Manus Homepage über die Zeit

Treuhänder-Betrug - Frederik Agnes/Fred Muerman Teil 3

Samstag, 06.01.2018

Ich hoffe du bist gut ins neue Jahr gerutscht. Die besten Wünsche von meiner Seite!

Frederik Agnes und kein Ende

In den letzten beiden Blogeinträgen (beginnend hier) habe ich über den Fall „Frederik Agnes“ berichtet – einer Person, die unter besagtem Namen Waren in Kleinanzeigenportalen zum Versand anbietet, ohne diese tatsächlich zu besitzen.

Update vom 12.04.2018:
„Frederik Agnes“ nennt sich jetzt „Fred Muerman“, seine E-Mail-Adresse lautet ProfiArchitects@outlook.com, eine neue Architekten-Fakeseite gibt es ebenfalls: www.ProfiArchitects.com. An der Masche hat sich nichts geändert. Vielen Dank an den entsprechenden Leser für die Infos!

Wie bereits erwähnt, deutet alles darauf hin, dass es neben der Architekten-Fake-Homepage zur Untermauerung der Identität Frederik Agnes' auch noch eine Fake-Webseite des angeblich involvierten Logistik-Unternehmens gibt. Dieses soll augenscheinlich die Zahlungen entgegen nehmen und simuliert außerdem das Tracking der versendeten Ware. Ein klassischer Fall von Treuhänder-Betrug.

Lesern meines Blogs verdanke ich weitere Informationen und Dokumente zum Fall Agnes. Damit kommt zugleich die ganze Tragweite der Machenschaften ans Licht. Die trügerischen Angebote umfassen wohl Waren aus allen möglichen Bereichen, darunter vorwiegend höherpreisige und besonders beliebte Elektronik-Artikel.

Da wie erwähnt der oder die Täter bereits auf meine Enthüllungen aufmerksam geworden sind, arbeitet dieser bzw. arbeiten diese vermutlich bereits an einer neuen Identität. Nicht abwegig wäre aber auch die Vorstellung, dass sie bereits jetzt unter verschiedenen Identitäten auftreten.

Einer meiner Leser ging beim Kauf einer Digitalkamera noch einen Schritt weiter und erhielt folgende Nachricht des mutmaßlichen Verkäufers. Am Anfang stand noch eine individuelle Begrüßung, die offensichtlich eingesetzt wurde, da die Schrift in ihrer Größe eine andere Formatierung aufwies. Hier wurde vermutlich außerdem unterschieden, ob man mit dem Anbieter perdu ist oder nicht. Ich habe bestimmte Teile wie die Begrüßung oder den gekauften Gegenstand zum Schutze meines Informanten zensiert (siehe „xxxxxx“).

[Begrüßung]
Ich habe es geschafft, den Versand der xxxxxx in die xxxxxx zu arrangieren. Ich habe alle Versandkosten bezahlt.
Der Name des Unternehmens ist TLS Omega Logistics   http://www.tls-omega.com/
Sie werden von den Agenten kontaktiert werden, und sie werden Ihnen sagen, was Sie als nächstes tun müssen, um die Paket erhalten.
Bitte folgen Sie ihren Anweisungen für eine sichere und schnelle Transaktion.

Auch ... sollten Sie auch Ihren Spam- oder Junk-Ordner überprüfen, da Sie ihre E-Mails als Spam erhalten können.

Den Kontakt halten
Frederik

P.S.: Bitte lassen Sie mich wissen, wenn Sie die Rechnungen von Unternehmen erhalten. Ich schickte Ihnen eine Kopie meines Autolizenz, wenn Sie sie benötigen, wenn Sie den xxxxxx empfangen. Wie ich weiß, werden Sie es nicht brauchen, aber ich denke, so: besser nicht brauchen, als Sie es brauchen und nicht haben.

Im Anhang befand sich der in meinem letzten Beitrag bereits veröffentlichte, gefälschte Führerschein.

Bevor ich auf die gefakte Transportfirma eingehen möchte, hier noch die Fake-Rechnung, die von eben diesem Unternehmen an den Käufer ausgestellt wurde:

Fake-Rechnung von TLS-Omega

Interessant ist in diesem Zusammenhang auch die angegebene Absenderadresse:

Frederik Agnes
Norrtullsgatan 57
Stockholm, 113 45
Sweden

Die angegebene Adresse existiert tatsächlich, auch wenn hier kein Frederik Agnes wohnt. Dahinter verbirgt sich laut Google Streetview (ich darf hier keinen Screenshot reinstellen) ein Gebäude, das im Erdgeschoss diverse Geschäfte beinhaltet und dementsprechend groß ist (28 Fenster alleine auf der Straßenseite). Das macht es natürlich schwerer fest zu stellen, welche Personen dort gemeldet sind und ob das Gebäude überhaupt privat genutzt wird.

Jetzt aber zur Webseite des Versandunternehmens (http://tls-omega.com). Hier ein Screenshot des oberen Teils der Startseite:

TLS-Omega

Die Domain der Seite wurde erst im November 2017 registriert – der beste Beweis dafür, dass es dieses Unternehmen in der vorgestellten Größe überhaupt nicht geben kann:

Whois TLS-Omega

Was auf der Webseite auffällt, ist das verzerrte Logo mit weißem Hintergrund. Für eine international agierende Firma wäre das ein absolutes No-Go. Das Original-Logo war recht schnell gefunden. Ich möchte es hier nicht ungefragt abbilden, da es einen Rechteinhaber gibt, aber unter diesem Link ist das zugehörige Original-Logo relativ weit oben auf der Seite zu finden.

Wenn das Logo in die Logistikseite nur eingesetzt wurde und der Ersteller von Design und Grafik wenig Ahnung hatte, legt das den Schluss nahe, dass die restliche Seite nur die Kopie einer anderen Webseite ist. Und tatsächlich konnte ich einen fast identischen Abklatsch der Page relativ schnell ausfindig machen: http://www.mazumaexpress.com. Allerdings scheint auch diese Seite nicht authentisch zu sein. Die Seite ging 2016 an den Start. „Latest news“ sind dort jedoch von 2012 datiert. Und seit etwa 5 Minuten (kein Witz) ist die komplette Webseite nicht mehr erreichbar. Und es ist jetzt etwa 2:45 Uhr morgens. Kurz, nachdem mein Blogbeitrag in einer Testversion online war und ich den bereitgestellten Link selbst noch einmal testete, ging sie plötzlich offline:
Webseite nicht erreichbar

Es sieht also so aus als ob mein kurzer Besuch der Seite nicht unbemerkt blieb. Meine Vermutung ist, dass der Referrer des Besuchers ausgewertet und sofort an den Seitenbetreiber weitergeleitet wird. Wer als Betreiber einer Webseite Angst haben muss, „enttarnt“ zu werden, muss sich solcher Methoden bedienen um zu sehen, wer sich auf der Seite herum treibt. Nachdem wasistzeit.de bei der sich als Agnes ausgebenden Person ja bereits bekannt ist, spricht einiges dafür, dass dieser auch hinter dieser zweiten Seite steckt, falls meine Theorie stimmt.

Update vom 11.01.2018: www.mazumaexpress.com ist seit heute wieder erreichbar. Trotzdem handelt es sich zweifellos um eine Fake-Seite. Nicht nur, dass ein mehrtägiger Ausfall für ein internationales Unternehmen undenkbar wäre, das Hosting wird anstatt mit eigenen Servern über einen Billig-Webhoster abgewickelt. Auf demselben Server liegen 19458 Webseiten und die wahre Identität des Seitenbetreibers wird verschleiert.

Demnach handelt es sich bei www.mazumaexpress.com also offenbar nur um eine alternative bzw. ältere Version der oben genannten TLS-Omega-Fakeseite. Allerdings konnte ich noch einen Screenshot erstellen:

Mazuma Express

Ein Fass ohne Boden

Was das Kleinanzeigen- und Auktionsthema anbelangt, so könnte ich ohne Ende weiter berichten. Einen weiteren Fall auf Ebay konnte ich kürzlich aufdecken. Dem Verkäufer schrieb ich eine Nachricht mit 10 Punkten, warum ich mir sicher bin, dass sein Angebot nicht echt ist. Dass die laufende Auktion direkt am nächsten Tag nicht mehr verfügbar war (obwohl sie noch mehrere Tage gelaufen wäre), kann zwei Gründe haben. Zum einen scannt Ebay das Nachrichtensystem auf Schlagwörter wie „Betrug“ und ähnliches, zum anderen könnte es auch sein, dass sich der Anbieter ertappt fühlte und es mit der Angst zu tun bekam.

Aktuell habe ich ein Angebot auf ebay-kleinanzeigen.de gefunden, das mit Sicherheit ebenfalls einen Betrugversuch darstellt. Nachdem ich dem Ebay-Kleinanzeigen-Support eine E-Mail geschrieben habe, erhielt ich wie immer deren Standardantwort:

Liebe Nutzerin,
Lieber Nutzer,

vielen Dank für deine Nachricht.

Aufgrund eines erhöhten Anfragevolumens können wir im Moment nicht so schnell wie gewohnt antworten. Du erhältst unsere Antwort in den nächsten 2-3 Werktagen.

Bitte beachte, dass jede weitere Nachricht von dir eine Beantwortung verzögert.

Viele Grüße vom eBay Kleinanzeigen-Team
www.ebay-kleinanzeigen.de

Toller Service. Chronisch überlastet. Bei der Flut an Betrügereien kein Wunder.

Update vom 11.01.2018:
Ebay Kleinanzeigen hat inzwischen geantwortet. Sie würden die Sache prüfen und ggf. das Angebot herausnehmen. Allerdings ist das heute, zwei Tage später, noch nicht erfolgt. Angeblich hätten sie keinen Zugriff auf die Nachrichtenkorrespondenz ihrer registrierten Mitglieder. Daraufhin habe ich dem Support erklärt, dass die Nachrichten definitiv auf ihren Servern lägen, worauf keine Antwort folgte.

Nur damit keine Missverständnisse aufkommen: Der einzige Grund, warum ich mich mit dieser Thematik beschäftige ist, dass ich immer wieder auf entsprechende Angebote aufmerksam werde. Ganz von selbst. Und manchmal kommt dann eben eines zum anderen. Untätig zu bleiben verbietet mir einfach mein Gerechtigkeitssinn.

So long,

Dein Manu