...
Phase | Trigger | Textbaustein |
|---|---|---|
1 Rumreden | Ja, ist noch zu haben | Wie lange hast Du es besessen? Was kostet es? |
2 Feilschen | Beschreibung des Artikels | Was ist der beste Preis? |
3 Kaufen | Preisangabe | Zusage. Wie lautet die Paypal-Adresse und die Postanschrift? |
4 Abkassieren | Adressenangabe, Verkäufer ist "reif" | Es folgen drei Nachrichten in einigem zeitlichen Abstand:
|
Die Betrüger ordnen lediglich einlangende Mails ihrer Opfer einfach dem dafür vorgesehenen Textbaustein zu und verschicken diesenihn. Darüberhinaus wird das, was das Opfer sagt oder fragt, nicht weiter beachtet. Das vereinfacht die Organisation gewaltig, ermöglicht einen beliebig großen Mitarbeiterstab ohne besondere Qualifikation und vermeidet Skalierungsprobleme.
Es ist erstaunlich, wie wenig Mühe sich die Betrüger geben, normal und vertrauenswürdig zu erscheinen. In den Textbausteinen wird der Kaufgegenstand immer nur als "it" bezeichnet; um ihn zu benennen bräuchte es entweder ein Verzeichnis der Transaktionen oder genaues Lesen des Texts. Dadurch war es bei den Tests möglich, Dank dieser Rationalisierungsmaßnahme konnten wir jederzeit mit beliebigen Namen und Absenderadressen in eine beliebige Phase der Transaktion einzusteigen einsteigen und beliebige Phantasiegegenstände feilzubietenfeilbieten, die obwohl sie niemals inseriert waren.
Die doch eigentlich recht plumpe und doch leicht als verdächtig erkennbare zu erkennende Vorgangsweise samt schlechtem Englisch und Rechtschreibfehlern mag dumm und ungebildet anmuten, ist aber vielleicht einfach nur schlau: Es spart Arbeitszeit und Kosten, aufmerksame und medienkompetente Zeitgenossen, die auf den Betrug ohnehin nicht reinfallen würden, möglichst früh auszusieben
| Anker | ||||
|---|---|---|---|---|
|
| Anker |
|---|
Textbeispiele
Die folgenden Textbeispiele entstammen unseren Testnachrichten an die Betrüger und deren Antworten
| Anker | ||||
|---|---|---|---|---|
|
| Anker |
|---|
Anbahnung
Im vorliegenden Fall erfolgte die Kontaktaufnahme über ein Webformular der Inseratenplattform.
...
Bei willhaben.at ist man sich des Problems bewußt und warnt daher in den Kontaktmails ausdrücklich riskanten Geschäften. Darüberhinaus fehlt der Firma die Handhabe: Um etwa die einzelnen Interessenten genauer zu überprüfen, hat eine Inseratenplattform naturgemäß nicht die erforderlichen Informationen.
Die IP-Adresse, von der das Webformular abgesendet wurde, liefert übrigens keine hilfreichen Hinweise auf die Täter.
...
| HTML-Format |
|---|
</td></tr></table> |
Bemerkenswert: Man hat sich die Mühe gemacht, die Bezeichnung des Schlagzeugs "NewSound Deluxe" (vermutlich anhand des Subjects) zu eruieren.
Die Fälschung mag, wenn solange man nur auf den Nachrichtentext schaut, eindrucksvoll, vielleicht sogar überzeugend gestaltet sein. Technisch Nüchtern betrachtet ist die Fälschung nicht anspruchsvoll primitiv ausgeführt:
- Im Absenderfeld stehen Adressen wie
PayPal Int'l(c) <transfer@secure-team.us>oder"service@intl.paypal.com" <pay_transfer@consultant.com>. Dass beide Adressen nicht von Paypal sind, ist leicht erkennbar
(3)Anker txt3 txt3
.Anker - Im Sender:-Feld, das allerdings nicht jeder Mailklient ohne weiteres anzeigt, stehen Adressen wie
jackmorris411@gmail.comoderanneantonia15@gmail.com. - Gesendet wurde sie Die Bestätigung geht reproduzierbar nicht an die mühsam erfragte und angegeben angegebene "Paypal Adress"
opfer@univie.ac.at, nach der so theatralisch gefragt wurde, sondern einfach an die Absenderadresse der Maildes Opfers,nulpen@univie.ac.at. - Bei der Rechnung 1400 + 750 = 2150 wurde der Übertrag vergessen und nur 1150 Euro "überwiesen". In einem anderen Versuch, wo nochmals "two Luftschloss at 1200 EUR each" angegeben waren, hat man die Multiplikation mit zwei vergessen. Auf der anderen Seite sind 1400 Euro um 200 Euro mehr als verlangt...
...
- .
Eine Warnung: Wer Bedenken hat, wird natürlich bei Paypal nachfragen, ob alles seine Richtigkeit hatrückfragen. Die Kontaktadresse dafür muß man sich aber aus einer unabhängigen Quelle beschaffen und keineswegs aus den Unterlagen, die man ja hinterfragen möchte. Worauf man nicht hereinfallen sollte, ist der Link unter "Auf den Link "You may contact PayPal customer service by Clicking Here" sollte man nicht hereinfallen: Der führt nämlich zu ''pay_transfer@consultant.com'' und unter dieser Adresse antworten natürlich unsere Betrüger – ein Beispiel dafür gibt es weiter unten.
Noch etwas ist bemerkenswert: Es wurde, vermutlich anhand des Subjects, die Bezeichnung des Schlagzeugs "NewSound Deluxe" eruiertSpätestens damit ist sicher, daß PayPal in keiner Weise in die Angelegenheit involviert ist oder irgendwelche Sicherheitslücken hätte.
Etwa eine halbe Stunde später kam eine weitere Nachricht "von Paypal":
...
| HTML-Format |
|---|
</td></tr></table> |
Zum Um zu Schritt 4/Abkassieren überzugehen, fehlte der Betrag in der Testmail. Die Antwort ist nur mit gutem Willen als passend zu interpretieren. Interessanterweise wird nicht nach der "home address for it to be Picked Up by the Shipping Company" gefragt.
...
| HTML-Format |
|---|
</td><td> (Gesamtpaket "Phase 4: Abkassieren") </td></tr></table> |
Hier wurde offensichtlich erkannt, dass der Diesmal wurden alle Daten weggelassen, die für Phase 4/Abkassieren erforderlich wären. Die Person, die diese Nachricht bearbeitet hat, hat vielleicht erkannt, dass der Verkäufer drauf und dran ist, abzuspringen und hat sich die Mühe gemacht, Preis die fehlenden Daten aus er der bisherigen Korrespondenz herauszusuchen. Allerdings wurde als "PayPal mail address", wie schon bei Phase 4 beobachtet, die Absenderadresse der Mail und nicht die abweichende, explizit angegebene benutzt.
...
Klarerweise ist auch die Rückfrage bei der vorgeblichen PayPal-Adresse im Ablauf vorgesehen. Man hat sich auch die Mühe gemacht, den richtigen Betrag und den Namen des Käufers herauszusuchen.Namen des Käufers herauszusuchen.
Ich kann mir die Spedition nicht leisten!
| HTML-Format |
|---|
<table class="textbeispiele">
<tr><td>
|
Paul,
> I have just receive an alert from PayPal Customer Care with the
> confirmation email that the payment has been made,a total of €2.200,00
> EUR was sent,€1.200,00 EUR for Goods Purchased and the extra €950,00
> EUR for the shipping charges and am sure you notice that,the €50,00
> EUR is for the western union charges,so make sure you send the money
> to the address below via western union.
I realise that I can't access the money you paid before I have paid the shipping company.
It's very embarrassing, but I have to say that I can't afford the 950,00 EUR right now. Truth is, that I just don't have that much money –
that's the very reason why I'm selling all that stuff.
Any ideas? I really need to get that fixed very soon.
Greetings,
Norbert
| HTML-Format |
|---|
</td><td>
|
| HTML-Format |
|---|
</td><td>
|
I want you to understand that the payment has been made already and the money has been transferred in excess into your account.But PayPal
temporarily hold the money for you to send the pickup fee of €950,00 EUR to the shipping address giving to you before they can credit your account with the full payment of €2.200,00 EUR So i will advice you to go to the nearest western union office and deposit the pickup fee of €950,00 EUR so that we can arrange the pickup and then your account can be credited immediately.When you are through with western union,you should send me the details you get from western union and the western union scan copy receipt by sending the pickup fee and also to Paypal for verification so that they can activate your account...Western union office can be found in your local post office or in some grocery store close to home As soon as you done, all your money will be activated and clear into your account.
Get back to me asap.
Regards
| HTML-Format |
|---|
</td></tr></table>
|
Fazit
Die Vorgangsweise der Betrüger zielt ganz offensichtlich auf völlig gutgläubige Personen, die reich genug sind, einige hundert Euro "Frachtkosten" vorzuschießen. Die verwendeten Textbausteine mögen linkisch oder tollpatschig erscheinen, aber insgesamt erweckt die Operation den Eindruck eines modernen Call-Centres und eines effizient organisierten Unternehmens. Das Bild von ungebildeten, geradezu analphabetischen nigerianischen Akkordarbeitern, die stumpfsinnig Textbausteine copy-pasten, wird also hinterfragt werden müssen.
...
| Anker | ||||
|---|---|---|---|---|
|
| Anker |
|---|
| Anker | ||||
|---|---|---|---|---|
|
| Anker |
|---|
| Anker | ||||
|---|---|---|---|---|
|