Merkwürdige "Kunden"-Angebotsanfragen – es "ist Warenkreditbetrug"

Stop - PixabayIch nehme als ein Thema hier im Blog mit auf, das vielleicht den einen oder anderen Dienstleister bzw. Gerätelieferanten erreichen könnte. Ein Leser hat mir zwei "auffällig" Angebotsanfragen für Hardware zukommen lassen, die extrem nach Betrugsversuch "riechen" (bzw. es sind Betrugsversuche). Ziel könnte es sein, in teure Hardware abzugreifen. Möglicherweise steckt noch mehr dahinter. Nachfolgend habe ich das Thema aufbereitet  – vielleicht verhindert es, dass jemand aus der Leserschaft auf so etwas hereinfällt.


Anzeige

Eine Leser-Mail mit einem Hinweis

Blog-Leser Marcus G. hat mich gestern per E-Mail kontaktiert, weil ihm bei Angebotsanfragen etwas spanisch vorkam. Marcus schrieb mir, dass er nebenberuflich EDV-Dienstleistungen anbietet und auch Hardware verkauft. So weit so normal – und auch seine Aussage, dass er neue Kunden normalerweise durch Empfehlung zufriedener Kunden bekommt, dürfte den meisten Lesern bekannt vorkommen.

Nun hat sich aber etwas geändert, wie er schrieb. Er bekommt in letzter Zeit öfters dringliche Anfragen von "Neukunden", die ihm verdächtig vorkommen. Die Anschreiben per Mail – er hat mir zwei Fälle zukommen lassen – enthalten keine Referenz, wie die Anfragenden auf seinen Namen kommen. Zudem sind die Anfragenden recht weit von seinem Standort (Nürnberg) entfernt – es sieht so aus, dass das Ziel ist, dass Hardware auf Bestellung verschickt wird – bei Kauf auf Rechnung wäre dann das Risiko, dass die Hardware weg ist, ohne dass es jemals zu einer Begleichung der Rechnung kommt.

Marcus schrieb mir dazu: Scheint wohl eine neue Masche mit gehackten Zugängen zu sein, um Hardware abzugreifen. Oder aber die Vorstufe eines Hackerangriffes auf die Firmen, bevor Daten verschlüsselt werden.

Fall 1: Anfrage einer VGH-Vertretung aus Wolfsburg

In der ersten "Bestellanfrage", die mir Marcus zugeschickt hat, fragt ein angeblicher VGH-Vertreter nach Notebooks. Hier die Anfrage, die mir alleine durch die Formulierung, recht "spanisch" vorkommt.

Schein-Angebotsanfrage

Guten Tag,

Unser Büro benötigt kurzfristig 3 neue Laptops / Notebooks.

Und wir möchten uns vorab ein Angebot einholen, um dann voraussichtlich Verbindlich zu bestellen.

Die 3 Laptops müssen nicht einheitlich sein, wenn möglich wäre es jedenfalls schön.

Wir haben keine speziellen Anforderungen was Marke Speicher Display Größe angeht, es sollte Flüssig arbeiten mit Programmen wie Office und die Laptops können Allgemein gerne hochwertiger sein da wir mit den Geräten langfristig arbeiten möchten.

Wir benötigen kein Service keine Einrichtung und keine Extraprogramme da wir einen eigenen Techniker haben daher ist uns die Entfernung auch nicht wichtig. Wir möchten schlicht und ergreifend nur die 3 Laptops erwerben.

Wir freuen uns sehr, wenn sie uns ein Angebot erstellen können, das wir uns dann Zeitnah ansehen und uns entscheiden.

Preislich ist erstmal nebensächlich. Wichtig ist eine kurzfristige Lieferzeit.

Ihre VGH vor Ort

Die Anfrage schloss mit einem Namen, einem Screenshot einer "Seite" und einer Adresse ab. Der obige Text der Anfrage würde mich aber sofort in Alarmbereitschaft versetzen. Der Text wimmelt vor Rechtschreibfehlern – möglicherweise heute normal – enthält aber auch sehr merkwürdige Vorstellungen. Es ist egal, wie die Geräte ausgestattet sind, Hauptsache hochwertig und schnell lieferbar.

Fall 2: Anfrage von Naturstein Nord aus Leck

Die zweite Mail stammt vorgeblich von Naturstein Nord aus Leck – den Steinmetzbetrieb gibt es tatsächlich und dieser hat verschiedene Filialen im Norden. Aber nachfolgende "Bestellungsaufgabe" ist dann doch etwas "krude":

Sehr geehrte Damen und Herren :

Wir wollten uns ein Angebot abholen und ggfs auch dann bestellen

Unser Friedhofsteam benötigt :

4 Laptops mit folgenden Kreterien

  • Marke bestenfalls Lenovo oder HP alternativ mindestens win 10 / win 11
  • Preislich sollten die Geräte Zwischen 500€ – 1500€ Liegen
  • Eine Garantie von mindestens 12 Monaten wäre VorteilhaftSchneller Lieferzeit da dringender Bedarf besteht für unser Büro.

Weitere Anforderungen gibt es nicht Speicher Bildschrimgröße ist nicht Relevant hauptsache die Laptops Funktionieren gut im Homeoffice für Office arbeiten.

Und eine Schnelle Lieferzeit ist uns auch wichtig.

Wir freuen uns über ihr Angebot und würden auch dann Zeitnah bestellen.

Bitte lassen sie uns das Angebot als Antwort auf diese E-Mail zukommen.

Mit freundlichen Grüßen

Das Friedhofsteam benötigt gleich vier Notebooks, deren Preis im oberen Segment liegt. Keine weiteren wirklichen "Keterien", Hauptsache schnelle Lieferung der "Bestellaufgabe". Ich habe die Angaben aus der mir vorliegenden zweiten E-Mail geprüft, die betreffende DS-Naturstein-Dependance gibt es tatsächlich in aus Leck – es ist wohl ein Zusammenschluss verschiedener Steinmetzbetriebe. Aber die kruden Formulierungen, die Rechtschreibfehler und die Gestaltung der "Bestellaufgabe" sind so unprofessionell, dass ich erste einmal von einem Scherz ausging.


Anzeige

Etwas recherchiert

Ich habe dann ganz kurz nach den oben in Fall 1 verschleierten persönlichen Anfragen gesucht. Es gibt die Vertretung der VGH-Versicherung unter der angegebenen Adresse in Wolfsburg. Der Name stimmt auch, allerdings weicht die angegebene E-Mail-Domain (vghvertretung[.]de) von der Mail-Adresse (vgh[.]de) der Agentur ab.Das riecht sofort nach Betrug – mein Versuch, bei der Agentur anzurufen, scheiterte. Nach dem ersten Freizeichen wird abgehoben, aber dann ist die Leitung tot.

Strato-Domain für Betrug reserviert

Eine schnelle Prüfung ergab, dass eine Domain (vghvertretung[.]de) bei Strato reserviert wurde (beim zweiten Fall existiert eine ähnliche Domain, die ebenfalls neu registriert wurde). Die Domain weist kein Zertifikat und keine Inhalte auf, sondern scheint ausschließlich für den E-Mail-Versand eingerichtet worden zu sein.

Im Fall 2 habe ich ebenfalls recherchiert – auch dort gibt es das genannte Unternehmen "DS Naturstein Nord" (Steinmetze für Grabmäler). Aber die Angaben zum Standort Leck passen nicht so recht in den Angaben der E-Nail – dort gibt es anderer Ansprechpartner etc. Für die angegebene Mail-Domain gibt es ebenfalls eine neu bei Strato angelegte Domain (natursteinwerk-kolbe[.]shop). DS Naturstein Nord verwendet eine andere Domain für ihren Internetauftritt.

Ich habe dann beim Hauptsitz von DS Naturstein Nord angerufen, um herauszufinden, ob es einen Cyberangriff gegeben habe. Hat es nicht, aber denen ist bekannt, dass ein Betrüger seit Wochen versucht, unter dem Namen der Firma an Hardware zu kommen. Der Text des Betrugs-Schreibens wechselt immer wieder, von Woche zu Woche. Eine Anzeige bei der Polizei wurde gestellt, dürfte aber im Sande verlaufen. Was mir unklar ist, wie genau die Betrugsmasche laufen soll und was da wirklich geplant ist.

Es geht um Warendiebstahl

Ergänzung: Auf Facebook hat sich ein Blog-Leser gemeldet und mir Screenshots von zwei Folge-E-Mails zukommen lassen (danke dafür).

Betrugsmail mit der Bestellung

In obiger Mail fungiert der "Ansprechpartner", der in der initialen Mail genannt wurde und angeblich vom "natursteinwerk-kolbe.shop" kommt (da hat der Betrüger den Namen des Geschäftsführers einer der DS Natursteinwerke Dependancen gewählt). Aber plötzlich ist als Lieferanschrift eine Geschäftsstraße in Köln genannt. Ob dort eine Person wohnt, wage ich zu bezweifeln – möglicherweise hoffen die Betrüger, dass der Versender einen Link zur Paketverfolgung schickt, wo dann die Lieferadresse erneut geändert werden könnte. Beim Zahlungsziel "7 Tage" ist klar, dass auf Rechnung gearbeitet werden soll.

Betrugsmail mit Bestellung

Als der Leser dann wohl auf Vorkasse bestand, kam obige Betrugsmail, wo nochmals auf "Lieferung gegen Rechnung" hingewiesen wurde. Ab diesem Moment sollten bei den Lieferanten alle Alarmglocken klingeln. Die Betrüger setzen offenbar darauf, dass in der Vorweihnachtszeit solche Bestellungen "durch gehen".

Aus dem Mail-Verlauf geht klar hervor, dass die Betrüger darauf aus sind, hochwertige Hardware auf Rechnung zu bekommen. Als Versandadressen werden aber keinesfalls die Absenderorganisationen angegeben. Sondern es gibt irgend eine Versandadresse, wo die Ware dann abgegriffen wird – Bezahlung erfolgt natürlich keine.

Das Ganze läuft unter dem Begriff "Warenkreditbetrug" – es werden Bestellungen auf Rechnung ausgelöst, wobei der angegebene Besteller nicht existiert. Die Täter scheinen "Mulis" zu haben, die dann die Sendungen an Packstationen oder an den angegebenen Adressen abpassen. Die Süddeutsche Zeitung hat 2021 diesen Artikel zum Thema veröffentlicht – dort wurden die Adressen teilweise aus dem Müll gesammelt – in den mir vorliegenden Fällen sind es aber öffentlich einsehbare Adressen von Firmen oder Personen.

Ein Fall aus Essen von Mai 2023 hat die Polizei Essen auf dieser Seite mit Täterfoto online gestellt. Ein weiterer Fall von September 2023 hat die Polizei Dortmund auf dieser Seite mit Täterfoto online gestellt. Im Artikel der Süddeutsche Zeitung wird den "Opfern", deren Name missbraucht wurde (also nicht der leichtgläubige Händler ist gemeint), geraten, Anzeige bei der Polizei zu erstatten, sobald man feststellt, dass der Name für Bestellungen missbraucht wurde. Falls Rechnungen der Lieferanten auftauchen, keinesfalls bezahlen, sondern den Lieferanten das Aktenzeichen der Anzeige mitteilen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

51 Antworten zu Merkwürdige "Kunden"-Angebotsanfragen – es "ist Warenkreditbetrug"

  1. Bernd sagt:

    btw: Was mir unklar ist, wie genau die Betrugsmasche laufen soll..

    Nepper, Schlepper, Bauernfänger und vermutlich dann schon mit gehacktem Zugriff auf die Online-Firmenkonten (Hausbank) irgendwo einkaufen? Wird immer schlimmer hier!

  2. R.S. sagt:

    Um solchen Betrügern nicht aufzusitzen, ist es nützlich, wenn man von Neukunden Vorkasse verlangt.
    Also erst Geld, dann die Ware.
    Und nicht Paypal oder andere Zahlsysteme mit Käuferschutz akzeptieren, denn dann könnten sich die Betrüger das Geld zurückholen.
    Betrüger springen da gleich ab.

    Oder zum Schein drauf eingehen, dann müssen die Betrüger eine Versandadresse angeben.
    Und diese Info kann man dann der Polizei geben.
    Da haben die zumindest schon einmal 1 Information, die ihnen bei der Ermittlungsarbeit hilft.
    Dann aber keine Ware senden, oder damit die Polizei die Täter bei der Abholung der Ware erwischen kann, einfach einen leeren Karton versenden.

    • Bernd sagt:

      btw: dann müssen die Betrüger eine Versandadresse angeben.

      Gehe mal davon aus das die Liefer-Adr. auch die Adr. des Besteller ist:
      a. Zustellung könnte "vor der Tür" abgefangen werden.
      b. Der Zusteller von Amazon/Post/etc aus den "Maghreb-Staaten" spielt da mit im "kurdisch-libanesischen Familien" "Betrugs-Team".
      (Amazon hat da "BIG-Probs" im Augenblick, laut Presse..)
      c. 1000 weitere Möglichkeiten

    • D. Reinert sagt:

      moinsen, die Firms Kolbe ist in meinem "Nachbarschaft", habe da hin gemailt. Und gleich bescheid bekommen, das die da nix mit zu tun haben. DieTeuren Notebooks sollten nach Köln in ein Kaffee geschickt werden.

      Seit dem bekomme ich fast täglich solche Anfragen, wo auch nur Strato zu sehen ist – wenn ich alles hinter dem @ zeichen im Browser eingebe.

      • Pau1 sagt:

        Also
        Du hast hier von Kolbe gelesen.
        und da mal per Email nachgefragt.
        Die wissen von nix.
        Seit dem bekommst Du auch solche Anfragen?

        Dann hat Dein Nachbar wohl einen Untermieter der alles nach Hause telefoniert?

        Last famous words:
        "Was reden Sie da von Virus. Wir haben hier keine Probleme."

    • mw sagt:

      Händler, welche auf Vorkasse bestehen, sind möglicherweise auch Betrüger. Ich kann nur dringend vor Vorkasse warnen. das ist allenfalls gegen Bürgschaft möglich. Ob sich das aber für den Händler wegen kleinerer Beträge lohnt, wage ich zu bezweifeln. Somit bleibt eigentlich nur Barzahlung bei Übergabe. Was wiederum den verdacht auf Geldwäsche weckt.

  3. Wolle sagt:

    Ich habe auch beide Mails bekommen. Aufgefallen ist mir noch, dass es kein "To" im Header gibt; ich stehe im "Envelope-to".

    Dass ich auf die Mails nicht reingefallen bin ist auch ein bisschen Zufall. Erstens bin ich kein Kistenschieber und zweitens roch das alles ziemlich nach Microsoft. Damit bin ich dann raus.

    Trotzdem interessiert mich der Weg des Betrugs. Lieferung auf Rechnung?

  4. Sven Fischer sagt:

    Solche ominösen Anfragen sind bei auch schon oft eingegangen. Fast schon normal, neben dem ganzen anderen täglichen Crap. Mein Mailfilter putzt hier schon gut durch, aber ab und an kommt doch was durch.
    Dann heißt es erst mal, die Sache genau ansehen, Absender Mail + Verlauf checken und im WWW danach suchen.

    Vor ca. 4 Jahren bekam ich eine Anfrage, ob ich 50 Zotac RTX 2080 TI GKs besorgen könnte. Da habe ich mit den Spaß gemacht, dem Absender ein Angebot um die 50.000 EUs zu machen. Dem habe ich auch verklickert, das ich das nur per Vorkasse machen werde. Das ging dann doch noch einige Male hin und her und irgendwann, wars zu Ende und nichts mehr gehört.

    • Pau1 sagt:

      mit welchem Mailfilter kannst Du so etwas zuverlässig filtern?

      • Sven Fischer sagt:

        Ich habe bei hetzner eine Domain + Mailserver. Da habe ich den interne Spamfilter auf Stufe 3 von 10 gestellt und noch zusätzlich eine globale Black / Whitelist für alle Mailkonten. Da wird schon ein großer Teil ausgefiltert.
        Aber trotzdem kommt noch ab und zu was durch. Der Rest macht dann der Thunderbird und dann noch per Hand nach putzen.

        • Pau1 sagt:

          das sind also quasi Vertipper Domains?

          Wie kommen die denn an die E-Mail-Adressen der potentiellen Lieferanten?
          In Handarbeit oder über die Systeme der geclonten Domain?
          Einer schrieb hier, er würde das nebenberuflich machen. Vermutlich hat er keine Webseite.

          So irgendwie haben wir den Trick noch nicht durchschaut, oder ist der Betrüger wirklich so einfach gestrickt, dass er glaubt auf diesem Weg an Gerät zu kommen?
          Muß wohl genügend Anbieter geben, die das nicht durchschauen und liefern?

          • Sven Fischer sagt:

            Tja, frag mich was leichteres. So ganz ein Schema ist da nicht zu erkennen. Ich hatte auch schon die merkwürdigsten Sachen gehabt. Vom falsch konfigurierten SMTP, oder gleich kompromittiert, vertipper Domains, und und und.

            Ich meine, solange man nur ein Angebot macht, ist noch nichts passiert. Bei Neukunden, welche da einen größeren Posten/Service beziehen wollen, gibts bei mir nur per Vorkasse. Oder dann nur gegen eine Bankbürgschaft, welche ich erst mal durch meinen RA prüfen lasse. Wenn dann auf Kundenseite eine Ablehnung deswegen kommt, solls mir recht sein. Ich bin doch nicht auf der Buttermilch her geschwommen.

            Wenn ich Spaß haben will, baue ich einen Honypot drum herum. Dann stellt sich raus, wer den längeren Atem hat.

          • Luzifer sagt:

            Tja wenn die Gier siegt, der Umsatz noch gesteigert werden muss, schaut der Einkäufer nicht unbedingt immer genau hin… und Firmen und Behörden kaufen nun mal im allgemeimen auf Rechnung. Dumme stehen jeden Tag auf!

            Neukunden gehen grundsätzlich nur auf Vorkasse und zwar die sicheren ;-P

      • Fischer sagt:

        NoSpamProxy macht das bei uns und unseren Kunden sehr zuverlässig.

  5. Pau1 sagt:

    Wie sieht denn der RfC-Header aus?
    Das wäre das Erste was ich gucken würde.
    Denn alles was ich im Web finden würde, würde auch ein Betrüger gefunden haben.

    Falls wer Probleme mit hat den Zeichensalat zu interpretieren oder in seinem Email client überhaupt zu finden:
    https://th-h.de/net/usenet/faqs/headerfaq/

    schon was älter, aber beschreibt den Header schön.

    Interessant sind nur ersten paar Zeilen.
    Alles weiter unten kann vom Absender gefälscht sein.

    Schwierig ist natürlich, wenn die Email aus der Microsoft Cloud kommt.

    • Günter Born sagt:

      Ich werde den Header vorsorglich mal nicht hier einstellen, da er Infos des Leser enthält. Aber der Betrüger hat Domains bei Strato angelegt und dort E-Mail-Postfächer aufgesetzt. Sogar einen DKIM-Record gibt es auf gmx.net.

  6. Pau1 sagt:

    das wird wohl auf Kauf auf Rechnung hinauslaufen. Bezahlung mit einer gestohlenen Kreditkarte.In Zusammenarbeitet mit der Polizei könnte man sich drauf einlassen um die Lieferadresse raus zubekommen. Aber die wird kein Interesse haben. Es ist ja nichts passiert und der Betrugsversuch so plump und die müssen ja die richtigen Verbrecher jagen.

    Früher hatten solche Betrüger in Abbruch Häusern schon mal 50 und mehr Anmeldungen gemacht. Das ist früher niemanden aufgefallen schon gar nicht im Einwohner-Meldeamt.
    Naja, inzwischen haben die ja die neuen Daten zum Wohnraum, vielleicht nutzen die ja auch für so etwas?
    Eine zeitlang waren Paketstationen bei Betrügern sehr beliebt,weil DHL den Zugang nicht wirklich ernsthaft geschützt hatte.

    • Hobbyperte sagt:

      " inzwischen haben die ja die neuen Daten zum Wohnraum, vielleicht nutzen die ja auch für so etwas?"

      Leider NEIN.

      Denn das Behördensystem wird mittels FDP-Datenschutz-Irrsinn ganz bewusst strunz-blöd gehalten. Nicht vergessen das die Hampelmann-Koalition gerade deshalb auch nach zwei Jahren Regierung noch immer nicht dazu in der Lage ist das sog. Klimageld Auszuzahlen. Weil die FDP ja seit vielen Jahren verhindert hat, das Behörden vernetzt sind und damit auf bereits vorhandene Daten einer anderen Behörde zugegriffen werden könnte …

      Und die gleiche FDP will neuerdings den ganzen Staat "Digitalisieren" *totlach* …

      PS: natürlich sind es nicht allein die FDP-Politiker, da hat auch die Union deutlich erkennbare Interessen und sogar die SPD-(Finanzminister seit 1998) spielten nur zu offensichtlich eine Rolle, bei der "Ermöglichung" solcher Geschäfte wie Cum-Ex, Cum-Cum … ebenso wie bei der Verhinderung von Geldwäsche. Das einzige was denen allen Einfällt ist die Abschaffung des Bargeld – Augenwischerei … die Behördliche Verfolgung von Geldwäsche wurde bewusst behindert, erst durch Auslagern der Behörde vom BKA zum Zoll und zusätzlich durch gewollten Personalmangel, sicherlich auch schlechte Ausstattung usw. Kann sich jeder seinen Teil zu denken, warum Politiker so etwas machen … korrupt, erpressbar, oder selber am Mitmischen …

  7. Exchadmin sagt:

    Diese E-Mails haben wir in 2023 fast monatlich erhalten. Teilweise von deutschen Unternehmen, aber auch aus Frankreich und anderen Ländern. Die Texte waren dabei deutlich besser formuliert und fehlerfrei.
    Alle E-Mails hatten gemeinsam, dass der "Interessent" und gleichzeitige Neukunde immer Vorgab, dass Ware mit Zahlungsziel bezahlt wird.

  8. Pau1 sagt:

    Wenn in einem MFH nicht alle Klingelknöpfe einen Namen haben weil eine Wohnung leer steht oder der Vermieter nicht darauf achtet, kann man darauf achten, ob da irgendwann ein Name steht, aber keiner eingezogen ist.
    Das könnte ein Betrüger sein, der Waren dort hinschicken lässt und den Austräger an der Haustür abfängt.

  9. Michael Huck sagt:

    Ich habe das hier erhalten. Ich poste mal den ganzen Text, damit dieser Blog gefunden wird. Am Ende steht auch noch eine neue Adresse.

    Guten Tag,
    Unser Büro benötigt kurzfristig 3 neue Laptops / Notebooks.
    Und wir möchten uns vorab ein Angebot einholen, um dann voraussichtlich Verbindlich zu bestellen.
    Die 3 Laptops müssen nicht einheitlich sein, wenn möglich wäre es jedenfalls schön.
    Wir haben keine speziellen Anforderungen was Marke Speicher Display Größe angeht, es sollte Flüssig arbeiten mit Programmen wie Office und die Laptops können Allgemein gerne hochwertiger sein da wir mit den Geräten langfristig arbeiten möchten.
    Wir benötigen kein Service keine Einrichtung und keine Extraprogramme da wir einen eigenen Techniker haben daher ist uns die Entfernung auch nicht wichtig. Wir möchten schlicht und ergreifend nur die 3 Laptops erwerben.

    Wir freuen uns sehr, wenn sie uns ein Angebot erstellen können, das wir uns dann Zeitnah ansehen und uns entscheiden.
    Preislich ist erstmal nebensächlich. Wichtig ist eine kurzfristige Lieferzeit.

    Mit freundlichen Grüßen
    Arne Bergström/ Geschäftsführer

    KioskWesterland
    Kirchenweg 7
    25980 Sylt
    E-Mail: verkauf@kioskwesterland.de
    E-Mail: promotion@kioskwesterland.de

    • Günter Born sagt:

      Auch hier gilt, dass der Kiosk an der angegebenen Adresse nichts mit der Mail zu tun hat. kioskwesterland.de weist ebenfalls auf eine frisch aufgesetzte Strato-Domain, die als E-Mail-Schleuder fungiert.

      • R.S. sagt:

        Die Strato-Domain wäre auch etwas, wo die Polizei ansetzen kann, denn das muß ja bezahlt werden, ergo ist bei Strato auch Adressen und eine Bankverbindung o.Ä. angegeben.
        Bzw. die DENIC hat die Infos auch.
        Früher kommte jeder das bei der DENIC abfragen, aber diese Möglichkeit gibt es wegen des Datenschutzes seit ein paar Jahren nicht mehr.

        • Pau1 sagt:

          weniger wegen Datenschutz als denn wegen Missbrauch durch Spammer ist das Whois nutzlos geworden.
          Man kann aber eine Firma beauftragen, die sich dort eintragen lässt und die dann die per Formular erzeugte Nachricht an den Tech Admin weiterleitet.
          Würde hier wohl nicht helfen…

        • Luzifer sagt:

          Die STrat0 Domain wir unter falschen Namen mit geklauten Kreditkarten Daten bezahlt und schon läuft die Polizei/Staatsanwaltschaft ins Leere.

          Den anders als für Politiker und 80% der Internetuser ist das für solche Banden eben kein #Neuland!

          • Luzifer sagt:

            /edit/
            das sind auch meistens keine kleinen Einzelgauner, da steht meistens ne organisierte Bande dahinter… Die Staatsanwaltschaften können da ein Lied von singen. Gefasst werden meistens eben nur die "Packesel". Ist jetzt aber keine neue Masche, die gabs früher auch schon bei Otto/Neckermann & Co. lange bevor es Internet gab.

  10. squat0001 sagt:

    Es geht bei den Anfragen um Phishing, habe Kunden die hier viel Geld verloren haben.

    Die Geräte sind egal. Es geht nur darum ein Angebots schreiben zu bekommen, und den Ansprechpartner beim Lieferanten.

    Das dient dazu dass der Phisher sich später als Lieferant ausgeben kann.
    Denn eventuell hat er vom Lieferanten schon einen Kunden an der Angel.. es gilt dann den dazu zu bringen beim Phisher zu bestellen.

    Da Outlook und andere Mailprogramme nur den Namen aber die Mailadresse versteckt anzeigen, gilt es sich hier quasi in den Posteingang mit dem richtigen Namen einzuschmuggeln.
    Man schickt also ein Mail im Namen des Lieferanten, ein Angebot, landet im Posteingang, … und wenn der Mitarbeiter nicht aufpasst redet dieser in Zukunft nur noch über den Phisher mit dem Lieferanten(Man in the Middle).

    Solange bis dieser dann zuschlägt, und z.b. in Rechnungen eine neue Kontonummer ankündigt

    • R.S. sagt:

      "Da Outlook und andere Mailprogramme nur den Namen aber die Mailadresse versteckt anzeigen, "

      Also bei mir zeigt Outlook immer beides im Format
      "Name Mailadresse in spitzen Klammern" an.

      Warum gehen hier keine spitzen Klammern?

    • Pau1 sagt:

      der Betrüger könnte ja 2 vertipper Domains haben.
      Eine die wir hier sehen mit einem völlig ungelenken Anschreiben an die offizielle FunktionsAdresse eines Anbieters.

      Er bekommt ein Antwort mit dem Angebot mit der internen Adresse dessen, der Angebote macht.
      Mit diesem Namen und dessen Localpart aber einer Vertipper-Domain, die zum zuerst angeschriebenen Unternehmen passt, schreibt er dad/die eigentlichen Opfer an, mit einem Super Angebot.
      Für das Opfer sieht das alles seriös aus (der Betrüger hat ja alles inkl. Logo kopiert), den Namen kennt das Opfer und er leistet Vorkasse…
      wenn das eine kleine Firma ist fällt es nicht auf,das ein neues Konto benutzt wird.

      Warum ist dann das erste Schreiben in so unprofessionellem Deutsch?
      Als Test wie gutgläubig der Angeschriebene ist?

    • Anonymous sagt:

      Auch wenn es seitens Microsoft kein vorgegebenes Feld für die Anzeige der Absender-E-Mailadresse *im Ordner Posteingang* gibt, kann man sich hierfür ein entsprechendes Custom-Feld hinzufügen, so dass man für eine Anzeige die E-Mail *nicht* öffnen muss.
      Siehe z.B. https://www.seplura.de/e-mail-absender-adresse-eingehender-mails-anzeigen/

      Ebenso kann man sich im Menüband ein Icon zur Anzeige der Nachrichtenoptionen inkl. E-Mail-Header hinzufügen, so dass diese *ohne Öffnen der E-Mail* zugänglich sind.

      • Pau1 sagt:

        ah, danke. "nur" 10 Schritte die sich ja auch rein intuitiv ergeben.
        Ich hatte mal eine Anleitung gefunden, mit der man ein Formular anlegen musste, man sah dann aber auch Domain Information bei internen Mails.

  11. liberty123de sagt:

    Wer fällt denn auf so einen Unsinn rein? Man beachte nur mal die Rechtschreibung. Da würde ich keine weitere Zeit und Energie reinstecken.

    • Pau1 sagt:

      Es muss wohl wer drauf reinfallen.
      Immerhin kostet die Stratodomain ein paar Euro.
      Der Text klingt so als hätte ein 12 jähriger mit schlechter Schulbildung/Rechtschreibschwache geschrieben.
      Immerhin schlau genug, das nicht durch chatGPT machen zu lassen. (warum nicht? weil chatGPT das Original speichert für Forschungszwecke)

    • Pau1 sagt:

      ein Steinmetz muß kein Sprach-Künstler sein, oder?

  12. Pau1 sagt:

    Was sagen denn die Provider (Strato) dazu.
    Machen die irgendwie Postident bei neuen oder so?
    Oder glauben die, daß das Subdomains eines bekannten Kunden sind. Woher hat der Betrüger dann die Kundennummer?
    Da könnte ja sonst jeder kommen.
    Da die sicherlich keine Papier Rechnungen schicken würde das nicht auffallen, wenn die Adresse existent aber falsch ist.

  13. Oliver Steffan sagt:

    . . . wir bekommen diese eMails auch seit ein paar Wochen, aber bisher vielleicht erst fünf oder sechs. Hab sie immer gleich gelöscht, weil klar war, das die unseriös sind. Ich hatte mir aber auch keine Gedanken darüber gemacht, wie der Betrug vonstatten gehen soll. Danke für die Info 👍🤓

  14. Nico Keller sagt:

    Moin,
    Ich bekomme fast täglich sollte Anfragen und leite die an die entsprechenden Unternehmen weiter, um dies an die Behörden zu leiten. Ich selbst betreibe ebenfalls einen Reparaturbetrieb für Laptops, MacBooks und der gleichen „Computerhilfe-Hamburg.org".
    Langsam nervt es auch ein wenig, auf die erste Mail hatte ich auch geantwortet und bekam auch eine Rückantwort aber das Schema kam mir schnell komisch vor.

  15. Christian Krause sagt:

    Fürs Protokoll.
    Hab beide E-Mails bekommen, Absender waren jedoch andere, nämlich eine Anwaltskanzlei in Köln und ein Fitnessstudio in Süddeutschland.
    Hab beide über den Identitätsmissbrauch informiert. Ersterer hat Strafanzeige erstattet und die Kripo Köln hat mich kontaktiert, ob ich Ware versendet hab. Hatte der Anwaltskanzlei die Lieferadresse im Kölner Café mitgeteilt.

  16. JG sagt:

    "Das Ganze läuft unter dem Begriff "Warenkreditbetrug" – es werden Bestellungen auf Rechnung ausgelöst, wobei der angegebene Besteller nicht existiert. Die Täter scheinen "Mulis" zu haben, die dann die Sendungen an Packstationen oder an den angegebenen Adressen abpassen."

    Das kenne ich noch von früher. Ich hatte mal einen Klassenkameraden der sich ein paar mal Notebooks auf Rechnung von den Versandhäusern bestellt hatte. Er suchte sich ein Haus aus in dem die Haustür immer offen stand und dort eine leere Wohnung zu sehen war. Auf das Klingelschild klebte er den ausgedachten Namen und wartete bis der Paketdienst kam. Damals kosteten die Notebooks noch locker 2700 DM aufwärts. Ein übler Bursche war das.

  17. Pau1 sagt:

    übrigens ist es nicht neu, das auch richtige Angriffe über Domains bei billigen Massen hostern laufen.
    Da ist dann alles perfekt vorhanden email, SPF,dkim, Webseite.
    nur halt das die Domain born-city.com heißt.
    Und in einer großen Firma, die schon immer mehrere Domains gar nicht auffällt, wenn da der Kollege (Admin) eine neue Absender Adresse hat.
    Da nützt auch kein Tool etwas, das den User vor der neuen Email warnt. Wenn die IT sonst auch nie die User über Änderungen informiert, dann vertraut man dieser neue Domain natürlich voll.
    Da Microsoft nicht den Mail from im Eingang anzeigt, fällt auch nicht auf, das der vermeintliche Kollege von draußen kommt.
    Da hilft es auch nicht, das auch noch davor gewarnt wird dass die Email extern ist.
    Mei, für jemandem im Service ist fast jede E-Mail Adresse neu und kommt von Außen.
    So dumm gemachte Warnungen führen nur zum Ignoranz und zur Risiko-Kompensation bei den Usern.

  18. mw sagt:

    Die Warnung ist so dumm, wie der Verantwortliche, der sie eingerichtet hat. Dazu kommt dann noch O365 ATP und Du kannst mit dem OL/Exchange Dreck gar nichts mehr anfangen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.