<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:800px;}</style>

Vorschussbetrug - Das Schlagzeuginserat

Da Vorschussbetrug ein weites Feld ist, haben wir dem Thema ist eine eigene Seite in diesem Wiki gewidmet. Ein Fall aber hat unsere Aufmerksamkeit erregt und wird im Folgenden ausführlich beschrieben und dokumentiert.

Die Vorgeschichte ist schnell erzählt: Ein Kollege hat ein Schlagzeug bei der Inseratenplattform willhaben.at eingestellt. Ein gewisser jackmorris144 (tatsächlich steckt eine ganze Betrügerbande hinter sowohl dieser als auch einer Reihe anderer Mailadressen) meldete sich darauf, benahm sich verdächtig und wurde zum Untersuchungsobjekt. Schlussfolgerungen und Auszüge aus unserer Korrespondenz sind im Folgenden wiedergegeben.

Der Clou

Der Betrug funktioniert folgendermaßen:

• Betrüger bahnen das Geschäft an.
• Eine gefälschte Paypal-Mitteilung macht das Opfer glauben, dass es den vereinbarten Kaufpreis samt Frachtkosten erhalten hat.
• Das Opfer bezahlt vermeintlich die Spedition, tatsächlich aber die Betrüger. Das ist deren Gewinn.
• Das Opfer kann die "Frachtkosten" nicht zurückerhalten, da mit Western Union ein anonymisierender Geldtransferdienst benutzt wurde.

Die Vorgangsweise der Betrüger

Vorab wird nach Inseraten gesucht, wo etwas angeboten wird, das

• schwer und/oder sperrig ist, sodaß sein Versand erhebliche Frachtkosten verursacht (z.B. Autos, Maschinen)
• so wertvoll ist, daß es plausibel ist, daß jemand diese Frachtkosten bezahlen möchte.

Sodann wird die/der Inserent/in kontaktiert und gefragt, ob "es" noch zu haben ist.

Der weitere Kontakt erfolgt per Mail, die nicht individuell verfasst wird, sondern aus fixen Vorlagen besteht. Der Plan ist einfach und sieht vier Phasen der Überredung vor:

Die Betrüger ordnen lediglich einlangende Mails ihrer Opfer dem dafür vorgesehenen Textbaustein zu und verschicken diesen. Darüberhinaus wird das, was das Opfer sagt oder fragt, nicht weiter beachtet. Das vereinfacht die Organisation gewaltig, ermöglicht einen beliebig großen Mitarbeiterstab ohne besondere Qualifikation und vermeidet Skalierungsprobleme.

Es ist erstaunlich, wie wenig Mühe sich die Betrüger geben, normal und vertrauenswürdig zu erscheinen. In den Textbausteinen wird der Kaufgegenstand immer nur als "it" bezeichnet; um ihn zu benennen bräuchte es entweder ein Verzeichnis der Transaktionen oder genaues Lesen des Texts. Dadurch war es bei den Tests möglich, jederzeit mit beliebigen Namen und Absenderadressen in eine beliebige Phase der Transaktion einzusteigen und beliebige Phantasiegegenstände feilzubieten, die niemals inseriert waren.

Die doch recht plumpe und doch leicht als verdächtig erkennbare Vorgangsweise samt schlechtem Englisch und Rechtschreibfehlern mag dumm und ungebildet anmuten, ist aber vielleicht einfach nur schlau: Es spart Arbeitszeit und Kosten, aufmerksame und medienkompetente Zeitgenossen, die auf den Betrug ohnehin nicht reinfallen würden, möglichst früh auszusieben ⁽¹⁾

Textbeispiele

Die folgenden Textbeispiele entstammen unseren Testnachrichten an die Betrüger und deren Antworten⁽²⁾.

Anbahnung

Im vorliegenden Fall erfolgte die Kontaktaufnahme über ein Webformular der Inseratenplattform.

<style>
.willhabentable {position:relative; width:500px;}
.willhabenzelle {width: 490px; background-color: #ccb;}
</style>
<table border="0" cellpadding="5" cellspacing="5" class="willhabentable">
<tr><td align="left" class="willhabenzelle" valign="top">

Lieber willhaben.at User,

Sie haben eine Anfrage auf Ihre Anzeige erhalten.

\[Bezeichnung des Schlagzeugs\]

Kategorie: Freizeit / Hobby / Kulinarik, Musikinstrumente

Preis: € 300,00

Willhaben-Code: xxxxxxx

Anfragetext:
Hello...is it still for sale..

Kontaktdaten des Absenders:

Name: Jack Morris

E-Mail: jackmorris144@gmail.com

Die Anzeige hat folgende URL: \[http://www.willhaben.at/iad/object?adId=xxxxxxx\]

Die wichtigsten Tipps zum sicheren Verkaufen:

• Von einem Versand/Verkauf der Ware ins Ausland Abstand nehmen.
• Auf keinerlei Kauf- bzw. Bezahloptionen via Scheck, oder internationalem Geldtransfer/Treuhandservices (z.B. Western Union, PayPal) eingehen.
• Den Kunden, wenn möglich, Ware vor Kauf begutachten lassen.

Mit freundlichen Grüßen
willhaben.at

----
Absender IP Adresse: 65.98.24.55<br/>
Sa 31. Mär 2012 17:56:20 (jackmorris144@gmail.com)

</td></tr></table>

Bei willhaben.at ist man sich des Problems bewußt und warnt daher in den Kontaktmails ausdrücklich riskanten Geschäften.

Die IP-Adresse, von der das Webformular abgesendet wurde, liefert übrigens keine hilfreichen Hinweise auf die Täter.

Phase 1: Interesse am Artikel vorspielen

<style>
.textbeispiele {position:relative; width:1000px;}
.opferzelle {width: 490px; background-color: #9f9;}
.scammerzelle {width: 490px; background-color: #fc9;}
</style>
<table border="0" cellpadding="5" cellspacing="5" class="textbeispiele">
<tr><td align="left" class="opferzelle" valign="top">

yes, indeed. My pack of Sargnagel is still available, they're in pretty good shape, barely used, last service has been done at Simmering Hall 1 four months ago. I can send it via avian carriers (according to Regulations For Cargo RFC 1149) if you whish.

Let me know if you're interested.

Regards,

Franz

Jack Morris wrote:

> Anfragetext:
>
> Hello...is it still for sale..

</td><td align="left" valign="middle" border=0>

</td><td align="left" class="scammerzelle" valign="top">

Hello,

Thanks for your response.Am interested in buying.How long have you owned it?? what's your actual price for it?.

Awaiting to hear from you soon,

Best Regards.

</td></tr></table>

Hier wird deutlich, dass der vorgebliche Käufer nicht ernsthaft an einem Geschäft interessiert ist:

• Es fällt ihm nicht auf, dass statt des Schlagzeugs nun Sargnägel angeboten werden
• Wer kauft überhaupt Sargnägel?
• Der Preis stand bereits im Inserat, dennoch wird erneut danach gefragt
• Daß der Verkäufer, der laut Mail-Header Alexander Talos-Zens heißt, als "Franz" unterschreibt, löst keine Rückfragen aus

Phase 2: Kaufverhandlungen simulieren

<table border="0" cellpadding="5" cellspacing="5" class="textbeispiele">
<tr><td align="left" class="opferzelle" valign="top">

Jack,

it was a birthday present when I became 12. Btw, I also have another one, are you interested in that too? It'd save you some shipping costs.

Cheers,

Dieter

</td><td align="left" valign="middle" border=0>

</td><td align="left" class="scammerzelle" valign="top">

Ok what is the best price for it?

</td></tr></table>

Nachdem der Verkäufer den Artikel "ausführlich" beschrieben hat und somit von der Redlichkeit des Interessenten überzeugt wurde, soll das eigentliche Geschäft möglichst schnell abgeschlossen werden. Für eine Zusage braucht der Betrüger nur noch einen ausdrücklich genannten Preis, genau nach diesem fragt er nun.

Phase 3: Kaufen und angebliche Paypal-Transaktion initiieren

<table border="0" cellpadding="5" cellspacing="5" class="textbeispiele">
<tr><td align="left" class="opferzelle" valign="top">

Jack,

Jack Morris skrev:
> Ok what is the best price for it?

>

Tank you for your kind interest in purchasing 2 Luftschloss! I can sell you both at only 1200,- each, plus 12% Unsinn-Tax, but you can get two thirds of it refunded if you have a URL valid in the EU. If you're not based in the EU, I'm afraid you'll have to add another 3,14% Kurtaxe (stupid regulations, I know). Are you paying cash when you come to pick the 2 Luftschloss up?

Looking forward to hearing from you soon,

Hildgund

</td><td align="left" valign="middle" border=0>

</td><td align="left" class="scammerzelle" valign="top">

Ok,good..I'm quite satisfied with the condition and price. I will be paying the PayPal charges from my account and i will be paying directly into your PayPal account without any delay, and i hope you have a paypal account. If you have one already, just send me the address to send it to, which is the email address you use for it or you can send me a paypal money request, so once i receive the details i will go ahead with the payment through PayPal and then i will contact my shipping company after you get the payment. I will need your home address for it to be Picked Up by the Shipping Company..

</td></tr></table>

Den Betrügern liegt nun ein konkretes Angebot vor, das sie natürlich annehmen. Um ja keine Zweifel aufkommen zu lassen, kündigen die Betrüger Vorauszahlung per E-Bay und Abholung per Sepedition an.

Phase 4: Abkassieren

<table border="0" cellpadding="5" cellspacing="5" class="textbeispiele">
<tr><td align="left" class="opferzelle" valign="top">

Paul,

Congrats! You're the new owner of a stock of Siemens Lufthaken!

Please send the Amount of EUR 1200 to my Paypal Account:

Othmar Pfer <opfer@univie.ac.at>

Home Address:

Dr. Othmar Pfer
Auf Dem Holzweg 13
1240 Wien

Please let the shipping company know that this heavy duty stuff weighs about a ton in total.

Cheers,

Hans

</td><td align="left" valign="middle" border=0>

</td><td align="left" class="scammerzelle" valign="top">

Thanks for your mail..I will proceed with the payment immediately.Kindly end the auction immediately since you have decide to sell the merchandise to me and also get back to me with your home address so i can forward it to my shipping agent for the pick up.

</td></tr></table>

Aus Sicht der Betrüger hat der Plan funktioniert, der Verkäufer hat angebissen. Die erste Reaktion ist noch schlichten Stil der bekannten Standardtexte, aber danach wird der Fall mit viel mehr Aufwand (möglicherweise von einem anderen Team) bearbeitet. Etwa nach zwei Stunden folgte eine Eingangsbestätigung "von Paypal":

<table border="0" cellpadding="5" cellspacing="5" width=760>
<tr>
<td align="left" valign="top" border=0 width=44>

</td><td align="left" class="scammerzelle" valign="top">

</td></tr></table>

Die Fälschung mag, wenn man nur auf den Nachrichtentext schaut, überzeugend gestaltet sein. Technisch ist die Fälschung nicht anspruchsvoll ausgeführt:

• Im Absenderfeld stehen Adressen wie PayPal Int'l(c) <transfer@secure-team.us> oder "service@intl.paypal.com" <pay_transfer@consultant.com>.
• Im Sender:-Feld, das allerdings nicht jeder Mailklient ohne weiteres anzeigt, stehen Adressen wie jackmorris411@gmail.com oder anneantonia15@gmail.com.
• Gesendet wurde sie nicht an die mühsam erfragte und angegeben "Paypal Adress" opfer@univie.ac.at sondern einfach an die Absenderadresse der Mail, nulpen@univie.ac.at.
• Bei der Rechnung 1400 + 750 = 2150 wurde der Übertrag vergessen und nur 1150 Euro "überwiesen". Auf der anderen Seite sind 1400 Euro um 200 Euro mehr als verlangt...

Damit ist klar, daß PayPal in keiner Weise in die Angelegenheit involviert ist oder irgendwelche Sicherheitslücken hätte.

Eine Warnung: Wer Bedenken hat, wird natürlich bei Paypal nachfragen, ob alles seine Richtigkeit hat. Die Kontaktadresse dafür muß man sich aber aus einer unabhängigen Quelle beschaffen und keineswegs aus den Unterlagen, die man ja hinterfragen möchte. Worauf man nicht hereinfallen sollte, ist der Link unter "You may contact PayPal customer service by Clicking Here": Der führt nämlich zu ''pay_transfer@consultant.com'' und unter dieser Adresse antworten natürlich unsere Betrüger.

Noch etwas ist bemerkenswert: Es wurde, vermutlich anhand des Subjects, die Bezeichnung des Schlagzeugs "NewSound Deluxe" eruiert.

Etwa eine halbe Stunde später kam eine weitere Nachricht "von Paypal":

<table border="0" cellpadding="5" cellspacing="5" width=760>
<tr>
</td><td align="left" valign="top" border=0 width=44>

</td><td align="left" class="scammerzelle" valign="top">

</td></tr></table>

Das erklärt, warum auf dem Paypal-Konto noch nichts gutgeschrieben ist: Paypal selbst (angeblich) wartet auf die Bestätigung, dass die "Spedition" bezahlt wurde.

Um nur ja nichts anbrennen zu lassen, meldet sich Jack Morris 10 Minuten später und wiederholt das Wesentliche in einfacheren Worten:

<table border="0" cellpadding="5" cellspacing="5" width=760>
<tr>
</td><td align="left" valign="top" border=0 width=44>

</td><td align="left" class="scammerzelle" valign="top">

Hi Friend,

I have just receive an alert from PayPal Customer Care with the confirmation email that the payment has been made,a total of €2.150,00 EUR was sent,€1.400,00 EUR for the NewSound Deluxe Purchased and the extra €750,00 EUR for the shipping charges and am sure you notice that,which you will be sending €750,00 EUR to the address below via western union.or if you want to contact the shipping agent you can call this number +447045701051

Name : Kent Freeman
Address : 2270 Markham Road
City : London
Postal Code : W1F 7BR
Country : United Kingdom

With the issue of my details,transferring the name of ownership and signing of all paperwork will be done by the pick up agent so you don't have to worry about that.My shipper would be coming around to your area to have the NewSound Deluxe picked up once you have sent the shipping charges fee to them,as i need you to let me know what time you want them to come for the pick up . I advises you to check your Inbox or your Junk/Spam mail in case you did not get the confirmation email from PayPal yet.

I will be waiting to hear from you once the money has been sent to my shipper.

Thanks for the business

</td></tr></table>

Das sollte nach Ansicht der Betrüger ausreichen, um die Zahlung per Western Union zu bewirken. Interessanterweise gab es von deren Seite aus keine Nachfragen nach der verbliebenen Ware oder dem verbliebenen Geld.

Challenges

Uns hat auch interessiert, wie flexibel die Betrüger auf unplanmäßige Ereignisse reagieren können.

Kaufpreis fehlt

<table border="0" cellpadding="5" cellspacing="5" class="textbeispiele">
<tr><td align="left" class="opferzelle" valign="top">

Jack,

glad to hear that. So here we go...

> just send me the address to send it to, which is the email address you use for it

Sure! It's:

Norbert Ulpen <nulpen@univie.ac.at>

As soon as I have received the amount we agreed upon, the shipping company can come and pick up 2 Luftschloss. Please make them well aware that these are very fragile and must be handled with extreme caution.

It's mandatory that the storage temperature never exceeds 35 degree Kelvin otherwise they would take severe damage.

> I will need your home address for it to be Picked Up by the Shipping Company..

Here you are:

Norbert Ulpen c/o
Freunde & Helfer
Kandlgasse 4
1070 Wien
Austria

I look forward to hearing from you soon,

Norbert

</td><td align="left" valign="middle" border=0 width=44>

</td><td align="left" class="scammerzelle" valign="top">

Thanks for your response.give me your paypal email i will paying you directly into your PayPal account without any delay. Get back to me with the details below :

Name:
PayPal Email address
Total Cost of the item.

Or you can send me a paypal money request, so once i receive the details i will go ahead with the payment through PayPal and then i will contact my shipping company after you get the payment. I will need your home address for it to be Picked Up by the Shipping Company..

Have a nice day.

</td></tr></table>

Zum Schritt 4/Abkassieren fehlte der Betrag. Die Antwort ist nur mit gutem Willen als passend zu interpretieren. Interessanterweise wird nicht nach der "home address for it to be Picked Up by the Shipping Company" gefragt.

Kauf perfekt, aber alle Angaben fehlen

<table border="0" cellpadding="5" cellspacing="5" class="textbeispiele">
<tr><td align="left" class="opferzelle" valign="middle">

Jack,

Jack Morris skrev:
> Thanks for your response.give me your paypal email i will paying you
> directly into your PayPal account without any delay. Get back to me with
> the details below :
>
>
> Name:
> PayPal Email address
> Total Cost of the item.

You can use the name and mail address from my last mail. Please send me
the amount we agreed upon. Most importantly: Please let me know the
precise address where to send the two Luftschloss.

Have a nice sunday,

Hermenegild.

</td><td align="left" valign="middle" border=0 width=44>

</td><td align="left" class="scammerzelle" valign="top">
(Gesamtpaket "Phase 4: Abkassieren")
</td></tr></table>

Hier wurde offensichtlich erkannt, dass der Verkäufer drauf und dran ist, abzuspringen und hat sich die Mühe gemacht, Preis die fehlenden Daten aus er Korrespondenz herauszusuchen. Allerdings wurde als "PayPal mail address", wie schon bei Phase 4 beobachtet, die Absenderadresse der Mail und nicht die abweichende, explizit angegebene benutzt.

Ich bring's vorbei...

<table border="0" cellpadding="5" cellspacing="5" class="textbeispiele">
<tr><td align="left" class="opferzelle" valign="middle">

Dear Jack,

Jack Morris skrev:

> Name : Kent Freeman
> Address : 2270 Markham Road
> City : London

That's great! And guess what, accidentally I happen to travel to London this week. I can bring along all the stuff to Markham Road (a friend of mine lives just in the neighborhood) so we can save the shipping costs and have a beer. Do you know Gibtsned's Pub? It's just around the corner.

See you soon!

Martin

</td><td align="left" valign="middle" border=0 width=44>

</td><td align="left" class="scammerzelle" valign="top">

You will have to go to any western union post office with cash of €750,00 from your pocket when you get to the western union office tell them you want to send money abroad using western union money transfer to the address given to you and after you send the money and send the western union details to PayPal for the confirmation

</td></tr></table>

Offenbar mag Jack kein Bier.

Auf meinem PayPal-Konto sehe ich nichts!

<table border="0" cellpadding="5" cellspacing="5" class="textbeispiele">
<tr><td align="left" class="opferzelle" valign="middle">

Dear Jack,

Jack Morris wrote:
> Good Morning,I will be waiting for you to get the transaction completed

I can't seem to find anything related to a payment anywhere. Can you please doublecheck that you sent the money to the correct address?

Greetings

Jack,

glad to hear that. So here we go...

> > just send me the address to send it to, which is the email address you
>
use for it

Sure! It's:

Norbert Ulpen <nulpen@univie.ac.at>

As soon as I have received the amount we agreed upon, the shipping
company can come and pick up 2 Luftschloss. Please make them well aware
that these are very fragile and must be handled with extreme caution.
It's mandatory that the storage temperature never exceeds 35 degree
Kelvin otherwise they would take severe damage.

> > I will need your home address for it to be Picked Up by the Shipping
>
Company..

Here you are:

Norbert Ulpen c/o
Freunde & Helfer
Kandlgasse 4
1070 Wien
Austria

I look forward to hearing from you soon,

Norbert

</td><td align="left" valign="middle" border=0 width=44>

</td><td align="left" class="scammerzelle" valign="top">

Thanks for your mail..Am sorry i should have inform you about this before making the payment,i don't have access to western union at the moment due to my nature of work.Am a marine engineer busy sailing,am in a ship right now at Bermuda.That is the reason why i add the money to your payment so you can help me to pay the shipping agent when the payment is complete into your account. PayPal is holding the payment just to secure both party as they have already deducted the money from my account which is on the way to your account history.You just have to send the money the shipping agent through western union and email the western union receipt to PayPal Customer care email in order to receive the whole money into your account.

Thanks..Hope to read back from you soon.

</td></tr></table>

Besorgte Rückfragen beim "Käufer" sind offenbar im Plan vorgesehen.

Rückfrage bei "PayPal"

<table width=350 border="0" cellpadding="5" cellspacing="5" class="textbeispiele" width=150>
<tr><td align="left" class="opferzelle" valign="top" width=300>

Hello,

I'm contacting you because I am a bit concerned about a payment. My
customer claims having paid EUR 2730,-, but the payment doesn't show up
when I log into my account. Can you please check if everything's ok?

Kind regards,

Norbert Ulpen

</td><td></td></td></tr></table>
<table border="0" cellpadding="5" cellspacing="5" class="textbeispiele" width=600>
<tr>
<td align="left" valign="top" border=0 width=44>

</td><td align="left" class="scammerzelle" valign="top" width=540>

</td></tr></table>

Klarerweise ist auch die Rückfrage bei der vorgeblichen PayPal-Adresse im Ablauf vorgesehen. Man hat sich auch die Mühe gemacht, den richtigen Betrag und den Namen des Käufers herauszusuchen.

Fazit

Die Vorgangsweise der Betrüger zielt ganz offensichtlich auf völlig gutgläubige Personen, die reich genug sind, einige hundert Euro "Frachtkosten" vorzuschießen. Die verwendeten Textbausteine mögen linkisch oder tollpatschig erscheinen, aber insgesamt erweckt die Operation den Eindruck eines modernen Call-Centres und eines effizient organisierten Unternehmens. Das Bild von ungebildeten, geradezu analphabetischen nigerianischen Akkordarbeitern, die stumpfsinnig Textbausteine copy-pasten, wird also hinterfragt werden müssen.

1. Why do Nigerian scammers say they are from Nigeria?

2. An einigen Stellen wurden geringfügige Änderungen bei E-Mail-Adressen oder der Klarheit wegen (z.B. Kürzungen der Tofu-Quotes) vorgenommen.