im Ausland, Nummer passt nicht zum Heimatland der Firma

Nicht alles muss zutreffen und die Betrüger werden sich und ihre Methoden anpassen, je mehr vor ihnen gewarnt wird.

Weitere Informationen gibt es in den älteren Artikeln unter den entsprechenden Kategorien.

Warenkreditbetrug auf neuen Seiten

Warnung Betrug

Heute erhielt ich einen Hinweis auf neue Web-Seiten unter denen die Betrüger Ihre Angebot verbreiten. Dies sind die Seiten

  1. atreck-transport.com
  2. fusion-transport.com
  3. foll-transport.com
  4. bespost.com

Die IP-Adresse dieser Domain Namen lautet 103.31.186.45. RDNS ergibt den Namen lh21365.voxility.net. Dieser Server schein neu zu sein. Ich habe die IP Adresse bisher nicht auf meiner Liste.

Die Web-Seiten sind von der Firma Streck Tranpsport kopiert, die auf ihrer Seite bereits seit dem 5. Juli davor warnt.

Die Betrüger haben die Seiten kopiert und dabei die Namen und Logos ausgetauscht. Was die Betrüger vergessen haben, ist das favicon der Firma Streck zu ersetzen. Sämtliche Seiten wurden dahingehend angepasst, dass der Mitarbeiter sich auf jeder Seite im Kopfbereich mit Benutzername und Password einloggen kann. Als Online-Zugang dient wahrscheinlich auch die modifizierten Original Seite.

Gefälschte Kopfzeile
Gefälschte Kopfzeile

Sogar das Original Kontaktformular wird leicht modifiziert genutzt. Hier wurde die Telefonnummer aber nicht der Name der Mitarbeiterin ausgetauscht. Der Ausbildungsflyer der Firma Streck (als PDF-Dokument) steht im Original bereit. Womit klar wird, dass es sich bei den angeblichen Firmen um Fälschungen handelt. Leider scheinen die Domains nicht von Google indiziert zu werden, sonst könnte ich recht einfach prüfen, welche weiteren Domains existieren.

Das Prinzip ähnelt dem bekannten Vorgehen (Loy, MS Transporte Schwab, …). Ob jedoch die gleichen Betrüger dahinter stehen ist schwer abzuschätzen.

Spam Mails zu diesen Domains habe ich nicht im Eingang gefunden. Vielleicht haben die Betrüger mich aus ihren Adresslisten entfernt.

Gute Nacht

PS : Siehe auch die Warnung im Forum computerbetrug.de

Rufmord – Gewinnmitteilungen in meinem Namen

An der Beschwerde-Front zu den Spam Mail [1] herrscht Ruhe. Offenbar wurden die Mails nur am 19. und 20. Juni verschickt. Heute kam nur eine Mail „user unkown“ Mail herein, so dass ich ein wenig Zeit zum Nachforschen habe. Dieses Netz (vplanet.net) wird auch für anderen Spam genutzt. Die Google-Suche förderte einen Beitrag bei anti-spam-ev.de als Top Ergebnis zu Tage. Dort wird vermutet, dass die angeschriebenen E-Mail Adressen aus einem Datenleck bei gmx.de stammen. Da ich nur Beschwerden von GMX Nutzern bekommen, könnte diese Vermutung richtig sein. Ich habe auch eine „Unknown User“ Rückmeldung für einen gmx-Account bekommen, der wahrscheinlich in der Zwischenzeit gelöscht wurde.

Ich habe auch GMX-Accounts, bekomme auf diesen Accounts aber keinen SPAM; in den gesammelten Spam Mails über die letzten 10 Monate gibt es keine Hinweise auf vplanet.net.

Das Muster bei anti-spam-ev.de deutet auf einen Muttersprachler als Autor der Mails hin. Ansonsten ist der Aufbau mit dem Hoax auf meine Kosten sehr ähnlich.

Ein Hinweis auf 93.171.216.169 zeigt, dass über dieser Server auch die anderegg-as.com Spam Mails verteilt werden. Heureka! Damit schließt sich der Kreis: Anderegg-AS, MS-Transporte Schwab, Loy-Transport oder … alles eine Gruppe; ich habe hier wohl die Ursache für den Rufmordversuch.

Genug für heute, gute Nacht!

  1. [1]Artikel vom 20.06.2013

Arbeitsangebote: Manager fur Warenverteilung gesucht

Warnung Betrug
Dank einer kleinen Anfrage habe ich eine neue Domain und zwei IP-Adressen gefunden: crescent-trust.com, 141.101.116.197 ,141.101.117.197. Die Domain wurde erst gestern, am 17. Juni 2013 eingerichtet.

Dieses Prinzip passt zu den Betrügern, über die ich in drei früheren Artikel[1] berichtet habe.

Die Seite ist von der Original-Seite der Firma crescent-trust.co.uk kopiert. Nicht einmal die Mail Adresse wird in den Seiten ersetzt. Nur in dem Kontaktformular gibt es einen kleinen, feinen Unterschied; das Original enthält eine Karte für die Anfahrt, die in der gefälschten Seite durch ein Kontaktformular ersetzt ist; zum Vergleich siehe die beiden unteren Bilder.

„Arbeitsangebote: Manager fur Warenverteilung gesucht“ weiterlesen

  1. [1]15. Mai 2013 (1), 15. Mai 2013 (2), 22. Mai.2013

heads-uk.net vs heads-uk.com

Warnung Betrug
… nur ein kleiner aber sehr gewichtiger Unterschied.

Derzeit werden von der HEADS Recruitment Ltd angeblich Versandmitarbeiter in Deutschland gesucht. Die Firma gibt es wirklich, sie scheint recht groß zu sien und sucht wirklich Mitarbeiter auch in Deutschland. Allerdings nicht diese Art Mitarbeiter und nicht mittels Spam Mails. Die Spam Mails verweisen auf eine Domain heads-uk.net, die dem original sehr ähnlich sieht, aber eben nicht zu HEADS Recruitment Ltd gehört. Die original Web-Seite lautet jedoch heads-uk.com. Die Domain heads-uk.com ist normal registriert, die Domain heads-uk.net nicht. Vergleichen wir die administrativen Kontakte:

„heads-uk.net vs heads-uk.com“ weiterlesen

Neue Web-Adresse für Versandbetrug

Briefkopf enterhold SA
Der Briefkopf des Bewerbungsformulars von Enterhold SA

Warnung Betrug
Ich hatte schon in der Vergangenheit über den Versandbetrug über die Web-Seiten MS Transporte Schwab und Loy Transporte geschrieben. Gestern bekam ich eine Anfrage zu einen Bewerbungsformular der Firma Enterhold SA.

Die Ähnlichkeit mit dem Formular der MS Transporte Schwab, das mir vorliegt, stacht gleich ins Auge.

Die Web-Seite www.enterhold.net zeigt auf die IP-Adresse 109.163.237.38; auf diesem Server liegen auch die Seiten von MS-Transporte Schwab und Loy Transporte. Es handelt sich also um die gleichen Hintermänner.

BTW: Die Telefonnummer (+35) 220 301 075 gehört tatsächlich nach Luxemburg, müsste aber +352 20 301 075 geschrieben werden, da die Vorwahl von Luxemburg +352 ist. Auch Handelsregister Einträge scheint es zu der Firma zu geben. Nach Berichten auf anderen Web-Seiten gibt es die Mails dazu schon seit mindestens 24. April 2013. Im meinem Postfach sind keine angekommen.

Dafür versucht es seit gestern ein Jack Bosworth oder Logan Farrell mit den Adressen cv@heads-uk.net bzw. hr@heads-uk.net (IP-Adresse 108.162.199.49).

Damit soll es gut sein. Mehr muss ich dazu wohl nicht schreiben; steht alles in den vorhergehenden Artikeln. Danke für den Hinweis und die Nachfrage.

Bewerbungsformular Enterhold SA
Bewerbungsformular Enterhold SA

Betrug mit Warenbestellungen


Warnung Betrug
In mehreren Artikeln habe ich über die MS-Transporte Schwab und über Loy-Transporte geschrieben.[1] [2]

In den letzten Tagen häuften sich die Suchtreffer nach MS-Transporte Schwab auf dieses Blog. Ein sicheres Zeichen für ein gesteigertes Interesse an diesem Thema. Frage: Warum?

Lange hatte ich auf einen Kommentar zu diesem Thema gewartet und fand endlich jemanden, der ein Arbeitsangebot angenommen hat. Allerdings ist noch kein weiterer Kontakt zustanden gekommen. Dafür hat mich jemand anderes angerufen und mir den Arbeitsvertrag und weitere Informationen zukommen lassen, so dass ich einen Teil meines Verdachtes belegen und das Vorgehen der Betrüger rekonstruieren kann.

Rekonstruktion des Ablaufes

„Betrug mit Warenbestellungen“ weiterlesen

  1. [1]MS-Transporte Schwab vom 24.03.2013, 08.04.2013
  2. [2]Loy Tranporte Team 07.01.3013

Spam: Stellenangebot Manager in Deutschland

Warnung Betrug
Auch von diesem Stellenangebot sollten Sie die Finger lassen. Der Job dient der Geldwäsche und Sie werden von dem versprochenen Geld nicht viel haben.

From: „Jack Bosworth“ <greggbutton@mathcs.emory.edu>
To: <thomas@example.com>
Subject: Stellenangebot Manager in Deutschland
Date: Wed, 27 Mar 2013 12:09:44 +0400
Personalagentur sucht Personal fuer eine britische Firma. Position: Manager
fuer Warenverteilung. Arbeitsbereich des Unternehmens umfasst internationale
Lieferung von Waren, Kurierdienste.

Aufgaben:
– Empfang, Sortieren und Versand von Waren per Post.
– Artikel sortieren.
– Erfassung der eingehenden und ausgehenden Waren.
– Rechtzeitige Lieferung.
– Abfertigung der Dokumente.

Anforderungen:
– Sicherer Umgang mit Microsoft Office, Outlook Express, Internet.
– Fester Wohnsitz in Deutschland.
– Alter von 23 bis 55 Jahren.

Arbeitsvertrag.
Zeitplan fuer den ersten Monat: zunaechst 3-4 Stunden pro Tag.
1.000 Euro Bezahlung + monatliche Boni.

Bitte senden Sie Ihren Lebenslauf per E-Mail cv@heads-uk.net

Mit freundlichen Gruben Jack Bosworth
Personalagentur Heads Recruitment Ltd

BTW: Die Altersbeschränkung 23 bis 55 Jahre wäre eine Abmahnung wert.

Fake: Versandmitarbeiter für MS Transporte Schwab – Team (2)

Warnung Betrug
Vor einigen Tagen hatte ich einen Beitrag über die Spam Mails mit den Stellenangeboten einer angeblichen MS Transporte Schwab geschrieben. Heute wurde dieser Beitrag von jemanden kommentiert, der seit dem 10. April einen Arbeitsvertrag hat. Dies veranlasste mich, die Sache nochmals aufzugreifen.

Als ich den Beitrag schrieb, war in den Mails keine Domain angegeben und ich hatte den Verdacht, die Betrüger könnten es aufgegeben haben, Domains zur Täuschung der Opfer zu fälschen. Heute fand ich nach etwas Suchen die Domain ms-transporte-schwab.com.

Was lässt sich über die Domain herausfinden

„Fake: Versandmitarbeiter für MS Transporte Schwab – Team (2)“ weiterlesen

SPAM: Arbeitsangebot arbeitdeutschland.com (2)

Eine kleine Ergänzung zu meinem Artikel SPAM: Arbeitsangebot arbeitdeutschland.com.

Der Mailserver mx.arbeitdeutschland.com ist umgezogen. Ich bekomme jetzt als IP-Adresse die 85.17.188.210, die zum Netz 85.17.188.0/24 eines niederländischen Anbieters LeaseWeb, P.O. Box 93054, 1090BB AMSTERDAM, Netherlands, www.leaseweb.com gehört.

Der Mail Server mx.technojobse.com für die schwedische Variante ist auch dorthin umgezogen.

Sind Deutsch und Schwedisch die einzigen genutzten Sprachen?