Warenkreditbetrug auf neuen Seiten

[tawarning align=“right“ onall=“yes“]

Heute erhielt ich einen Hinweis auf neue Web-Seiten unter denen die Betrüger Ihre Angebot verbreiten. Dies sind die Seiten

  1. atreck-transport.com
  2. fusion-transport.com
  3. foll-transport.com
  4. bespost.com

Die IP-Adresse dieser Domain Namen lautet 103.31.186.45. RDNS ergibt den Namen lh21365.voxility.net. Dieser Server schein neu zu sein. Ich habe die IP Adresse bisher nicht auf meiner Liste.

Die Web-Seiten sind von der Firma Streck Tranpsport kopiert, die auf ihrer Seite bereits seit dem 5. Juli davor warnt.

Die Betrüger haben die Seiten kopiert und dabei die Namen und Logos ausgetauscht. Was die Betrüger vergessen haben, ist das favicon der Firma Streck zu ersetzen. Sämtliche Seiten wurden dahingehend angepasst, dass der Mitarbeiter sich auf jeder Seite im Kopfbereich mit Benutzername und Password einloggen kann. Als Online-Zugang dient wahrscheinlich auch die modifizierten Original Seite.

Gefälschte Kopfzeile
Gefälschte Kopfzeile

Sogar das Original Kontaktformular wird leicht modifiziert genutzt. Hier wurde die Telefonnummer aber nicht der Name der Mitarbeiterin ausgetauscht. Der Ausbildungsflyer der Firma Streck (als PDF-Dokument) steht im Original bereit. Womit klar wird, dass es sich bei den angeblichen Firmen um Fälschungen handelt. Leider scheinen die Domains nicht von Google indiziert zu werden, sonst könnte ich recht einfach prüfen, welche weiteren Domains existieren.

Das Prinzip ähnelt dem bekannten Vorgehen (Loy, MS Transporte Schwab, …). Ob jedoch die gleichen Betrüger dahinter stehen ist schwer abzuschätzen.

Spam Mails zu diesen Domains habe ich nicht im Eingang gefunden. Vielleicht haben die Betrüger mich aus ihren Adresslisten entfernt.

Gute Nacht

PS : Siehe auch die Warnung im Forum computerbetrug.de

Rufmord – Gewinnmitteilungen in meinem Namen

An der Beschwerde-Front zu den Spam Mail [1] herrscht Ruhe. Offenbar wurden die Mails nur am 19. und 20. Juni verschickt. Heute kam nur eine Mail „user unkown“ Mail herein, so dass ich ein wenig Zeit zum Nachforschen habe. Dieses Netz (vplanet.net) wird auch für anderen Spam genutzt. Die Google-Suche förderte einen Beitrag bei anti-spam-ev.de als Top Ergebnis zu Tage. Dort wird vermutet, dass die angeschriebenen E-Mail Adressen aus einem Datenleck bei gmx.de stammen. Da ich nur Beschwerden von GMX Nutzern bekommen, könnte diese Vermutung richtig sein. Ich habe auch eine „Unknown User“ Rückmeldung für einen gmx-Account bekommen, der wahrscheinlich in der Zwischenzeit gelöscht wurde.

Ich habe auch GMX-Accounts, bekomme auf diesen Accounts aber keinen SPAM; in den gesammelten Spam Mails über die letzten 10 Monate gibt es keine Hinweise auf vplanet.net.

Das Muster bei anti-spam-ev.de deutet auf einen Muttersprachler als Autor der Mails hin. Ansonsten ist der Aufbau mit dem Hoax auf meine Kosten sehr ähnlich.

Ein Hinweis auf 93.171.216.169 zeigt, dass über dieser Server auch die anderegg-as.com Spam Mails verteilt werden. Heureka! Damit schließt sich der Kreis: Anderegg-AS, MS-Transporte Schwab, Loy-Transport oder … alles eine Gruppe; ich habe hier wohl die Ursache für den Rufmordversuch.

Genug für heute, gute Nacht!

  1. [1]Artikel vom 20.06.2013