Warenkreditbetrug auf neuen Seiten

Warnung Betrug

Heute erhielt ich einen Hinweis auf neue Web-Seiten unter denen die Betrüger Ihre Angebot verbreiten. Dies sind die Seiten

  1. atreck-transport.com
  2. fusion-transport.com
  3. foll-transport.com
  4. bespost.com

Die IP-Adresse dieser Domain Namen lautet 103.31.186.45. RDNS ergibt den Namen lh21365.voxility.net. Dieser Server schein neu zu sein. Ich habe die IP Adresse bisher nicht auf meiner Liste.

Die Web-Seiten sind von der Firma Streck Tranpsport kopiert, die auf ihrer Seite bereits seit dem 5. Juli davor warnt.

Die Betrüger haben die Seiten kopiert und dabei die Namen und Logos ausgetauscht. Was die Betrüger vergessen haben, ist das favicon der Firma Streck zu ersetzen. Sämtliche Seiten wurden dahingehend angepasst, dass der Mitarbeiter sich auf jeder Seite im Kopfbereich mit Benutzername und Password einloggen kann. Als Online-Zugang dient wahrscheinlich auch die modifizierten Original Seite.

Gefälschte Kopfzeile
Gefälschte Kopfzeile

Sogar das Original Kontaktformular wird leicht modifiziert genutzt. Hier wurde die Telefonnummer aber nicht der Name der Mitarbeiterin ausgetauscht. Der Ausbildungsflyer der Firma Streck (als PDF-Dokument) steht im Original bereit. Womit klar wird, dass es sich bei den angeblichen Firmen um Fälschungen handelt. Leider scheinen die Domains nicht von Google indiziert zu werden, sonst könnte ich recht einfach prüfen, welche weiteren Domains existieren.

Das Prinzip ähnelt dem bekannten Vorgehen (Loy, MS Transporte Schwab, …). Ob jedoch die gleichen Betrüger dahinter stehen ist schwer abzuschätzen.

Spam Mails zu diesen Domains habe ich nicht im Eingang gefunden. Vielleicht haben die Betrüger mich aus ihren Adresslisten entfernt.

Gute Nacht

PS : Siehe auch die Warnung im Forum computerbetrug.de

Rufmord – Gewinnmitteilungen in meinem Namen

An der Beschwerde-Front zu den Spam Mail [1] herrscht Ruhe. Offenbar wurden die Mails nur am 19. und 20. Juni verschickt. Heute kam nur eine Mail „user unkown“ Mail herein, so dass ich ein wenig Zeit zum Nachforschen habe. Dieses Netz (vplanet.net) wird auch für anderen Spam genutzt. Die Google-Suche förderte einen Beitrag bei anti-spam-ev.de als Top Ergebnis zu Tage. Dort wird vermutet, dass die angeschriebenen E-Mail Adressen aus einem Datenleck bei gmx.de stammen. Da ich nur Beschwerden von GMX Nutzern bekommen, könnte diese Vermutung richtig sein. Ich habe auch eine „Unknown User“ Rückmeldung für einen gmx-Account bekommen, der wahrscheinlich in der Zwischenzeit gelöscht wurde.

Ich habe auch GMX-Accounts, bekomme auf diesen Accounts aber keinen SPAM; in den gesammelten Spam Mails über die letzten 10 Monate gibt es keine Hinweise auf vplanet.net.

Das Muster bei anti-spam-ev.de deutet auf einen Muttersprachler als Autor der Mails hin. Ansonsten ist der Aufbau mit dem Hoax auf meine Kosten sehr ähnlich.

Ein Hinweis auf 93.171.216.169 zeigt, dass über dieser Server auch die anderegg-as.com Spam Mails verteilt werden. Heureka! Damit schließt sich der Kreis: Anderegg-AS, MS-Transporte Schwab, Loy-Transport oder … alles eine Gruppe; ich habe hier wohl die Ursache für den Rufmordversuch.

Genug für heute, gute Nacht!

  1. [1]Artikel vom 20.06.2013

SPAM: Arbeitsangebote von arbeiten-google.com

Warnung Betrug
Die Arbeitsangebot machen nun schon den größten Teil der Spam Mails aus. Nun haben sie sich eine Domain arbeiten-google.com (mx.arbeiten-google.com / 67.159.12.94) eingerichtet. Die Mail Adressen sind sehr verschieden. Es werden hier wohl einfach alles als E-Mail Adresse akzeptieren.

Date: Tue, 25 Jun 2013 22:21:08 -0500
From: <e66b3f8@example.com>,
<thomas@example.com>
X-Mailer: The Bat! (v3.5) Home
To: <e66b3f8@example.com>,
<thomas@example.com>
Subject: Aktuelle Stellenausschreibungen
Hallo, Wir haben eine ausgezeichnete Gelegenheit für einen Lehrling Antragsteller, einem schnell wachsenden Unternehmen beizutreten.

Ein zu Hause Key Account Manager Position ist eine große Chance für die Eltern zu Hause zu bleiben
oder jede Person, die in den Komfort von zu Hause aus arbeiten möchte.

Dies ist ein Teilzeitjob / flexible Stunden nur für die Europäer, dies ist im Hinblick auf unsere nicht mit einer Niederlassung derzeit in Europa,
auch weil von PayPal und eBay Politik die verbietet direkt mit den Bewohnern einiger Länder zu arbeiten.

Voraussetzungen: Computer mit Internetzugang, gültige E-Mail-Adresse, gute Tipp-Fertigkeiten.
Wenn Ihnen die obige Beschreibung passt und Ihren Anforderungen erfüllt, bewerben Sie sich auf diese Anzeige unter Angabe Ihrer Lage.

Sie werden die Abwicklung von Bestellungen von Ihrem Computer machen. Wie viel Sie verdienen, liegt an Ihnen.
Der Durchschnitt liegt in der Region von 750 EUR – 1000 EUR pro Woche, je nachdem, ob Sie arbeiten Voll-oder Teilzeit.

Region: nur Europäer.

Wenn Sie weitere Informationen wünschen, kontaktieren Sie uns bitte, teilen Sie uns mit wo Sie sich befinden, unsere Job-Referenznummer – 75370-21/9HR.
Bitte nur ernsthafte Bewerber.

Wenn Sie interessiert sind, antworten Sie bitte auf: Herschel@arbeiten-google.com

Was die doppelten oder x-fachen Adressen mit Zufallszeichenfolgen sollen ist mir nicht ganz klar? Spam-Filter irritieren?

Hier die bei mir aufgetretenen Antwortadressen:

  1. Adele@arbeiten-google.com
  2. Alvaro@arbeiten-google.com
  3. Arturo@arbeiten-google.com
  4. Bernardo@arbeiten-google.com
  5. Carmine@arbeiten-google.com
  6. Dennis@arbeiten-google.com
  7. Earline@arbeiten-google.com
  8. Elbert@arbeiten-google.com
  9. Elvin@arbeiten-google.com
  10. Gerardo@arbeiten-google.com
  11. Gina@arbeiten-google.com
  12. Herbert@arbeiten-google.com
  13. Herschel@arbeiten-google.com
  14. Isaac@arbeiten-google.com
  15. Jacklyn@arbeiten-google.com
  16. Kent@arbeiten-google.com
  17. Laurence@arbeiten-google.com
  18. Margie@arbeiten-google.com
  19. Paul@arbeiten-google.com
  20. Raquel@arbeiten-google.com
  21. Rosella@arbeiten-google.com
  22. Shelby@arbeiten-google.com
  23. Wm@arbeiten-google.com

Und weil es so schön ist, hier die Job-Referenznummern:

  1. 01421-62/2HR
  2. 06554-20/3HR
  3. 07733-14/7HR
  4. 08266-37/4HR
  5. 08278-52/9HR
  6. 19026-40/3HR
  7. 19371-79/8HR
  8. 30927-98/3HR
  9. 31192-80/7HR
  10. 37286-36/3HR
  11. 39392-15/5HR
  12. 45937-83/3HR
  13. 51963-78/3HR
  14. 62498-57/6HR
  15. 66579-60/7HR
  16. 74606-50/5HR
  17. 75370-21/9HR
  18. 80174-80/3HR
  19. 83922-73/2HR
  20. 84271-64/6HR
  21. 84672-37/1HR
  22. 92450-51/1HR
  23. 92459-85/2HR
Update 13.03.2014:
Jetzt sind diese Mails wieder mit neuen Domains unterwegs.
Siehe: Arbeitsangebote für einen Lehrling Antragsteller

Arbeitsangebote: Manager fur Warenverteilung gesucht

Warnung Betrug
Dank einer kleinen Anfrage habe ich eine neue Domain und zwei IP-Adressen gefunden: crescent-trust.com, 141.101.116.197 ,141.101.117.197. Die Domain wurde erst gestern, am 17. Juni 2013 eingerichtet.

Dieses Prinzip passt zu den Betrügern, über die ich in drei früheren Artikel[1] berichtet habe.

Die Seite ist von der Original-Seite der Firma crescent-trust.co.uk kopiert. Nicht einmal die Mail Adresse wird in den Seiten ersetzt. Nur in dem Kontaktformular gibt es einen kleinen, feinen Unterschied; das Original enthält eine Karte für die Anfahrt, die in der gefälschten Seite durch ein Kontaktformular ersetzt ist; zum Vergleich siehe die beiden unteren Bilder.

„Arbeitsangebote: Manager fur Warenverteilung gesucht“ weiterlesen

  1. [1]15. Mai 2013 (1), 15. Mai 2013 (2), 22. Mai.2013

Arbeitsangebote von Anderegg Allround Service

Warnung Betrug
Vor einigen Tagen bekam ich einen Hinweis, dass die Betrüger auch unter dem Firmennamen Anderegg Allround Service agieren und dazu die Domain anderegg-as.com auf dem Server mit der bekannten IP-Adresse 109.163.237.38[1], nutzen. Sie haben sich tatsächlich der Mühsal unterzogen, den Inhalt ins Adobe Flash Format zu konvertieren. Im Firefox unter Linux baut sich die Seite nicht sonderlich elegant auf. Jungs, daran muss noch etwas gearbeitet werden.

Ansonsten nichts neues.

Update 16.06.2013

Ich hätte den Artikel vielleicht ein paar Tage früher schreiben sollen. Am Samstag erhielt ich ein Anruf mit der Nachfrage, ob ich mir sicher wäre, dass dies Betrug ist. Da war der unterschriebene Arbeitsvertrag raus. Da die ersten Bestellungen bereits unterwegs sind, bevor der Arbeitsvertrag beginnt, ist es zwar nicht sinnlos eine Mail zu schreiben, dass man den Arbeitsvertrag widerruft, aber der Ärger kommt mit großer Wahrscheinlichkeit ins Haus; und mit den ersten Paketen schnell die Polizei. Da ist es ratsam schneller zu sein, selbst zur Polizei zu gehen und Anzeige zu erstatten. Auf keinen Fall die Pakete nach Arbeitsanweisung weiterleiten. Zurückschicken und Bestellung stornieren.

  1. [1]Siehe den Artikel: Fake: Versandmitarbeiter für MS Transporte Schwab – Team (2) vom 10. April 2013

Arbeitsangebote-Spam: Der Gleichordnung Manager fur Warenverteilung.

Unter dem seltsamen Begriff „Gleichordnung“ versucht nun ein Kevin Chandter, HR Department, Everyday Recruitment Agency Ltd Dumme für einen Warenbetrug per E-Mail zu rekrutieren. Die Betreffzeilen können variieren; der Text ist meist gleich. Der gleiche Schund wie bei MS- Tansporte Schwab, Loy-Transporte etc. Siehe auch hier.

Der Domainname everydayrecruitment.com zeigt auf zwei IP-Adressen (141.101.117.53, 141.101.116.53). Hatten wir die schon? Nein, die sind mir neu. Das Prinzip ist jedoch das gleiche, wie bei den heads-uk.net Seiten. Die Original-Seiten finden sich unter der Adresse: http://www.everydayrecruitment.co.uk. Statt php-Seiten liefert der Fake statische html-Seiten.


Verschiedene Betreff:

  • Die Firma braucht einen Partner fur Organisation der Lieferungen aus Auktionen.
  • Wir suchen den Partner fur die Warenlieferung aus Deutschland.
  • Personalagentur sucht Bewerber fur die Logistik.

Ein anderer, alter Trick wird auch wieder verstärkt gestreut. Der Text ist nach erstem Hinsehen identisch. Zweiter Blick lohnt nicht. Diesmal lauten die E-Mail Adressen auf: google-germany.com. Diese Domain ist nicht auf Google sondern seit zwei Tagen auf eine Brenda J. Landis registriert. Mehr als einen Mail-Server habe ich zu der Domain nicht gefunden. Die Domain des Mail-Server ist wiederum „geschützt“ registriert.

heads-uk.net vs heads-uk.com

Warnung Betrug
… nur ein kleiner aber sehr gewichtiger Unterschied.

Derzeit werden von der HEADS Recruitment Ltd angeblich Versandmitarbeiter in Deutschland gesucht. Die Firma gibt es wirklich, sie scheint recht groß zu sien und sucht wirklich Mitarbeiter auch in Deutschland. Allerdings nicht diese Art Mitarbeiter und nicht mittels Spam Mails. Die Spam Mails verweisen auf eine Domain heads-uk.net, die dem original sehr ähnlich sieht, aber eben nicht zu HEADS Recruitment Ltd gehört. Die original Web-Seite lautet jedoch heads-uk.com. Die Domain heads-uk.com ist normal registriert, die Domain heads-uk.net nicht. Vergleichen wir die administrativen Kontakte:

„heads-uk.net vs heads-uk.com“ weiterlesen

Weitere Seiten mit Versandbetrug

Warnung Betrug
Dank eines Tipps – mir wurden die FAQ der Paramout Group zum Arbeitsangebot zugeschickt – bin ich heute auf weitere Seiten mit Warenbetrug gestoßen. Die FAQ hingen an einer Mail, die über eine angebliche Job-Vermittlung heads-uk.net, über die gestern unter Neue Web-Adresse für Versandbetrug.

Als Sammelbegriff für diese Gruppe Betrüger sollte ich „Paramount“ verwenden. Zu diesem Betrügern habe ich folgende Seiten gefunden:

  • uk-paramountgroup.net (IP: 141.101.116.212, 141.101.117.212)
  • www.paramountfreight.co.uk (IP: 81.201.139.249)
  • paramountdelivery.net (IP: 91.220.131.32)
  • paramountdelivery.com (IP :108.162.196.239, 108.162.197.239)
  • www.tomexsa.com (IP:199.30.240.232)

Die Inhalte der englischen Web-Seiten sind bis auf die Namen der Firmen und die Logos weitgehend identisch. Das Design stammt nach Selbstauskunft einer Seite von webcreationuk.co.uk. Die Adresse unter „Contact“ ist für alle Firmen dieselbe Anschrift angegeben:

Unit 4 Dockwells Estate
Off Central Way
North Feltham Trading Estate
Feltham
Middlesex
TW14 0RX

Als Telefonnummern finden sich: +442081444840 (P. Group), 020 3289 8890 (P. Delivery und Tomexsa), 020 8890 2244 (P. Freight Forwarding). Um sich selbst vor Spam zu schützen, nutzen Sie ein CAPTCHA.

Interessant sind die Antworten auf die Frage, warum die Waren über einen Dritten geliefert werden müssen. Hier ein Auszug aus den FAQ.

Frage: Warum können die Postsendungen nicht direkt an Ihre Firmenadresse geschickt werden?
Antwort: Der Versand einzelner Güter auf Firmenadresse mit der weiteren Versendung an Kunden erhöht den Preis des Gutes und macht es nicht konkurrenzfähig.

Frage: Warum können die Postsendungen nicht direkt an Kundenadresse geschickt werden?
Antwort: Vor dem Absenden der Pakete an Kunden möchte unser Unternehmen sicher gehen, dass die Güter ordnungsgemäß verpackt wurden und der Inhalt entspricht der Bestellung. Dies geschieht, um Verwechslungen oder möglichen Betrug zu vermeiden. Für diese Zwecke wird ein Manager für Warenverteilung gesucht.

Diese Antworten sind Unfug, denn der Zwischenversender bekommt pro Paket 30 € plus einen Monatslohn von 400 €. Zu einer Zahlung des Monatslohnes wird es nie kommen. In einem mir berichteten Fall hat es drei Tage gedauert, bis der Postbote von der Polizei begleitet wurde. Es lag bereits eine Anzeige wegen Kartenbetruges und Geldwäsche vor.

Genug für heute.


Logos

Paramount Group
Paramount Group
Paramout Freight Forwarding
Paramout Freight Forwarding
Paramount Delivery Service
Paramount Delivery Service
Tomexsa Logistics
Tomexsa Logistics

Neue Web-Adresse für Versandbetrug

Briefkopf enterhold SA
Der Briefkopf des Bewerbungsformulars von Enterhold SA

Warnung Betrug
Ich hatte schon in der Vergangenheit über den Versandbetrug über die Web-Seiten MS Transporte Schwab und Loy Transporte geschrieben. Gestern bekam ich eine Anfrage zu einen Bewerbungsformular der Firma Enterhold SA.

Die Ähnlichkeit mit dem Formular der MS Transporte Schwab, das mir vorliegt, stacht gleich ins Auge.

Die Web-Seite www.enterhold.net zeigt auf die IP-Adresse 109.163.237.38; auf diesem Server liegen auch die Seiten von MS-Transporte Schwab und Loy Transporte. Es handelt sich also um die gleichen Hintermänner.

BTW: Die Telefonnummer (+35) 220 301 075 gehört tatsächlich nach Luxemburg, müsste aber +352 20 301 075 geschrieben werden, da die Vorwahl von Luxemburg +352 ist. Auch Handelsregister Einträge scheint es zu der Firma zu geben. Nach Berichten auf anderen Web-Seiten gibt es die Mails dazu schon seit mindestens 24. April 2013. Im meinem Postfach sind keine angekommen.

Dafür versucht es seit gestern ein Jack Bosworth oder Logan Farrell mit den Adressen cv@heads-uk.net bzw. hr@heads-uk.net (IP-Adresse 108.162.199.49).

Damit soll es gut sein. Mehr muss ich dazu wohl nicht schreiben; steht alles in den vorhergehenden Artikeln. Danke für den Hinweis und die Nachfrage.

Bewerbungsformular Enterhold SA
Bewerbungsformular Enterhold SA

Spam: Stellenangebot Manager in Deutschland

Warnung Betrug
Auch von diesem Stellenangebot sollten Sie die Finger lassen. Der Job dient der Geldwäsche und Sie werden von dem versprochenen Geld nicht viel haben.

From: „Jack Bosworth“ <greggbutton@mathcs.emory.edu>
To: <thomas@example.com>
Subject: Stellenangebot Manager in Deutschland
Date: Wed, 27 Mar 2013 12:09:44 +0400
Personalagentur sucht Personal fuer eine britische Firma. Position: Manager
fuer Warenverteilung. Arbeitsbereich des Unternehmens umfasst internationale
Lieferung von Waren, Kurierdienste.

Aufgaben:
– Empfang, Sortieren und Versand von Waren per Post.
– Artikel sortieren.
– Erfassung der eingehenden und ausgehenden Waren.
– Rechtzeitige Lieferung.
– Abfertigung der Dokumente.

Anforderungen:
– Sicherer Umgang mit Microsoft Office, Outlook Express, Internet.
– Fester Wohnsitz in Deutschland.
– Alter von 23 bis 55 Jahren.

Arbeitsvertrag.
Zeitplan fuer den ersten Monat: zunaechst 3-4 Stunden pro Tag.
1.000 Euro Bezahlung + monatliche Boni.

Bitte senden Sie Ihren Lebenslauf per E-Mail cv@heads-uk.net

Mit freundlichen Gruben Jack Bosworth
Personalagentur Heads Recruitment Ltd

BTW: Die Altersbeschränkung 23 bis 55 Jahre wäre eine Abmahnung wert.