Varning för depositionsbedrägerier via annonser på nätet

I en värld av bostadsbrist blir det allt vanligare med s.k. escrow fraud (ung. depositionsbedrägeri). Det samma gäller för handel med andra kapitalvaror som begagnade bilar. Det är lätt att falla för bedragarnas metoder om man inte är uppmärksam. Det lönar sig alltid att dubbelkolla innan man för över pengar någonstans och gamla sanningar håller ännu: Om något låter för bra för att vara sant – då är det oftast det!
Denna lilla utvikning i ämnet kommer sig av att jag själv söker bostad för ett temporärt boende, då vi ska göra en större ombyggnad av huset. Febrilt letande på blocket och andra forum för andrahandskontrakt gör att man lätt kommer i kontakt med både ljusskygga delar av bostadsmarknaden och bedragare som försöker profitera på folks desperation.
Det som hände var följande: Vi svarade på en annons för ett andrahandskontrakt på en lägenhet i Sannegårdshamnen i Göteborg (annonsen är nu borta från Blocket). Hyran var låg och läget var perfekt och på bilderna såg allt verkligen lovande ut. Annonsen var underskriven med namnet Goran och såg verkligen trovärdig och korrekt ut. Den var skriven på bra svenska och enda möjliga varningsflaggan var att den var inlagd under fel stadsdel, men detta kunde varit ett simpelt misstag.
Första svaret kom väldigt snabbt, men det var ett litet bekymmer:
image
OK? Vad hände med Göran/Goran? Och så var det ju det där problemet med att han befann sig i London, men det verkar han ju ha en lösning på…
Lite Google-uppslag på “Dr. Ronald Smith” ger inga väsentliga träffar. Om personen vore på riktigt borde det åtminstone finnas spår av honom. Han borde ha en praktik, ha publicerat en avhandling, eller åtminstone skrivit något på nätet. Sökning på Linked-in ger heller inga träffar med någon relevans.
Om inte varningsklockorna har börjat ringa ännu, så är det dags. Detta luktar fisk lång väg, men vi spelar med lite för att se hur det utvecklar sig.
image
Jo men visst! Nu kommer han med en lösning som låter trygg och bra. Vi deponerar pengar hos en oberoende tredje part och kan i lugn och ro titta på lägenheten först. Kanon! …eller?
Om vi glömmer bort alla andra varningsflaggor och fokuserar på deponeringsföretaget, så finns det lite saker man kan kolla upp. Vi gör lite kontroller på hemsidan för skojs skull. Jag börjar med ett besök:
image
Sidan ser mycket seriös och övertygande ut. Massor av information och professionellt byggd. Den inger förtroende och även om jag aldrig har hört talas om ATO Shipping, så kanske de är stora utomlands. Vi får väl kolla. En snabb sökning på Google:
image
Konstigt! Inga träffar utom på deras egen hemsida. Om de hade varit ”stora i Europa” så borde ett antal träffar finnas på expat-forum eller andra sidor där det diskuteras transporter. Varningsflagg!! Dessutom låter ju ”Across The Ocean Shipping” lite väl… tillrättalagt och banalt.
Jag gräver lite djupare och tittar vem som äger domänen. Här använder jag http://whois.domaintools.com/ som är en tjänst på nätet för att söka i whois-databaser. Det är lite smidigare än att manuellt fråga RIPE, APNIC eller ARIN som är de organ som håller reda på databaserna.
image
En snabb Google på mailadresserna (som mycket väl kan vara förfalskade) ger mer kött på benen:
image
Hmm.. Fraud Data - Escrow Fraud Prevention. Varning, varning!
Den andra informationen som är intressant ur whois-databasen är namnservrarna som svarar för domänens DNS uppslag. Dessa pekar på ett webbhotell i Australien som erbjuder webbplats och mail för ca 20 kr i månaden (AUD 3,95). Jag använder mig sedan av nslookup (eller dig) för att ta reda på mer om domänen atoshipping.com.
image
Hela deras infrastruktur pekar på en enda IP adress och det är ingen idé att försöka maila till deras administrativa kontakt, för den domänen har inget MX-record (DNS uppslag som berättar vilken maskin som tar emot epost för domänen).
Undantaget varningen om bedrägeri så tyder inte denna information på något seriöst företag, än mindre ett multinationellt logistikföretag med deponeringstjänster.
Vidare sökningar och granskning av domännamnet atoshipping.com avslöjar flera anmälningar om bedrägliga deponeringsärenden…
Men det roliga slutar inte här. Vi är ju nyfikna på var ”Ronald” sitter, eller hur? Eftersom han använt sig av en Hotmail-adress så kan vi faktiskt ta reda på det (det finns andra tekniker för att spåra andra epost alternativ). Genom att titta på epost-huvudet (lite olika sätt beroende på epostklient) så kan vi få fram vilken IP adress som skickade brevet. På Gmail gör man så här:
image
Utdrag från original:
Message-ID: <BAY156-w56FD4DA5F6CC1025AC8F54A1570@phx.gbl>
Return-Path: ronald.smith1@hotmail.com
Content-Type: multipart/alternative; boundary="_b8ba9d9c-46f9-43f9-ae9c-f6a97c71efef_"
X-Originating-IP: [129.63.210.141]
From: Ronald Smith <ronald.smith1@hotmail.com>

Den rad i all teknisk information som du letar efter är ”X-Originating-IP”. En sökning på whois visar att den tillhör University of Massachusetts Lowell. IP adressen är dynamiskt tilldelad, men det var samma IP vid båda tillfällena. Nslookup ger namnet: fal210-129-63-210-141.dhcp.uml.edu.
Det kan vara så att ”Ronald” sitter på plats i Lowell, men det troligaste är att maskinen är hackad och att ”Ronald” sitter någon helt annan stans. Vi skulle kunna gå vidare och kontakta polismyndigheter i berörda länder (Sverige, Australien, USA…) samt universitetet, för att gå vidare i utredningen, men möjligheten att ro hem en sådan utredning med ett bra resultat är liten. Dessutom så är det svårt att påvisa att ett brott har begåtts. Ännu så länge är det bara försök till bedrägeri.
Tips och råd: 1. Undvik denna typ av transaktioner helt.
2. Om du måste göra en depositionstransaktion, använd en betrodd tjänst som escrow.com, paypal.com eller trustedfriend.com.
3. Kontrollera med exempelvis FSA (http://www.fsa.gov.uk/) om tjänsten är registrerad och under kontroll
4. Lyssna på varningssignalerna!
5. Google är din vän
Som en uppföljning åkte jag till Sannegårdshamnen för att titta på portuppgången. Det fanns varken någon Goran eller Ronald. Dessutom verkade det vara en hyresfastighet. Om du är tveksam, så ta kontakt med hyresvärden eller bostadsrättsföreningen och kontrollera alla uppgifter. Det kostar inget och kan bespara dig många tusenlappar och huvudvärk.
Och en sak till: Det finns bedragare i Sverige också, så var försiktig och gå inte med på några svartkontrakt!

Rikard Bodforss, Säkerhetsexpert inom IT-forensik och incidenthantering

4 kommentarer :: Varning för depositionsbedrägerier via annonser på nätet

  1. Hej Rikard!

    Vilket tur att jag såg ditt blogginlägg. Var väldigt nära att föra över pengar till dr. ronald innan jag fick en varning och researchade lite ordentligt. Och inlägget är skrivet idag också! Måste vara min turdag!!!

    Hur kan man gå vidare med det här för att varna andra? Har försökt googla lite förut men inte hittat något bra egentligen.

    Jag är evigt tacksam iaf. Hade svidit hårt i studentplånboken detta!

    /Martin Söreskog
    martinsoreskog@hotmail.com

  2. I will do the same thing... Thanksssssssssssssssssssssssssssssssssssssssss

  3. I will make a lot of money. I am sure ! Thanks again Rikard

  4. Jag har också fått svar från denne Doctor :-/ är lite sugen att följa upp det och se hur långt man kan gå... Men det lönar sig att googla. Tack för detta inlägg! Jättebra!

Skicka en kommentar