419-Scam jetzt schon via Skype

Wieder einmal zeigt sich, dass Trickbetrüger im Netz kein Pardon kennen und es überall versuchen. Auch bei mir.
Wie das abläuft, sieht dann so aus (URLs, Mailadressen und Telefonnummern wurden anonymisiert):

Nach der eingehenden Kontaktanfrage melde ich mich brav und mit obligatorischer Phrasendrescherei um dem Besucher Zeit zu geben, sein Anliegen vorzubringen. Man hat ja nicht immer einen Spammer am Rohr und seine sadistische Ader ausleben:

Rei: Hello?
Mr Timothy Oguntayo: Hi
Mr Timothy Oguntayo: I am Mr Timothy Oguntayo from Skye Bank Plc
Rei: Nice to meet you.
Mr Timothy Oguntayo: Same here too
Mr Timothy Oguntayo: Did you get the message i sent you?
Rei: Not really, as it looks like the message got capped somehow.
Mr Timothy Oguntayo: ok
Mr Timothy Oguntayo: i will be resending it now

Skye Bank Plc ist dabei ein wunderschöner Begriff, den man durch Google jagen kann. SEO sei Dank, ist auch eine entsprechende Seite vorhanden. Als Bank müsste die Seite HTTPS können und zumindest ein gültiges SSL Zertifikat liefern. Doch es bleibt nur bei einem von Plesk generierten und ungültigen Zertifikat nebst Plesk-Seite die darauf hinweist, dass es hier bald eine entsprechende Seite geben sollte. Epic Fail der erste.

Weitere Suchergebnisse wiesen auf einen Wikipedia-Eintrag hin, der zwar seriös wirken soll, aber erst seit Kurzem existiert, nebst ein paar Seiten die davor warnen, dass es sich um einen 419er Spam-Case handelt. Whois-Abfrage über die Domain zeigt zudem:

Domain Name:                 scamsite.com




Registrant
------------------------------------------------------------



Name:                        Admin -


Organization:                Oversee Domain Management, LLC

Email:                       admin@example.com
Address:                     XXX S. Some Street

                             Suite 4400

City, Province, Post Code:   Los Angeles, California, 90071
Country:                     US
Phone:                       XXXXXXXXXX

Also eine nigerianische Bank, die in LA die Webseite hält. Epic Fail der Zweite…

Die Zeit war gerade ausreichend um mir an den Kopf zu greifen und ein „Oh Gott, sind die doof!“ zu denken, als auch schon das eigentliche „Anliegen“ eintrudelte:

Skye Bank Plc.
3, Akin Adesola Street,
Victoria Island, Lagos.
Tel:+XXX XXXXXXXX

Attention: Beneficiary,

We write to inform you that your inheritance payment fund has been approved to be paid this morning after the confirmation from our co-ordinate office that you are yet to receive your over due inheritance fund.

Your payment file has been forwarded to this bank after the executive board meeting held at International Remittance Office to ensure that your re-approved fund $5.6m (Five Million Six Hundred Thousand United States Dollars Only) is processed and paid to you within 5 working days.

Below is the needed details from you to enable us have a cross check with the information submitted on your behalf before your account will be processed immediately.

1) Your full Name…………
2) Residential Address…………….
3) Direct Cell-Phone/Mobile………..
4) Age and Marital Status………….
5) Professions ………..
6) Next of Kin Name and his or her Residential Address……….

As soon as the above information is submitted as directed. We shall cross check your details submitted already by our co-ordinate payment office. Your payment will be process within 24hrs from now

Waiting for your urgent response.

MR. TIMOTHY OGUNTAYO (FOREIGN PAYMENT OFFICER)
SKYE BANK NIGERIA PLC
mr.scammer@yahoo.com.hk

Man lege besonderes Augenmerk auf Epic Fail #3, die Stilblüten in Englisch nebst (un)passender Yahoo-Adresse, dem Epic Fail #4. Fehlende digitale Signaturen machen Epic Fail #5 aus. Fehlende Anrede, Epic Fail #6 Doch da wir heute unsere sadistische Ader haben, stellen wir uns einmal dumm und fragen nach:

Rei: inheritance payment fund?
Mr Timothy Oguntayo: Yeah
Mr Timothy Oguntayo: So i will love for you to send this needed details below
Mr Timothy Oguntayo: 1) Your full Name…………
2) Residential Address…………….
3) Direct Cell-Phone/Mobile………..
4) Age and Marital Status………….
5) Professions ………..
6) Next of Kin Name and his or her Residential Address……….

Mr Timothy Oguntayo: to mr.scammer@yahoo.com.hk

Mit diesem Akt zeigt uns das Gegenüber, dass es die hohe Kunst von Copy & Paste bereits beherrscht. Ich harke also nach und bitte einfach die Zusendung des Ganzen in signierter und überprüfbarer Form. Ein X.509 oder PGP signiertes Dokument sollte doch für Banken kein Problem darstellen, oder?

Rei: mind sending me the whole offer as a signed mail? X.509 or PGP would do the trick so I can verify you in person?
Mr Timothy Oguntayo: ok
Mr Timothy Oguntayo: send me your email address
Mr Timothy Oguntayo: so i can send it by mail
Rei: spam@example.com
Rei: but please, digitally signed!
Mr Timothy Oguntayo: or better still you can call my cell phone number +XXX XXXXXXX
Rei: as I would like to proceed with things encrypted as it’s confidential information
Mr Timothy Oguntayo: you can confirm by calling the cell phone number i just sent to you
Rei: how come, you’re not using your skyebankng.com address?
Mr Timothy Oguntayo: we will be sending your account details via the Skye Banking website

Der Betrüger schluckt sichtlich laut bei meiner Forderung, aber wenn die Jungs schon einen eigenen Root-Server haben, sollte ja Mail kein Thema sein. Aber nein, der Kunde ist nicht König. Man versucht es hingegen über eine Telefonnummer. Skype macht solchen Betrug doch schön realistisch: Man sitzt irgendwo und nimmt eine passende Telefonnummer an. Höchste Zeit, einmal etwas mit der Tür ins Haus zu fallen und zu zeigen, dass man den Braten riecht:

Rei: Sir, I would need some verification as this smells like a 419 to me.
Mr Timothy Oguntayo: how do u mean?
Rei: you know §419 of the nigerian law?
Rei: so I need some proof that this isn’t scam.
Rei: in case you don’t know what I’m pointing at, which I seriously doubt, here’s a read about it: http://en.wikipedia.org/wiki/Nigerian_scam
Mr Timothy Oguntayo: this is not a scam

Gut, da wir wissen, dass es ja kein Betrug ist, wie uns der nette Herr bestätigt, erinnern wir uns der ursprünglichen Forderung nochmals und verlangen korrekte digitale Signaturen:

Rei: Well… feel free to verify from your Skye Banking emal, digitally signed as you usually (should) do.
Rei: and how come your website serves a self signed certificate and a default plesk install site on https?
Mr Timothy Oguntayo: what????????/
Rei: is your site, right?

Oh, wir haben die Seite gefunden? Jetzt wird’s peinlich und es hilft nur noch ableugnen der Fakten, oder?

Mr Timothy Oguntayo: thats not d website
Rei: which one is it, if I may ask?
Mr Timothy Oguntayo: where did you get it from?
Rei: google.
Mr Timothy Oguntayo: what are you looking for on google?
Rei: SKYE BANK NIGERIA PLC as you state on your writing
Mr Timothy Oguntayo: have you had any transaction with our bank before?

Gut, mein Humor schaltet sich nun ein und ich suche in Google nach ATM Equipment, also das Zeug was Bankomaten und Co sind und gebe meine Büro-Nummer durch, die Support-Hotline der eben gefundenen Firma. Ob das ausreicht um dem Spammer nervös zu machen? Nach einigem Geplänkel frage ich nochmals nach der Webseite, da ich das Impressum für die Kundenkartei brauche, um nachsehen zu können, ob die Firma schon Kontakt mit der angeblichen Bank hatte – Vorwand sind Rechtschreibung. Wir fragen also nach:

Rei: So which website does your bank run?
Rei: I’d like to check a few things to see if you’re on my list using a few different search phrases
Mr Timothy Oguntayo: okay
Rei: so, what website is your bank running?
Rei: I cannot find anything else on google – even wikipedia points to that site I mentioned
Mr Timothy Oguntayo: yes thats my bank
Mr Timothy Oguntayo: i just wanted to know if i was talking to a person
Rei: so the website is ?
Mr Timothy Oguntayo: yes

Oh, auf einmal ist es doch die Seite. Wenn wir uns schon im Kreis drehen, dann machen wir es richtig und weisen nochmals auf die Plesk Seite hin:

Rei: mind looking at ? (HTTPS!!)
Rei: the secured site shows the plesk default site
Mr Timothy Oguntayo: am busy now
Rei: and the certificate is self signed
Rei: this really sounds like scam to me.
Rei: and it surely is.
Mr Timothy Oguntayo: what do you eman by scam
Mr Timothy Oguntayo: i have answered al your questions
Rei: no, you perfectly avoided them
Mr Timothy Oguntayo: i am attending to clients here
Mr Timothy Oguntayo: do you want me to just ignore others because of you?
Rei: it would be better for them, trust me.

Und damit ging der Kontakt auf wundersame Weise offline. Kann es sein, dass die ganze Sache nur ein eingefädelter Betrug war und der nette Herr an der anderen Leitung doch nur ein zweitklassiger Schauspieler an einem Rechner war?

Fazit: Wenn euch jemand per Internet glaubhaft machen will, dass ihr hier Geld bekommt, dann ist es höchstens der Eine, der Geld einsammelt und am allerwenigsten ihr. Wie solche Betrugsmaschen im Normalfall ablaufen, findet ihr unter http://de.wikipedia.org/wiki/Vorschussbetrug

Da diese Art von Betrug direkt von Menschen ausgeführt wird, gebt auf keinen Fall Daten wie Namen, Adressen, Telefonnummern oder Ähnliches heraus, da dies von den Betrügern nur ausgenutzt wird um mehr Schrott anzustellen. Nehmt euch mein kleines Geplänkel hier als kleinen Denkanstoß.