Tuesday, January 31, 2012

Hvordan bli et pengemuldyr


Her er et rykende ferskt eksempel på hvordan skurker forsøker å verve nordmenn til å fungere som "money mules", eller pengemuldyr som vi skriver her hjemme på berget. Et pengemuldyr er en person som bevisst eller ubevisst hjelper utenlandske svindlere med ulovlige pengeoverføringer. Dette gjøres ofte ved at "muldyret" mottar penger inn på sin bankkonto, og deretter tar pengene ut i kontanter snarest mulig. Så går muldyret til en annen bank, spesialiserte selskaper eller privatpersoner for den saks skyld, og der overfører pengene (minus en provisjon til seg selv) til en utenlandsk mottaker.

Jeg har på sett og vis ventet lenge på å motta en slik vervemail, og i dag, dvs 31. januar 2012, kom det en slik mail til meg. Den så slik ut:

[Klikk for å se bildet i full størrelse. Jeg har fjernet deler av min egen mailadresse.]
Som du ser, en rimelig bra tekst på engelsk hvor de tilbyr meg en jobb som "administrator" med ansvar for finansavdelingen. Grei lønn som du ser; 3000,- euro pr måned + 4% provisjon for 10-20 timers arbeid pr. uke. Dersom jeg er interessert så er det bare å sende navn, adresse, telefonnummer, mailadresse og CV til lizchapman@brandon-staff.com.

Så skal vi sette på oss sikkerhetsbrillene, og ta for oss et par interessante punkter.

  • Mailen kommer fra "Elijah Blair", men har mailadresse stein.berg.nilsen@kcl.no?
  • Hvorfor er den på engelsk, når den skal se ut som den kommer fra en nordmann - til en nordmann?
  • Hvorfor skal jeg sende min CV til lizchapman@brandon-staff.com - det er jo en helt annen adresse og domene? (tenk på et domene som "et annet firma" i denne sammenhengen)
  • Hvorfor har de ikke oppgitt hvordan de har funnet meg og min mailadresse?
For ordens skyld sjekker jeg om www.kcl.no er en eksisterende adresse på nett. Kanskje er det noe firmainformasjon der? Og det er det! Siden tilhører Kolberg Caspary Lautom as, og ser ut til å drive med import av ulike produkter innen ulike markeder. Når jeg går inn på "Om oss" siden deres, så finner jeg imidlertid ingen ansatte som heter Elijah Blair eller Stein Berg Nilsen.

De ovenstående punktene bør for alle være mer enn nok "VARSKO HER!" til at man ikke svarer, men sletter mailen direkte. Imidlertid er det dessverre en del som lar seg lure.

Det jeg også har gjort, som er litt mer avansert å gjøre for mange, er å se på de vi kaller en "mailheader". Vi kan beskrive en mailheader som en oversikt som viser deler av veien fra postkassen brevet ble lagt i, via postterminaler og frem til meg. Mailheaderen så slik ut:

[Klikk på bildet for å se det i full størrelse]
Her kommer det frem enda mer informasjon som forsterker min mistanke om svindelforsøk:

  1. Avsenderadressen er oppgitt til å være @kcl.no, men Internett navnet på maskinen det er sendt fra slutter med .br. Det er Brasil, ikke Norge. Hvorfor skulle Stein finne på å sitte på en maskin i Brasil, skrive et jobbtilbud til meg på engelsk, og be meg om å sende CV'en min til et helt annet sted på Internett?
  2. Mitt e-post program viser også teksten "may be forged". Kan være forfalsket på godt norsk. 

Jeg kunne påpekt enda flere detaljer fra disse 2 skjermbildene, men jeg håper og tror du også nå er overbevist om at dette er forsøk på svindel. I verste tilfelle blir du utnyttet for å gjennomføre kriminelle handlinger, og sannsynligheten er svært stor for at politiet tar deg lenge før du har sett snurten av noen penger. De har skurkene tatt, og de bryr seg overhodet ikke om deg.

Så neste gang du mottar en mail som virker litt merkelig med tanke på avsender, innhold, språk og så videre... Slett den, eller sjekk ihvertfall med din nærmeste "dataekspert" før du gjør noe mer.

----
Oppdatert 2 februar:
Kommentarer mottatt så langt viser at denne e-posten har gått til norske mottakere, samt en bruker i Finland. Dersom du googler brandon-staff.com, så ser du at denne bloggposten kommer på topp. Dersom websiden hadde vært legitim, så ville ikke min bloggpost vært på topp, om synlig i det hele tatt på de par-første resultatsidene. Som mange sikkert har sett allerede; websiden ser slik ut:


Du vil svært sjelden oppleve at en webside til et seriøst selskap ser slik ut. Jeg glemte jo også helt en siste spiker i kisten, nemlig et "whois" lookup. Omtrent som å slå opp et firma i brønnøysundregistrene for å se når det ble registrert. Resultatet? *kremt*


Domenenavnet ble registrert 26 januar 2012 altså. Det er svært vanlig for skurker å registrere slike domenenavn i høy hastighet, for så å bruke dem i svært kort tid og for helt spesielle formål. Så også i dette tilfellet.

--

PS: Kolberg Caspary Lautom as er helt uskyldig oppi dette. Det er rene tilfeldigheter som gjør at deres domenenavn blir benyttet i avsenders forfalskede mailadresse, og det er ingenting de kan gjøre stort sett for å forhindre at slikt som dette skjer.