Tuesday, January 31, 2012

Hvordan bli et pengemuldyr


Her er et rykende ferskt eksempel på hvordan skurker forsøker å verve nordmenn til å fungere som "money mules", eller pengemuldyr som vi skriver her hjemme på berget. Et pengemuldyr er en person som bevisst eller ubevisst hjelper utenlandske svindlere med ulovlige pengeoverføringer. Dette gjøres ofte ved at "muldyret" mottar penger inn på sin bankkonto, og deretter tar pengene ut i kontanter snarest mulig. Så går muldyret til en annen bank, spesialiserte selskaper eller privatpersoner for den saks skyld, og der overfører pengene (minus en provisjon til seg selv) til en utenlandsk mottaker.

Jeg har på sett og vis ventet lenge på å motta en slik vervemail, og i dag, dvs 31. januar 2012, kom det en slik mail til meg. Den så slik ut:

[Klikk for å se bildet i full størrelse. Jeg har fjernet deler av min egen mailadresse.]
Som du ser, en rimelig bra tekst på engelsk hvor de tilbyr meg en jobb som "administrator" med ansvar for finansavdelingen. Grei lønn som du ser; 3000,- euro pr måned + 4% provisjon for 10-20 timers arbeid pr. uke. Dersom jeg er interessert så er det bare å sende navn, adresse, telefonnummer, mailadresse og CV til lizchapman@brandon-staff.com.

Så skal vi sette på oss sikkerhetsbrillene, og ta for oss et par interessante punkter.

  • Mailen kommer fra "Elijah Blair", men har mailadresse stein.berg.nilsen@kcl.no?
  • Hvorfor er den på engelsk, når den skal se ut som den kommer fra en nordmann - til en nordmann?
  • Hvorfor skal jeg sende min CV til lizchapman@brandon-staff.com - det er jo en helt annen adresse og domene? (tenk på et domene som "et annet firma" i denne sammenhengen)
  • Hvorfor har de ikke oppgitt hvordan de har funnet meg og min mailadresse?
For ordens skyld sjekker jeg om www.kcl.no er en eksisterende adresse på nett. Kanskje er det noe firmainformasjon der? Og det er det! Siden tilhører Kolberg Caspary Lautom as, og ser ut til å drive med import av ulike produkter innen ulike markeder. Når jeg går inn på "Om oss" siden deres, så finner jeg imidlertid ingen ansatte som heter Elijah Blair eller Stein Berg Nilsen.

De ovenstående punktene bør for alle være mer enn nok "VARSKO HER!" til at man ikke svarer, men sletter mailen direkte. Imidlertid er det dessverre en del som lar seg lure.

Det jeg også har gjort, som er litt mer avansert å gjøre for mange, er å se på de vi kaller en "mailheader". Vi kan beskrive en mailheader som en oversikt som viser deler av veien fra postkassen brevet ble lagt i, via postterminaler og frem til meg. Mailheaderen så slik ut:

[Klikk på bildet for å se det i full størrelse]
Her kommer det frem enda mer informasjon som forsterker min mistanke om svindelforsøk:

  1. Avsenderadressen er oppgitt til å være @kcl.no, men Internett navnet på maskinen det er sendt fra slutter med .br. Det er Brasil, ikke Norge. Hvorfor skulle Stein finne på å sitte på en maskin i Brasil, skrive et jobbtilbud til meg på engelsk, og be meg om å sende CV'en min til et helt annet sted på Internett?
  2. Mitt e-post program viser også teksten "may be forged". Kan være forfalsket på godt norsk. 

Jeg kunne påpekt enda flere detaljer fra disse 2 skjermbildene, men jeg håper og tror du også nå er overbevist om at dette er forsøk på svindel. I verste tilfelle blir du utnyttet for å gjennomføre kriminelle handlinger, og sannsynligheten er svært stor for at politiet tar deg lenge før du har sett snurten av noen penger. De har skurkene tatt, og de bryr seg overhodet ikke om deg.

Så neste gang du mottar en mail som virker litt merkelig med tanke på avsender, innhold, språk og så videre... Slett den, eller sjekk ihvertfall med din nærmeste "dataekspert" før du gjør noe mer.

----
Oppdatert 2 februar:
Kommentarer mottatt så langt viser at denne e-posten har gått til norske mottakere, samt en bruker i Finland. Dersom du googler brandon-staff.com, så ser du at denne bloggposten kommer på topp. Dersom websiden hadde vært legitim, så ville ikke min bloggpost vært på topp, om synlig i det hele tatt på de par-første resultatsidene. Som mange sikkert har sett allerede; websiden ser slik ut:


Du vil svært sjelden oppleve at en webside til et seriøst selskap ser slik ut. Jeg glemte jo også helt en siste spiker i kisten, nemlig et "whois" lookup. Omtrent som å slå opp et firma i brønnøysundregistrene for å se når det ble registrert. Resultatet? *kremt*


Domenenavnet ble registrert 26 januar 2012 altså. Det er svært vanlig for skurker å registrere slike domenenavn i høy hastighet, for så å bruke dem i svært kort tid og for helt spesielle formål. Så også i dette tilfellet.

--

PS: Kolberg Caspary Lautom as er helt uskyldig oppi dette. Det er rene tilfeldigheter som gjør at deres domenenavn blir benyttet i avsenders forfalskede mailadresse, og det er ingenting de kan gjøre stort sett for å forhindre at slikt som dette skjer.

9 comments:

  1. Takk for det. Fikk akkurat det samme i dag tidlig og teksten var helt lik.

    ReplyDelete
  2. Takk for en bra og velfundert analyse av dette svindelfremstøtet! Jeg mottok tilsvarende e-post i går kveld, men med en annen avsender «Odette Hansen» med adresse norwell.no. Den litt «styltede» men for øvrig relativt gode engelsken gjorde meg mistenksom. Sjekket derfor Norwells hjemmeside (en bedrift innenfor fiskeeksport i Florø), men ingen Odette Hansen blant de ansatte der. Førsøkte deretter brandon-staff.com, men fikk meldingen «temporarily suspended». Bestemte meg derfor for å Google dem, og fant din utmerkede analyse. Takk skal du ha, dette var en ny vri jeg ikke har sett før! Så får vi håpe at ikke alt for mange biter på denne kroken.
    Mvh
    Børre Holter

    ReplyDelete
  3. Hei, fikk akkurat samme teksten, men fra Stephen Hendrix [marketing@techpower.no]. Litt mer tilforlatelig når stillingstilbud kommer fra en Manpower-adresse, men returadressen var som nevnt over og røpet kjapt svindelforsøket. Sissel Jensen

    ReplyDelete
  4. Hei, fikk samme e-post fra:

    "Colette Tipton" [sari.karkkainen@aspheim.no]
    med beskjed om å sende svar til
    debbiefew@brian-staff.com

    og

    "Nik Koch" [siv.ronneberg@landcorp.com.au]
    med beskjed om å sende svar til
    lizchapman@brandon-staff.com

    ReplyDelete
  5. In Finland, I also received the following email today:

    On 2/1/2012 7:55 PM, seabrown@qwestoffice.net wrote:
    Good afternoon.
    Our company is recruiting employees in EU countries. We want to offer you the position of the administrator. You work in your country and city, so do not have to move. Basic requirements for the job -organization, diligence, availability of Internet and mobile communications. Schedule of about 10-20 hours per a week.
    Administrator of the financial department of our company should control the company's corporate account in the region, control clients and their payments. And resend customer payments from corporate accounts to the main office. Salary 3000 euros per month + 4% each payment. If you are interested in this proposal, we suggest that you go through a probationary period. For this purpose send your data to us. These are:
    1. Your full name
    2. Your adress
    3. Contact phone number with international format
    4. Contact email adress
    5. Your CV
    Send the data to the email address of company leerawlings@brandon-staff.com and before sending check address. (Do not click button to answer.)
    Good luck
    HR department

    ReplyDelete
  6. Hei.

    Melder meg også på denne mottakerlisten. Min mail kom fra gaetan@dispatch.fr (ingen annen alias, og meldingshodet viser ingen annen avsenderadresse) og svar skulle sendes til jerryfox@brandon-staff.com.

    ReplyDelete
  7. Jeg mottok to sånne mail 31/1 og synes dette var noe merkelige greier. Skjønte dog at her skurret det veldig. Her var det oppgitt både Nannie McCarthy i "Rana kommune" og Charlie Wynn i "ude-oslo kommune som avsender". Undrer dog veldig på hvordan de har kommet frem til min e-postadresse!.. Petter L.S. Oslo

    ReplyDelete
  8. Mottatt 4/2-12 fra jromero@quantum.com.ve

    med ønske om retur til debbiefew@brian-staff.com

    ReplyDelete
  9. Hei, har også mottatt motsvarende i dag, men kan fellesnevneren vare Linkedin eller FaceBook ?

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.