Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Kommentar: Migration of unmigrated content due to installation of a new plugin
HTML-Format
<style>
.wiki-content p { text-align:justify; }
.wiki-content   { position:relative; left:60px; width:800px; }

.willhabentable { width: 500px; margin: 0 0 0 0; border: none; background-color: #ccb; }
.willhabentable * td { width: 500px; padding: 0.3em 0.8em 0.3em 0.8em; }

.textbeispiele  { width:1000px; margin: 0 0 0 0; border: none; }
.textbeispiele > tbody > tr > td              { width: 478px; padding: 0.3em 0.8em 0.3em 0.8em; vertical-align: top; }
.textbeispiele > tbody > tr > td:first-child  { background-color: #9f9; }
.textbeispiele > tbody > tr > td:nth-child(2) { width:  44px; padding: 0 0 0 0; vertical-align: middle; }
.textbeispiele > tbody > tr > td:nth-child(3) { background-color: #fc9; }

.opferonly                   { width: 478px; margin: 0 0 0 0; border: none; }
.opferonly > tbody > tr > td { width: 478px; padding: 0.3em 0.8em 0.3em 0.8em; vertical-align: top; background-color: #9f9; }


.ppbeispiele    { width: 744px; margin: 0 0 0 0; border: none; }
.ppbeispiele > tbody > tr > td              { vertical-align: top; }
.ppbeispiele > tbody > tr > td:first-child  { width:  44px; padding: 0 0 0 0; }
.ppbeispiele > tbody > tr > td:last-child   { background-color: #fc9; }
 
</style>
Inhalt
minLevelmaxLevel2
maxLevelminLevel2
typeflat

Vorschussbetrug - Das Schlagzeuginserat

...

  • Betrüger bahnen das Geschäft an.
  • Eine gefälschte Paypal-Mitteilung macht das Opfer glauben, dass es den vereinbarten Kaufpreis samt Frachtkosten erhalten hat.
  • Das Opfer bezahlt vermeintlich die Spedition, tatsächlich aber die Betrüger. Das ist deren Gewinn.
  • Das Opfer kann die "Frachtkosten" nicht zurückerhalten, da mit Western Union ein anonymisierender Geldtransferdienst benutzt durch Zwischenschalten eines Geldtransferdiensts der Verbleib des Geldes unausforschbar wurde.

Die Vorgangsweise der Betrüger

...

Phase

Trigger

Textbaustein

1 Rumreden

Ja, ist noch zu haben

Wie lange hast Du es besessen? Was kostet es?

2 Feilschen

Beschreibung des Artikels

Was ist der beste Preis?

3 Kaufen

Preisangabe

Zusage. Wie lautet die Paypal-Adresse und die Postanschrift?

4 Abkassieren

Adressenangabe, Verkäufer ist "reif"

Es folgen drei Nachrichten in einigem zeitlichen Abstand:

  • Ich zahle gleich
  • Gefälschte Paypal-Benachrichtigung
  • Ich habe gezahlt
  • Paypal-Treuhand-Erklärung

Die Betrüger ordnen lediglich einlangende Mails ihrer Opfer einfach dem dafür vorgesehenen Textbaustein zu und verschicken diesenihn. Darüberhinaus wird das, was das Opfer sagt oder fragt, nicht weiter beachtet. Das vereinfacht die Organisation gewaltig, ermöglicht einen beliebig großen Mitarbeiterstab ohne besondere Qualifikation und vermeidet Skalierungsprobleme.

Es ist erstaunlich, wie wenig Mühe sich die Betrüger geben, normal und vertrauenswürdig zu erscheinen. In den Textbausteinen wird der Kaufgegenstand immer nur als "it" bezeichnet; um ihn zu benennen bräuchte es entweder ein Verzeichnis der Transaktionen oder genaues Lesen des Texts. Dadurch war es bei den Tests möglich, Dank dieser Rationalisierungsmaßnahme konnten wir jederzeit mit beliebigen Namen und Absenderadressen in eine beliebige Phase der Transaktion einzusteigen einsteigen und beliebige Phantasiegegenstände feilzubietenfeilbieten, die obwohl sie niemals inseriert waren.

Die doch eigentlich recht plumpe und doch leicht als verdächtig erkennbare zu erkennende Vorgangsweise samt schlechtem Englisch und Rechtschreibfehlern mag dumm und ungebildet anmuten, ist aber vielleicht einfach nur schlau: Es spart Arbeitszeit und Kosten, aufmerksame und medienkompetente Zeitgenossen, die auf den Betrug ohnehin nicht reinfallen würden, möglichst früh auszusieben

Anker
txt1
txt1
(1)
Anker

Textbeispiele

Die folgenden Textbeispiele entstammen unseren Testnachrichten an die Betrüger und deren Antworten

Anker
txt2
txt2
(2)
Anker
.

Anbahnung

Im vorliegenden Fall erfolgte die Kontaktaufnahme über ein Webformular der Inseratenplattform.

...

Sie haben eine Anfrage auf Ihre Anzeige erhalten.

Wiki-Markup\[Bezeichnung des Schlagzeugs\[Bezeichnung des Schlagzeugs]

Kategorie: Freizeit / Hobby / Kulinarik, Musikinstrumente

...

E-Mail: jackmorris144@gmail.com

Wiki-MarkupDie Anzeige hat folgende URL: \ [http://www.willhaben.at/iad/object?adId=xxxxxxx\]

Die wichtigsten Tipps zum sicheren Verkaufen:

...

HTML-Format
</td></tr></table>

Bei Western Union und willhaben.at ist man sich des Problems bewußt und warnt daher in den Kontaktmails ausdrücklich riskanten Geschäften.. Western Union haben zur Information ihrer Kunden eine ausführliche Webseite eingerichtet . Der Gratisdienst willhaben.at gibt in den Kontaktmails "wichtige Tipps zum sicheren Verkaufen", geht aber nicht so weit, auffällige oder gemldete Interessenten zu sperren oder sich mit anderen Plattformen zu diesem Zweck zu vernetzen.

Die IP-Adresse, von der das Webformular abgesendet wurde, Die IP-Adresse, von der das Webformular abgesendet wurde, liefert übrigens keine hilfreichen Hinweise auf die Täter.

...

From:

"service@intl.paypal.com" <pay_transfer@consultant.com>

Sender:

jackmorris144@gmail.com

To:

Norbert Ulpen <nulpen@univie.ac.at>

Subject:

Notification of An Instant Merchandise Payment From Jack Morris (Transaction ID-4WR6072127779652U)

Seite einschließen
CERT:Vorschussbetrug - Fallbeispiel Schlagzeug - PayPal1CERT:
Vorschussbetrug - Fallbeispiel Schlagzeug - PayPal1
HTML-Format
</td></tr></table>

Bemerkenswert: Man hat sich die Mühe gemacht, die Bezeichnung des Schlagzeugs "NewSound Deluxe" (vermutlich anhand des Subjects) zu eruieren.

Die Fälschung mag, wenn solange man nur auf den Nachrichtentext schaut, eindrucksvoll, vielleicht sogar überzeugend gestaltet sein. Technisch ist die Fälschung nicht anspruchsvoll Nüchtern betrachtet ist sie primitiv ausgeführt:

  • Im Absenderfeld stehen Adressen wie Die Adressen im Absenderfeld laute (es gab verschiedene Versionen) PayPal Int'l(c) <transfer@secure-team.us> oder bzw. "service@intl.paypal.com" <pay_transfer@consultant.com>. Dass die nicht von Paypal sind, ist leicht erkennbar
    Anker
    txt3
    txt3
    (3)
    Anker
    .
  • Im Sender:-Feld, das allerdings nicht jeder Mailklient ohne weiteres anzeigt, stehen Adressen wie stand jackmorris411@gmail.com oder bzw. anneantonia15@gmail.com.
  • Gesendet wurde sie Die Paypal-Bestätigung wird nicht an die mühsam erfragte und angegeben "Paypal Adress" opfer@univieopfer@univie.ac.at geschickt, obwohl so theatralisch danach gefragt wurde, sondern einfach an die Absenderadresse der Mail, nulpen@univie.nulpen@univie.ac.at.
  • Bei der Rechnung 1400 + 750 = 2150 wurde der Übertrag vergessen und nur 1150 Euro "überwiesen". Auf der anderen Seite sind 1400 Euro um 200 Euro mehr als verlangt...

Damit ist klar, daß PayPal in keiner Weise in die Angelegenheit involviert ist oder irgendwelche Sicherheitslücken hätte.

  • In einem anderen Versuch, wo nochmals "two Luftschloss at 1200 EUR each" angegeben waren, hat man die Multiplikation mit zwei vergessen.

(Warnung) (Warnung) Eine Warnung: Wer Bedenken hat, wird möchte natürlich sichergehen und bei Paypal nachfragen, ob alles seine Richtigkeit hatrückfragen. Die Kontaktadresse dafür muß man sich aber aus einer unabhängigen Quelle beschaffen und keineswegs aus den Unterlagender Mail entnehmen, die man ja hinterfragen möchte. Worauf man nicht hereinfallen sollte, ist der Link unter "You überprüfen möchte. Auf den Link "You may contact PayPal customer service by Clicking Here" sollte man nicht hereinfallen: Der führt nämlich zu ''pay_transfer@consultant.com'' und unter dieser Adresse antworten natürlich unsere Betrüger .Noch etwas ist bemerkenswert: Es wurde, vermutlich anhand des Subjects, die Bezeichnung des Schlagzeugs "NewSound Deluxe" eruiert(siehe Beispiel unten).

Nur der Vollständigkeit halber: PayPal (das echte) ist natürlich in keiner Weise in die Angelegenheit involviert und hat auch keinerlei Sicherheitslücken oder dergleichen.

Etwa eine halbe Stunde später kam eine weitere Nachricht "von Paypal":

...

From:

"service@intl.paypal.com" <pay_transfer@consultant.com>

Sender:

jackmorris144@gmail.com

To:

Norbert Ulpen <nulpen@univie.ac.at>

Subject:

Important Information Your Recent Transaction (Transaction ID-4WR6072127779652U)

Seite einschließen
CERT:Vorschussbetrug - Fallbeispiel Schlagzeug - PayPal2CERT:
Vorschussbetrug - Fallbeispiel Schlagzeug - PayPal2

...

HTML-Format
</td></tr></table>

Zum Um zu Schritt 4/Abkassieren überzugehen, fehlte der Betrag in der Testmail. Die Antwort ist nur mit gutem Willen als passend zu interpretieren. Interessanterweise wird nicht nach der "home address for it to be Picked Up by the Shipping Company" gefragt.

...

HTML-Format
</td><td>
(Gesamtpaket "Phase 4: Abkassieren")
</td></tr></table>

Hier wurde offensichtlich Diesmal wurden alles weggelassen, was für Phase 4/Abkassieren erforderlich wär. Hat die Person, die diese Nachricht bearbeitet hat, erkannt, dass der Verkäufer drauf und dran ist, abzuspringen und hat ungeduldig wird? Jedenfalls hat man sich die Mühe gemacht, Preis die fehlenden Daten aus er Korrespondenz herauszusuchen. Allerdings wurde als "PayPal mail address", wie schon bei Phase 4 beobachtet, die Absenderadresse der Mail und nicht die abweichende, explizit angegebene benutztder bisherigen Korrespondenz herauszusuchen.

Ich bring's vorbei...

HTML-Format
<table class="textbeispiele">
<tr><td>

...

As soon as I have received the amount we agreed upon, the shipping
company can come and pick up 2 Luftschloss. Please make them well aware
that these are very fragile and must be handled with extreme caution.
It's mandatory that the storage temperature never exceeds 35 degree
Kelvin otherwise they would take severe damage.

...

I'm contacting you because I am a bit concerned about a payment. My
customer claims having paid EUR 2730,-, but the payment doesn't show up
when I log into my account. Can you please check if everything's ok?

...

From:

"service@intl.paypal.com" <pay_transfer@consultant.com>

Sender:

anneantonia15@gmail.com

To:

Norbert Ulpen <nulpen@univie.ac.at>

Subject:

Transaction Match Found - Awaiting Western Union Details (Transaction ID-3CP879375C758570E)

Seite einschließen
CERT:Vorschussbetrug Vorschussbetrug - Fallbeispiel Schlagzeug - PayPal3CERT:
Vorschussbetrug - Fallbeispiel Schlagzeug - PayPal3

...

Klarerweise ist auch die Rückfrage bei der vorgeblichen PayPal-Adresse im Ablauf vorgesehen. Man hat sich auch die Mühe gemacht, den richtigen Betrag und den Namen des Käufers herauszusuchengemacht, den richtigen Betrag und den Namen des Käufers herauszusuchen.

Ich kann mir die Spedition nicht leisten!

HTML-Format

<table class="textbeispiele">
<tr><td>

Paul,

> I have just receive an alert from PayPal Customer Care with the
> confirmation email that the payment has been made,a total of €2.200,00
> EUR was sent,€1.200,00 EUR for Goods Purchased and the extra €950,00
> EUR for the shipping charges and am sure you notice that,the €50,00
> EUR is for the western union charges,so make sure you send the money
> to the address below via western union.

I realise that I can't access the money you paid before I have paid the shipping company.

It's very embarrassing, but I have to say that I can't afford the 950,00 EUR right now. Truth is, that I just don't have that much money – that's the very reason why I'm selling all that stuff.

Any ideas? I really need to get that fixed very soon.

Greetings,

Norbert

HTML-Format

</td><td>

Image Added

HTML-Format

</td><td>

I want you to understand that the payment has been made already and the money has been transferred in excess into your account.But PayPal
temporarily hold the money for you to send the pickup fee of €950,00 EUR to the shipping address giving to you before they can credit your account with the full payment of €2.200,00 EUR So i will advice you to go to the nearest western union office and deposit the pickup fee of €950,00 EUR so that we can arrange the pickup and then your account can be credited immediately.When you are through with western union,you should send me the details you get from western union and the western union scan copy receipt by sending the pickup fee and also to Paypal for verification so that they can activate your account...Western union office can be found in your local post office or in some grocery store close to home As soon as you done, all your money will be activated and clear into your account.

Get back to me asap.

Regards

HTML-Format

</td></tr></table>

Zahlungsunfähige "Zahlungsempfänger" sind mit dem Betrugskonzept klarerweise unvereinbar. Alternativen zur Vorauszahlung per Western Union werden daher sicher nicht angeboten werden.

Fazit

Die Vorgangsweise der Betrüger zielt ganz offensichtlich auf völlig gutgläubige Personen, die reich genug sind, einige hundert Euro "Frachtkosten" vorzuschießen. Die verwendeten Textbausteine mögen linkisch oder tollpatschig erscheinen, aber insgesamt erweckt die Operation den Eindruck eines modernen Call-Centres und eines effizient organisierten Unternehmens. Das Bild von ungebildeten, geradezu analphabetischen nigerianischen Akkordarbeitern, die stumpfsinnig Textbausteine copy-pasten, wird also hinterfragt werden müssen.

...

Anker
fn1
fn1
1. Why do Nigerian scammers say they are from Nigeria?
Anker

Anker
fn2
fn2
2. An einigen Stellen wurden geringfügige Änderungen bei E-Mail-Adressen oder der Klarheit wegen (z.B. Kürzungen der Tofu-Quotes) vorgenommen.
Anker

Anker
fn3
fn3
3. Leider verstecken viele Mailprogramme "der Übersichtlichkeit halber" die Adresse und zeigen nur den "Namen" an. Es ist paradox, wenn Benutzer die Kontrolle über die Technik verlieren, weil man versucht hat, sie "anwenderfreundlich" zu gestalten.