HTML-Format |
---|
<style>
.wiki-content p { text-align:justify; }
.wiki-content { position:relative; left:60px; width:800px; }
.willhabentable { width: 500px; margin: 0 0 0 0; border: none; background-color: #ccb; }
.willhabentable * td { width: 500px; padding: 0.3em 0.8em 0.3em 0.8em; }
.textbeispiele { width:1000px; margin: 0 0 0 0; border: none; }
.textbeispiele > tbody > tr > td { width: 478px; padding: 0.3em 0.8em 0.3em 0.8em; vertical-align: top; }
.textbeispiele > tbody > tr > td:first-child { background-color: #9f9; }
.textbeispiele > tbody > tr > td:nth-child(2) { width: 44px; padding: 0 0 0 0; vertical-align: middle; }
.textbeispiele > tbody > tr > td:nth-child(3) { background-color: #fc9; }
.opferonly { width: 478px; margin: 0 0 0 0; border: none; }
.opferonly > tbody > tr > td { width: 478px; padding: 0.3em 0.8em 0.3em 0.8em; vertical-align: top; background-color: #9f9; }
.ppbeispiele { width: 744px; margin: 0 0 0 0; border: none; }
.ppbeispiele > tbody > tr > td { vertical-align: top; }
.ppbeispiele > tbody > tr > td:first-child { width: 44px; padding: 0 0 0 0; }
.ppbeispiele > tbody > tr > td:last-child { background-color: #fc9; }
</style>
|
Inhalt | ||||||
---|---|---|---|---|---|---|
|
Vorschussbetrug - Das Schlagzeuginserat
...
- Betrüger bahnen das Geschäft an.
- Eine gefälschte Paypal-Mitteilung macht das Opfer glauben, dass es den vereinbarten Kaufpreis samt Frachtkosten erhalten hat.
- Das Opfer bezahlt vermeintlich die Spedition, tatsächlich aber die Betrüger. Das ist deren Gewinn.
- Das Opfer kann die "Frachtkosten" nicht zurückerhalten, da mit Western Union ein anonymisierender Geldtransferdienst benutzt durch Zwischenschalten eines Geldtransferdiensts der Verbleib des Geldes unausforschbar wurde.
Die Vorgangsweise der Betrüger
...
Phase | Trigger | Textbaustein |
---|---|---|
1 Rumreden | Ja, ist noch zu haben | Wie lange hast Du es besessen? Was kostet es? |
2 Feilschen | Beschreibung des Artikels | Was ist der beste Preis? |
3 Kaufen | Preisangabe | Zusage. Wie lautet die Paypal-Adresse und die Postanschrift? |
4 Abkassieren | Adressenangabe, Verkäufer ist "reif" | Es folgen drei Nachrichten in einigem zeitlichen Abstand:
|
Die Betrüger ordnen lediglich einlangende Mails ihrer Opfer einfach dem dafür vorgesehenen Textbaustein zu und verschicken diesenihn. Darüberhinaus wird das, was das Opfer sagt oder fragt, nicht weiter beachtet. Das vereinfacht die Organisation gewaltig, ermöglicht einen beliebig großen Mitarbeiterstab ohne besondere Qualifikation und vermeidet Skalierungsprobleme.
Es ist erstaunlich, wie wenig Mühe sich die Betrüger geben, normal und vertrauenswürdig zu erscheinen. In den Textbausteinen wird der Kaufgegenstand immer nur als "it" bezeichnet; um ihn zu benennen bräuchte es entweder ein Verzeichnis der Transaktionen oder genaues Lesen des Texts. Dadurch war es bei den Tests möglich, Dank dieser Rationalisierungsmaßnahme konnten wir jederzeit mit beliebigen Namen und Absenderadressen in eine beliebige Phase der Transaktion einzusteigen einsteigen und beliebige Phantasiegegenstände feilzubietenfeilbieten, die obwohl sie niemals inseriert waren.
Die doch eigentlich recht plumpe und doch leicht als verdächtig erkennbare zu erkennende Vorgangsweise samt schlechtem Englisch und Rechtschreibfehlern mag dumm und ungebildet anmuten, ist aber vielleicht einfach nur schlau: Es spart Arbeitszeit und Kosten, aufmerksame und medienkompetente Zeitgenossen, die auf den Betrug ohnehin nicht reinfallen würden, möglichst früh auszusieben
Anker | ||||
---|---|---|---|---|
|
Anker |
---|
Textbeispiele
Die folgenden Textbeispiele entstammen unseren Testnachrichten an die Betrüger und deren Antworten
Anker | ||||
---|---|---|---|---|
|
Anker |
---|
Anbahnung
Im vorliegenden Fall erfolgte die Kontaktaufnahme über ein Webformular der Inseratenplattform.
...
Sie haben eine Anfrage auf Ihre Anzeige erhalten.
\[Bezeichnung des Schlagzeugs\[Bezeichnung des Schlagzeugs] Wiki-Markup
Kategorie: Freizeit / Hobby / Kulinarik, Musikinstrumente
...
E-Mail: jackmorris144@gmail.com
Die Anzeige hat folgende URL: \ [http://www.willhaben.at/iad/object?adId=xxxxxxx\] Wiki-Markup
Die wichtigsten Tipps zum sicheren Verkaufen:
...
HTML-Format |
---|
</td></tr></table> |
Bei Western Union und willhaben.at ist man sich des Problems bewußt und warnt daher in den Kontaktmails ausdrücklich riskanten Geschäften.. Western Union haben zur Information ihrer Kunden eine ausführliche Webseite eingerichtet . Der Gratisdienst willhaben.at gibt in den Kontaktmails "wichtige Tipps zum sicheren Verkaufen", geht aber nicht so weit, auffällige oder gemldete Interessenten zu sperren oder sich mit anderen Plattformen zu diesem Zweck zu vernetzen.
Die IP-Adresse, von der das Webformular abgesendet wurde, Die IP-Adresse, von der das Webformular abgesendet wurde, liefert übrigens keine hilfreichen Hinweise auf die Täter.
...
From: | "service@intl.paypal.com" <pay_transfer@consultant.com> |
Sender: | jackmorris144@gmail.com |
To: | Norbert Ulpen <nulpen@univie.ac.at> |
Subject: | Notification of An Instant Merchandise Payment From Jack Morris (Transaction ID-4WR6072127779652U) |
Seite einschließen | ||||
---|---|---|---|---|
|
HTML-Format |
---|
</td></tr></table> |
Bemerkenswert: Man hat sich die Mühe gemacht, die Bezeichnung des Schlagzeugs "NewSound Deluxe" (vermutlich anhand des Subjects) zu eruieren.
Die Fälschung mag, wenn solange man nur auf den Nachrichtentext schaut, eindrucksvoll, vielleicht sogar überzeugend gestaltet sein. Technisch ist die Fälschung nicht anspruchsvoll Nüchtern betrachtet ist sie primitiv ausgeführt:
- Im Absenderfeld stehen Adressen wie Die Adressen im Absenderfeld laute (es gab verschiedene Versionen)
PayPal Int'l(c) <transfer@secure-team.us>
oder bzw."service@intl.paypal.com" <pay_transfer@consultant.com>
. Dass die nicht von Paypal sind, ist leicht erkennbar
(3)Anker txt3 txt3
.Anker - Im Sender:-Feld, das allerdings nicht jeder Mailklient ohne weiteres anzeigt, stehen Adressen wie stand
jackmorris411@gmail.com
oder bzw.anneantonia15@gmail.com
. - Gesendet wurde sie Die Paypal-Bestätigung wird nicht an die mühsam erfragte und angegeben "Paypal Adress"
opfer@univieopfer@univie.ac.at
geschickt, obwohl so theatralisch danach gefragt wurde, sondern einfach an die Absenderadresse der Mail,nulpen@univie.nulpen@univie.ac.at
. - Bei der Rechnung 1400 + 750 = 2150 wurde der Übertrag vergessen und nur 1150 Euro "überwiesen". Auf der anderen Seite sind 1400 Euro um 200 Euro mehr als verlangt...
Damit ist klar, daß PayPal in keiner Weise in die Angelegenheit involviert ist oder irgendwelche Sicherheitslücken hätte.
- In einem anderen Versuch, wo nochmals "two Luftschloss at 1200 EUR each" angegeben waren, hat man die Multiplikation mit zwei vergessen.
Eine Warnung: Wer Bedenken hat, wird möchte natürlich sichergehen und bei Paypal nachfragen, ob alles seine Richtigkeit hatrückfragen. Die Kontaktadresse dafür muß man sich aber aus einer unabhängigen Quelle beschaffen und keineswegs aus den Unterlagender Mail entnehmen, die man ja hinterfragen möchte. Worauf man nicht hereinfallen sollte, ist der Link unter "You überprüfen möchte. Auf den Link "You may contact PayPal customer service by Clicking Here" sollte man nicht hereinfallen: Der führt nämlich zu ''pay_transfer@consultant.com'' und unter dieser Adresse antworten natürlich unsere Betrüger .Noch etwas ist bemerkenswert: Es wurde, vermutlich anhand des Subjects, die Bezeichnung des Schlagzeugs "NewSound Deluxe" eruiert(siehe Beispiel unten).
Nur der Vollständigkeit halber: PayPal (das echte) ist natürlich in keiner Weise in die Angelegenheit involviert und hat auch keinerlei Sicherheitslücken oder dergleichen.
Etwa eine halbe Stunde später kam eine weitere Nachricht "von Paypal":
...
From: | "service@intl.paypal.com" <pay_transfer@consultant.com> |
Sender: | jackmorris144@gmail.com |
To: | Norbert Ulpen <nulpen@univie.ac.at> |
Subject: | Important Information Your Recent Transaction (Transaction ID-4WR6072127779652U) |
Seite einschließen | ||||
---|---|---|---|---|
|
...
HTML-Format |
---|
</td></tr></table> |
Zum Um zu Schritt 4/Abkassieren überzugehen, fehlte der Betrag in der Testmail. Die Antwort ist nur mit gutem Willen als passend zu interpretieren. Interessanterweise wird nicht nach der "home address for it to be Picked Up by the Shipping Company" gefragt.
...
HTML-Format |
---|
</td><td> (Gesamtpaket "Phase 4: Abkassieren") </td></tr></table> |
Hier wurde offensichtlich Diesmal wurden alles weggelassen, was für Phase 4/Abkassieren erforderlich wär. Hat die Person, die diese Nachricht bearbeitet hat, erkannt, dass der Verkäufer drauf und dran ist, abzuspringen und hat ungeduldig wird? Jedenfalls hat man sich die Mühe gemacht, Preis die fehlenden Daten aus er Korrespondenz herauszusuchen. Allerdings wurde als "PayPal mail address", wie schon bei Phase 4 beobachtet, die Absenderadresse der Mail und nicht die abweichende, explizit angegebene benutztder bisherigen Korrespondenz herauszusuchen.
Ich bring's vorbei...
HTML-Format |
---|
<table class="textbeispiele"> <tr><td> |
...
As soon as I have received the amount we agreed upon, the shipping
company can come and pick up 2 Luftschloss. Please make them well aware
that these are very fragile and must be handled with extreme caution.
It's mandatory that the storage temperature never exceeds 35 degree
Kelvin otherwise they would take severe damage.
...
I'm contacting you because I am a bit concerned about a payment. My
customer claims having paid EUR 2730,-, but the payment doesn't show up
when I log into my account. Can you please check if everything's ok?
...
From: | "service@intl.paypal.com" <pay_transfer@consultant.com> |
Sender: | anneantonia15@gmail.com |
To: | Norbert Ulpen <nulpen@univie.ac.at> |
Subject: | Transaction Match Found - Awaiting Western Union Details (Transaction ID-3CP879375C758570E) |
Seite einschließen | ||||
---|---|---|---|---|
|
...
Klarerweise ist auch die Rückfrage bei der vorgeblichen PayPal-Adresse im Ablauf vorgesehen. Man hat sich auch die Mühe gemacht, den richtigen Betrag und den Namen des Käufers herauszusuchengemacht, den richtigen Betrag und den Namen des Käufers herauszusuchen.
Ich kann mir die Spedition nicht leisten!
HTML-Format |
---|
<table class="textbeispiele">
<tr><td>
|
Paul,
> I have just receive an alert from PayPal Customer Care with the
> confirmation email that the payment has been made,a total of €2.200,00
> EUR was sent,€1.200,00 EUR for Goods Purchased and the extra €950,00
> EUR for the shipping charges and am sure you notice that,the €50,00
> EUR is for the western union charges,so make sure you send the money
> to the address below via western union.
I realise that I can't access the money you paid before I have paid the shipping company.
It's very embarrassing, but I have to say that I can't afford the 950,00 EUR right now. Truth is, that I just don't have that much money – that's the very reason why I'm selling all that stuff.
Any ideas? I really need to get that fixed very soon.
Greetings,
Norbert
HTML-Format |
---|
</td><td>
|
HTML-Format |
---|
</td><td>
|
I want you to understand that the payment has been made already and the money has been transferred in excess into your account.But PayPal
temporarily hold the money for you to send the pickup fee of €950,00 EUR to the shipping address giving to you before they can credit your account with the full payment of €2.200,00 EUR So i will advice you to go to the nearest western union office and deposit the pickup fee of €950,00 EUR so that we can arrange the pickup and then your account can be credited immediately.When you are through with western union,you should send me the details you get from western union and the western union scan copy receipt by sending the pickup fee and also to Paypal for verification so that they can activate your account...Western union office can be found in your local post office or in some grocery store close to home As soon as you done, all your money will be activated and clear into your account.
Get back to me asap.
Regards
HTML-Format |
---|
</td></tr></table>
|
Zahlungsunfähige "Zahlungsempfänger" sind mit dem Betrugskonzept klarerweise unvereinbar. Alternativen zur Vorauszahlung per Western Union werden daher sicher nicht angeboten werden.
Fazit
Die Vorgangsweise der Betrüger zielt ganz offensichtlich auf völlig gutgläubige Personen, die reich genug sind, einige hundert Euro "Frachtkosten" vorzuschießen. Die verwendeten Textbausteine mögen linkisch oder tollpatschig erscheinen, aber insgesamt erweckt die Operation den Eindruck eines modernen Call-Centres und eines effizient organisierten Unternehmens. Das Bild von ungebildeten, geradezu analphabetischen nigerianischen Akkordarbeitern, die stumpfsinnig Textbausteine copy-pasten, wird also hinterfragt werden müssen.
...
Anker | ||||
---|---|---|---|---|
|
Anker |
---|
Anker | ||||
---|---|---|---|---|
|
Anker |
---|
Anker | ||||
---|---|---|---|---|
|