Op het eerste gezicht plausibele e-mails, maar toch...?

[Hans van den Bergh]

Even een vraagje tussendoor, als het mag:

 

Sinds een aantal dagen komen er op ons e-mailaccount regelmatig redelijk specifieke aanvragen binnen voor bijvoorbeeld jubilea, huwelijksarrangementen, beschikbaarheid op bepaalde datum, e.d.

 

Deze mails worden door ons uiteraard netjes beantwoord, maar ze hebben allen een aantal overeenkomsten:

 

- er wordt na onze beantwoording niet meer op gereageerd

- Ze zijn altijd vanuit een gmail-account verstuurd

- de namen zijn heel plausibel, niet vergezocht of juist heel voor de hand liggend

- redelijk correct taalgebruik, dus geen vermoeden van gebruik van vertaalsoftware

- altijd met een verzoek 'met elkaar om de tafel te zitten', 'met jullie afspraak te maken voor bezichtiging', 'met jullie van gedachten wisselen', 'met jullie op locatie te bespreken'

- verdere contactgegevens ontbreken (adres, telefoonnummer)

- een vragende zin eindigt altijd met een spatie en daarna pas het ?-teken, wat doet vermoeden dat het steeds om dezelfde persoon gaat

 

Is dit misschien herkenbaar? Zo ja, waar zou dit op kunnen wijzen? Kan ik er eventueel wat tegen doen?

 

 

 

 

 

 

 

[Hans van den Bergh]

Het is ook raar verhaal, ze zijn inderdaad toegeschreven op mijn branche, m.n. het horeca deel. Ik heb inmiddels een aardige antenne voor de Nigeriaanse 419 scams ontwikkeld in de loop der jaren. Daar lijkt dit totaal niet op.

[Bob de webbouwer]

Anders maak je het telefoonnummer veld in je contactformulier even verplicht, dan kun je ze gewoon bellen om te checken. Zonder telefoonnummer kunnen ze het formulier niet verzenden, en als het telefoonnummer niet blijkt te kloppen ben je er ook zo mee klaar natuurlijk.

 

Overigens gebruik ik zelf al jaren gestandaardiseerde e-mails waar ik alleen wat details zoals de naam en datum hoef aan te passen. Het versturen van een offerte duurt dan maar een paar minuutjes.

[Norbert Bakker]

Anders maak je het telefoonnummer veld in je contactformulier even verplicht, dan kun je ze gewoon bellen om te checken. Zonder telefoonnummer kunnen ze het formulier niet verzenden, en als het telefoonnummer niet blijkt te kloppen ben je er ook zo mee klaar natuurlijk.

 

Maar hier gaat het om mensen die mailen, dus niet via het contactformulier contact opnemen.

[Hans van den Bergh]

Maar hier gaat het om mensen die mailen, dus niet via het contactformulier contact opnemen.

Inderdaad.

[Bob de webbouwer]

Ah ok, dat had ik verkeerd begrepen dan...

[R.I.P. - Benm]

Het is ook raar verhaal, ze zijn inderdaad toegeschreven op mijn branche, m.n. het horeca deel. Ik heb inmiddels een aardige antenne voor de Nigeriaanse 419 scams ontwikkeld in de loop der jaren. Daar lijkt dit totaal niet op.

 

Het is een andere vorm van fraude: ze boeken bijv een aantal kamers voor in totaal 3000 euro, sturen je een cheque van 5000 en vragen het verschil over te maken op een of andere (katvangers) rekening. Die 5000 euro krijg je bijgestort als je met de cheque naar de bank gaat, maar die wordt vervolgens een paar weken later weer teruggedraaid wegens ongedekt oid.

 

Ik denk niet dat dat nigeriaans is - je hebt er een echte cheque voor nodig en daar staan ook de gegevens op van degene die hem schreef.

[Hans van den Bergh]

Het is ook raar verhaal, ze zijn inderdaad toegeschreven op mijn branche, m.n. het horeca deel. Ik heb inmiddels een aardige antenne voor de Nigeriaanse 419 scams ontwikkeld in de loop der jaren. Daar lijkt dit totaal niet op.

 

Het is een andere vorm van fraude: ze boeken bijv een aantal kamers voor in totaal 3000 euro, sturen je een cheque van 5000 en vragen het verschil over te maken op een of andere (katvangers) rekening. Die 5000 euro krijg je bijgestort als je met de cheque naar de bank gaat, maar die wordt vervolgens een paar weken later weer teruggedraaid wegens ongedekt oid.

 

Ik denk niet dat dat nigeriaans is - je hebt er een echte cheque voor nodig en daar staan ook de gegevens op van degene die hem schreef.

 

Die variant is mij bekend, maar hoe wil iemand dat (uiteindelijk) met dit soort e-mails bereiken dan?

[Hans van den Bergh]

't is ook heel subtiel verwerkt in de titel en startpost :P ;D

 

Ja bijdehandje, maar aanvragen via het contactformulier worden ook niet per postduif bezorgd hoor, die komen ook gewoon met de e-meeuw binnen :P

 

Klopt, maar dan ben ik nog iets vergeten te melden, wat Peter nog ontdekte: betreffende mails hebben ook steevast geen onderwerp.

 

Een e-mail via ons contactformulier heeft (uiteraard) wel iets in de onderwerp-regel staan.

[Ward van der Put]

Klopt, maar dan ben ik nog iets vergeten te melden, wat Peter nog ontdekte: betreffende mails hebben ook steevast geen onderwerp.

Die truc kennen we van malware. Bij een ontbrekend onderwerp of een nietszeggend onderwerp zoals "Vraagje?" zijn mensen eerder geneigd de e-mail te openen: even kijken waarover het gaat...

 

Nou zat er waarschijnlijk geen virus in, want dan had Peter dat wel gevonden, maar zouden jullie eens kunnen kijken of er ergens een onzichtbaar plaatje in zit, bijvoorbeeld ter grootte van 1 pixel?

 

[R.I.P. | Peter Bonjernoor]

Nope, had ik natuurlijk al gecheckt - alleen

's en verder niks.

 

[R.I.P. - Benm]

Het is ook raar verhaal, ze zijn inderdaad toegeschreven op mijn branche, m.n. het horeca deel. Ik heb inmiddels een aardige antenne voor de Nigeriaanse 419 scams ontwikkeld in de loop der jaren. Daar lijkt dit totaal niet op.

 

Het is een andere vorm van fraude: ze boeken bijv een aantal kamers voor in totaal 3000 euro, sturen je een cheque van 5000 en vragen het verschil over te maken op een of andere (katvangers) rekening. Die 5000 euro krijg je bijgestort als je met de cheque naar de bank gaat, maar die wordt vervolgens een paar weken later weer teruggedraaid wegens ongedekt oid.

 

Ik denk niet dat dat nigeriaans is - je hebt er een echte cheque voor nodig en daar staan ook de gegevens op van degene die hem schreef.

 

Die variant is mij bekend, maar hoe wil iemand dat (uiteindelijk) met dit soort e-mails bereiken dan?

 

Ik weet het niet. Misschien kijken ze een beetje naar de aard van de reactie om te kijken hoe vatbaar iemand lijkt?

 

Het is te specifiek om 'zomaar spam' te zijn dus vermoed ik dat er toch wel een ander doel dan puur een mailadres verifieren achter zit.

 

Wel vreemd is dat ze nooit meer iets hebben laten horen, misschien leek je niet naief genoeg ;)

 

[Hans van den Bergh]

Ze komen nog steeds binnen, zojuist nog één. Ik heb nu 3 verschillende gmail-accounts waar ik ze afwisselend mee beantwoord met een bedankje voor de interesse en dat ze een afspraak kunnen maken om langs te komen. Daarop komt geen reactie.

 

Het is mij werkelijk een raadsel welk motief hierachter zit.

[StevenK]

Het is ook raar verhaal, ze zijn inderdaad toegeschreven op mijn branche, m.n. het horeca deel. Ik heb inmiddels een aardige antenne voor de Nigeriaanse 419 scams ontwikkeld in de loop der jaren. Daar lijkt dit totaal niet op.

 

Het is een andere vorm van fraude: ze boeken bijv een aantal kamers voor in totaal 3000 euro, sturen je een cheque van 5000 en vragen het verschil over te maken op een of andere (katvangers) rekening. Die 5000 euro krijg je bijgestort als je met de cheque naar de bank gaat, maar die wordt vervolgens een paar weken later weer teruggedraaid wegens ongedekt oid.

 

Ik denk niet dat dat nigeriaans is - je hebt er een echte cheque voor nodig en daar staan ook de gegevens op van degene die hem schreef.

Niet eens een ongedekte cheque, maar een betaling van een gewone NL bankrekening, met een geskimde pas of andere gestolen toegang. Daarna annuleren ze en vragen het geld terug te storen - maar dan wel naar een ander rekeningnummer of bij de simpele variant via Western Union.

[Hans van den Bergh]

Heb jouw tip zojuist meteen uitgeprobeerd, John, kan daar niets op vinden (met mijn lekenoog dan), maar dank voor het meedenken!

[Highio]

Misschien ben je wel kritisch of onaardig geweest tegen een HL-lid en lacht deze zich nu rot...

 

...het blijft (voorlopig) vreemd dat kennelijk niemand onder de lezers of reageerders dit soort berichten herkent of ontvangt.

 

Groet,

 

Highio

 

[Hans van den Bergh]

Misschien ben je wel kritisch of onaardig geweest tegen een HL-lid en lacht deze zich nu rot... ...het blijft (voorlopig) vreemd dat kennelijk niemand onder de lezers of reageerders dit soort berichten herkent of ontvangt. Groet, Highio

Mee eens, ik denk dat alles er ook wel over gewisseld is, tot er iets nieuws te melden is. Dan laat ik het wel weten, ik ga ze ook niet meer beantwoorden...

[R.I.P. - Benm]

Niet eens een ongedekte cheque, maar een betaling van een gewone NL bankrekening, met een geskimde pas of andere gestolen toegang. Daarna annuleren ze en vragen het geld terug te storen - maar dan wel naar een ander rekeningnummer of bij de simpele variant via Western Union.

 

Maar is het verlies dan voor de ondernemer of voor de bank? Overboekingen, pin- en ideal betalingen zijn toch definitief, in de zin dat je ervan uit kunt gaan dat ze niet om te draaien zijn door de betaler?

 

Bovendien klinkt het nogal omslachtig: als je kunt overboeken dan kan dat ook direct naar de katvanger, dus waarom nog een derde partij in die scheme betrekken die het niet gaat vertrouwen met die verschillende rekeningen, en mogelijk het geld gewoon vast houdt totdat je langskomt met legitimatie oid?

 

Enige zinnige mogelijkheid lijkt me om iets uit te spoken waarbij de bestolen partij het in eerste instantie niet echt door heeft. Nepfactuur die betaald wordt, mogelijk voor iets heel anders, en daarna annuleren met een ander nummer oid.

[Ward van der Put]

Je kunt de truc met een plaatje in de e-mail ook omkeren.

 

Antwoord bijvoorbeeld met "onze prijzen voor ... staan in het onderstaande schema". De -tag voor afbeelding laat je verwijzen naar een uniek PHP-script op je server dat de inhoud van $_SERVER opslaat en de afbeelding doorgeeft; in $_SERVER vind je vervolgens het IP-adres terug.

 

Deze techniek wordt bijvoorbeeld gebruikt om het openen van nieuwsbrieven te tracken. En het is ook maar een halfuur werk voor een developer.

 

Professionele oplichters tuinen daar waarschijnlijk niet in. Die gebruiken een anonymizing proxy of heel simpel de gratis Wi-Fi in een openbare gelegenheid.*

 

^{* Ik heb ooit het IP-adres van een Openbare Bibliotheek in een Twentse stad geblokkeerd omdat een cracker daar met SQL-injectie aan een van mijn sites zat te rammelen. Daarop verhuisde hij de volgende dag naar een andere bibliotheek, maar staakte zijn pogingen toen ik ook dat IP-adres blokkeerde. Het signaal was toen denk ik wel duidelijk: ik heb je in de smiezen vriend.}

[Hans van den Bergh]

Ik heb een standaard antwoord gemaakt, en daarmee een stuk of zes van die mails met een gmail account beantwoord met de readnotify extensie (dank Ralph), één daarvan (de laatste die ik ontving, maar die ik het eerste heb beantwoord) is inmiddels door readnotify terug gemeld:

 

'Tracking Details

Opened 2016/05/25 , 10:43:52am (UTC +02:00) - 2sec after sending

Location Brussels, Belgium (43% likelihood)

 

Summary - as at 2016/05/25 , 10:44:10am (UTC +02:00) - 20sec after sending

Total Opened 1 time by 1 reader'

 

Dat alleen mijn eerste mailtje wordt geopend en terug gemeld en de daarop volgende niet, zou dat kunnen betekenen dat dezelfde persoon / IP erachter zit en nattigheid voelt?

 

[Branko Collin]

Als het om één mailtje was gegaan, dan had ik vermoed dat het om een concurrent ging die naar prijzen en voorwaarden vist.

 

Bij meerdere mailtjes zie ik het nut er niet van in. Je bezig houden?

 

Die terugkerende spatie voor het leesteken intrigeert. Fransen spellen zo, maar in NL zie je dat vrijwel nooit gebeuren. De kans dat meerdere mensen op exact dezelfde manier verkeerd spellen, lijkt me bijzonder klein.

[Hans van den Bergh]

De kans dat een Franstalige in Brussel zit, is wel groot...

[Ward van der Put]

Houd wel rekening met de beperkte nauwkeurigheid "43% likelihood": België is in Brussel aangesloten op de backbone van internet. Veel Nederlanders zitten om die reden volgens trackers in Amsterdam. Volgens sommige trackers woon ik zelf al jaren in een datacenter van KPN. ;D

[Highio]

Ralph spreekt ook van IP-adres. Heb je dit ook proberen te tracken? Of wat biedt dit als verdere informatie?

 

Groet,

 

Highio

[Hans van den Bergh]

Geen IP idd. Maar misschien heeft mijn golf van standaard antwoord mailtjes wel iets bereikt, effe afwachten...

[kuifje]

Interessante speurtocht.

 

Nog enkele suggesties:

 

Brussel... Zitten er Belgicismen in de tekst, of is het 'Hollands' Nederlands? Zijn het Belgische namen, of juist zeer Nederlandse namen. Ken je misschien iemand in die buurt die je een beetje aan het pesten is (een vervelend neefje, een ontevreden klant?)

 

Wat betreft de namen.. Haal ze eens SAMEN door een zoekmachine. Misschien zijn het romanpersonages of zo of is er een andere link tussen. Iemand moet toch die namen verzinnen zonder elke keer op Jan Jansen uit te komen. Misschien haalt die ze uit de uitslagenlijst van de lokale zwemclub?