Wahrscheinlich großangelegter Betrugsversuch unter missbräuchlicher Benutzung des Namens einer großen Firmengruppe
Wir möchten auf einen Betrugsversuch aufmerksam machen, von dem wir ausgehen, dass es sich hierbei um eine großangelegte Serie handelt.
Unsere Firma Baseline GmbH –Toner Restposten bekam am 04.01.2013 eine Mail, die den Anschein erweckte von Logica France versendet worden zu sein. In dieser Mail wurde angefragt, ob wir ein Kundenkonto anlegen können und es grundsätzlich möglich wäre auch auf Rechnung beliefert zu werden. Im Anhang befanden sich noch die Bilanz von 2011, sowie der Handelsregisterauszug aus Frankreich. Unterzeichnet war die Mail mit dem Namen Jean Lazzari.
Als ersten Schritt haben wir den Absender in unseren Händlerverteiler aufgenommen. Über diesen verschicken wir regelmäßig unsere Lagerbestandsliste.
Am 30.01.2013 kam eine zweite E-Mail, in der erneut nach einem 14-tägigen Zahlungsziel gefragt wurde. Im Anhang befanden sich erneut oben genannte Dokumente, sowie der Briefbogen. Wir beantworteten die Anfrage, dass dieses grundsätzlich möglich wäre.
Am 21.02.2013 erhielten wir eine Mail mit einer größeren Bestellung über ca. 3 Paletten Toner. Es wurden nicht nur teure Artikel bestellt, sondern durchaus auch Ladenhüter, was den Anschein erweckte, als ob für den internen Gebrauch älterer Drucker eingekauft wird. Diese sollten nach England gesendet werden. Daraufhin haben wir uns anhand der zugesendeten Unterlagen an die Recherche begeben. Auf den ersten Blick machte die Geschichte vorerst einen schlüssigen Eindruck. Logica ist ein international arbeitendes Unternehmen, welches in England gegründet wurde. Inzwischen ist Logica von der kanadischen Firmengruppe CGI gekauft worden. Auch der Name des Unterzeichnenden ist aus der realen Welt. Jean Lazzari ist der Président CGI France.
Was uns allerdings stutzig machte, war die Mailadresse. Diese endete auf logicafrance.eu.
Die uns ersichtlichen Mailadressen der Firmengruppe endeten aber auf logica.fr (bei weiterer Recherche zeigte sich später, dass auch die fr-Adresse nicht für Mails genutzt werden) oder logica.com. In Hinblick auf ein gutes Geschäft, konnte man sich nun überlegen/vormachen, dass die Firma einen Teil Ihrer Mail-Infrastruktur auf eine firmenuntypische Adresse gelegt hat.
Wir baten am 21.02.2013 per Mail uns die Bestellung über eine logica.fr Adresse zu senden, da wir die andere Adresse nicht verifizieren konnten. Tatsächlich bekamen wir einen Tag später eine Mail von servicecom@logica.fr.
An diesem Punkt waren wir tatsächlich eine Handbreit entfernt einen teuren Fehler zu machen. Zum Glück waren wir allerdings auch ausreichend sensibilisiert, um den Blick von einem potentiell tollen Geschäft auf die unschlüssigen Aspekte zu lenken. Der handwerkliche Fehler, der uns deutlich auf den Boden brachte, war die extreme Eile. Es wurde angefragt ob der „pick-up“ schon am nächsten Tag möglich wäre. Auch die Lieferadresse in London erschien dann doch für einen so großen Konzern untypisch. Wir hatten noch einen Experten zu Rate gezogen, der sich den Mailverkehr von der technischen Seite angeschaut hat. Dieser konnte uns bestätigen, dass es auch von der technischen Infrastruktur eher die unschlüssigen Aspekte überwiegen.
Ein Anruf in Paris brachte so viel, dass man mich zum Vorzimmer von Jean Lazzari durchstellte, man dort aber nur auf ein Band sprechen konnte. Bei dem Anruf in London konnte uns zumindest von einer Mitarbeiterin die angegebene Adresse nicht als Warehouse, bzw. die Empfängerperson nicht als Mitarbeiter bestätigt werden.
Mit dem ermittelten technischen Wissen wurde auch noch der Datenschutzbeauftragte von Logica Deutschland konfrontiert. Dieser konnte bestätigen, dass diese Mailadresse zu 100% nicht zur IT-Infrastruktur der Firmengruppe gehört und wir von einem Betrugsversuch ausgehen können.
Fazit
Im Nachhinein ist man immer schlauer.
Rückblickend und die einzelnen Puzzelteile zusammengesetzt hätte man den Betrugsversuch vielleicht schon bei der zweiten Mail erkennen können. Dem Faktor, dass ein potentiell gutes Geschäft anliegt, unterliegt aber jeder Händler und kann auch partiell blinder machen.
In diesem Fall halten wir den Betrug für extrem geschickt gemacht, da eine mit Dokumenten unterlegte schlüssige Geschichte vorliegt. Da unter dem missbräuchlichen Benutzen des Namens einer sehr großen Firmengruppe gearbeitet wird, ist es sehr unübersichtlich und schwer zu entscheiden, ob das Abweichen der Mailadresse der riesigen Infrastruktur des Konzerns geschuldet ist.
Inwieweit hier nur gezielt Händler aus dem Bereich Druckerzubehör angeschrieben werden, oder die Branchen beliebig angegangen werden können wir natürlich nicht beurteilen.
Was war schlüssig?
- Anfrage nach Händleraccount und Zahlungsziel (bei großen) Firmen aus Europa ist nicht untypisch
- Die übermittelten Dokumente
- Unterzeichner eine nachvollziehbare und reale Person
- Großer Konzern bestellt aus Frankreich, Lieferadresse Sitz London auch schlüssig, bzw. nicht unüblich
- Die Zusammensetzung der Bestellung ( 1 Palette von Artikeln ohne hohen Wert, bzw. „Ladenhüter“ deuteten auf Eigenverbrauch)
- Bestätigungsmail mit „richtiger“ Adresse
Was war unschlüssig?
- Die Mailadresse der ersten Kontaktaufnahmen
- Empfängeradresse in London im Nachhinein doch sehr Privat
- Die Anfrage ist sehr allgemein gehalten. Es wurde nicht speziell nach unseren Produkten gefragt. Würde auf jede Branche treffen
- In der Mail wird nach Ware für Kunden gefragt. Dieses widerlegt dann die schlüssige Erklärung des Eigenbedarfs. Nach genauem Hinsehen was CGI/Logica eigentlich tut, kann man feststellen, dass die Firmengruppe unternehmensberaterische Tätigkeiten anbietet, aber keine Waren verkauft.
- Der Unterzeichner. Der Vorsitzende eines solchen Unternehmens bestellt in der Regel nicht selber
- Die Formulierung der E-Mail. Sehr schnell mit Vornamen. In der dritten Mail schon ohne Signatur. Wobei anzumerken ist, dass wir bei unseren europäischen Kontakten festgestellt haben, dass der Stil eher amerikanisch ist. So richtig wundern tut einen da nichts mehr
- In der zweiten Mail findet sich noch unter der Signatur der Eintrag „Message 8 sur 456“. Dieses deutet auf eine Massenmail hin. Aber wer guckt schon unter die Signatur?
Ergänzung 05.03.2013
Wie es scheint, sind sich die Betrüger ihrer Sache sehr sicher. Wir haben gerade einen Anruf erhalten, in dem sich ein Mann mit dem Namen Jean Lazzari vorstellte. Er wollte wissen, ob es nun mit der Abholung der Ware klappen würde. Das Englisch war sehr gebrochen und hatte eher einen osteuropäischen Einschlag, als einen französischen Akzent. Nachdem ich erwähnte, dass leider die Lieferadresse nicht verifiziert wurde und ich „ihm“ schon auf den Anrufbeantworter in Paris gesprochen habe, wurde sehr schnell der Höhrer aufgehängt.
Ein deutliches Zeichen, dass dieser Betrug weit über die üblichen Spambetrugsversuche hinausgeht und die Betrüger sich sehr weit hinauswagen.
Artikel aus unserem alten Wordpress-Blog. Nochmal veröffentlicht im Sinne der Dokumentation und Nostalgie.
