Professionelles Phishing – Eigene Erfahrungen

Professionelles Phishing – Eigene Erfahrungen

Phishing Attacken sind nach wie vor ein grosses Thema: Entsprechende Mails werden etwa im Namen von Postfinance, Credit Suisse oder anderen Banken verschickt. Dann gibt es das angeblich wartende Paket von der Post oder DHL, man möge sich bitte einloggen und eine Transaktion überprüfen.

Dazu kommen schädliche Vorgänge, wo es die Betrüger auf Inhaber von Betrieben abgesehen haben. Mal geht es um eine angebliche Nachfolge-Lösung, mal will jemand «massiv investieren», um mit den «innovativen Produkten» den Markt aggressiv anzugehen für mehr Umsatz und Gewinn.

Nicht selten beziehen sich die Angreifer auf vorhandene Publikationen in KMU- oder Finanzportalen, wo ein Patron sich tatsächlich um eine Nachfolge-Regelung bemüht oder Kapital sucht. So auch bei uns. Einerseits waren wir bei Credit Suisse Opportunty-Net ausgeschrieben und zusätzlich auf einem bekannten Finanzportal. Darauf hat man sich im spezifischen Fall auch bezogen:

Hager initail contact

Die Webseiten solcher Preller sind sehr professionell gemacht, und nur dem geschulten Auge fällt auf, dass da und dort etwas verbockt wurde, sei es grammatikalisch oder visuell oder Links, die ins Nirvana führen. Oftmals treten die perfekt Deutsch sprechenden «Investoren» auch in Online-Meetings auf, schicken Vorverträge, schalten dann aber Ihren «HeadHunter» dazwischen, welcher noch mit einer Vermittlungsprovision von CHF 200'000 (je nach Investitionssumme variabel, nicht selten 10 bis 12 Prozent) bezahlt werden. Und das am liebsten mit Bitcoin. Man nennt das im Investment-Bereich «Retainer».

Wir bei iQcom hatten diesesmal bei einem dieser «Investoren» auf die Spitze getrieben, haben dann einen slowenische Identitätskarte passend zum Vertrag bekommen, der Herr Ludwig Heinemann war tatsächlich in diversen Handelsregistern in London und Slowenien als alleiniger Gesellschafter gelistet, aber man sah auch die Kapital-Abflüsse kurz nach der Gründung. Die Webseite hatte marginale Fehler in Wording, Darstellung und Verlinkung, auch mit den Portfolio-Referenzen.

Auszug aus dem Mezzaine-Vertrag
Personalausweis Heinemann

Gelistete Referenzobjekte für getätigte Investments im Immobilienbereich in Berg/Ski-Gebieten sowie Hotel-Residenzen liessen sich nicht überprüfen, da es zwar die Fotos gab, die Objekte oder Gesellschaften dahinter aber andere Namen hatten. Bei einem Hotelkomplex für luxuriöse «Zweitwohnungen» in einem unbekannten österreichischen Ski-Gebiet hat zwar jemand das Telefon abgenommen, der Inhaber wusste aber nichts von diesen Investoren. (Google Street View hat geholfen)

Involviert in einige der Mails war auch eine Firma: Sop-Invest SARL in Belgien, es war jene von Herr Kahn.
Nachdem zwei angesetzte Treffen bei uns in der Firma aus irgendwelchen Gründen nicht realisierbar waren, obwohl sie kurz zuvor noch bestätigt worden waren, wollten wir die Sache eigentlich schon zu den Akten legen. Aber es kommt öfters anders, und zweitens als man denkt.

Man rief uns an, und sagte, man wolle die verstrichene Zeit irgendwie wettmachen und gleich zum Punkt kommen, dass sie sich wirklich dafür entschieden hätten, bei uns zu investieren und man sich daher baldmöglichst treffen wolle, um die Sache zu beschleunigen. Sie kämen zu uns nach Kerns.

Die ursprünglich von iQcom ausgeschriebene Laufzeit von 3–5 Jahren war jedoch nicht akzeptabel für die Immofinanzinvest s.r.o. Sie strebten mindestens 7–10 Jahre an, mit der Begründung, dass Sie profitorientiert gerne langfristig investierten, und schlugen auch einen tieferen Zinssatz von 5% vor.

Als Treffpunkt schlugen sie ein Hotel in der Nähe vor, wo wir dann auch gleich die Kommission für Herr Kahn, die 200'000 Franken in einem Koffer mitbringen sollen, wiederholten noch einmal, dass ihnen am liebsten Bitcoin wäre, weil es für alle Beteiligten sicherer sei. Alternativ gerne auch eine Banküberweisung.

Wir trieben die Sache auf die Spitze, schalteten einen Anwalt ein, welcher dann ein Aktenköfferlein bereithielt, mit CHF 200'000. Die Kanzlei war über unsere Einschätzung informiert und sie haben mitgemacht. Wir informierten sogar das FedPol und den NDB, und boten ihnen an, die Hintermänner solcher ominösen Transaktionen In flagranti dingfest machen zu können. Wir übermittelten ziemlich viele Informationen als Zusammenfassung in einer Sprachnachricht zum Case.

Von keinem der beiden Dienste gab es eine Rückmeldung. Also schritten wir alleine voran. Wir bereiteten alles vor, damit die slowenische Firma «Immofinanzinvest s.r.o» bei der iQcom in deren Energie-Sparte 2 Millionen Franken investieren kann. CHF 200'000.-, in einem Koffer beim Anwalt deponiert und zur notariellen Beglaubigung mit Mittagessen eingeladen.

Sie stiegen darauf ein. Also kümmerten wir uns kichernd um die Verträge. Vier Tage vor dem Termin kam eine E-Mail, ob die Dame von einer Bank in Lugano (UBS AG) mit cc in der Mail, Herrn Kahn an diesem Termin vertreten dürfte, da Herr Kahn, als Begünstigter, länger als geplant in Dubai bleibe. Natürlich hätten sie das Treffen am liebsten in einem Hotel stattfinden lassen, wo man dann die 200'000 gerne (am besten ohne Aufsicht) von Hand gezählt hätte. Wir haben natürlich aus verständlichen Gründen einen Termin in der Kanzlei unter «anwaltlicher Aufsicht» mit der Dame als Vertretung für Herrn Kahn vorgeschlagen, das wäre auch die Gelegenheit sich persönlich kennen zu lernen und auch die Marktmöglichkeiten in Slowenien zu besprechen. Das wiederum fand Zustimmung.

Die UBS-Dame schrieb dann auch tatsächlich zurück, dass sie zwar vor Ort bestätigen könne, dass die zu zahlende Summe vorliegt, sie aber keine rechtliche Vertretung im Namen der Investoren sei, natürlich Herrn Kahn kenne, und dass man dies allenfalls mit einer Vollmacht zusätzlich regeln müsse. Unsere Kanzlei sagte dann am Telefon, dass die Vollmacht von der anderen Partei organisiert werden müsse, was wir so den «Mitwirkenden» mitteilten.

Unsere Taktik war, dass die Dame, wie vereinbart, in der Kanzlei abwarten darf, bis die SWIFT Transaktion von 2 Mio CHF auf unserem Konto durch unsere Bank bestätigt wird, und sie danach mit den CHF 200'000 Vermittlungsgebühr für den ehrwürdigen Herr Kahn, der auch heute noch sein «Unwesen» treibt, gegen Unterschrift und mit notarieller Urkunde nach Hause nehmen kann, für Ihren «Kunden».

Das Konstrukt sah nun so aus:

Für die Immofinanz Invest s.r.o,:

  • Gesellschafter Herr Ludwig Heinemann
  • Geschäftsführer Herr Felix Hager

Der gute Headhunter und sein Buchhalter

  • Herr Kahn, der Mann mit dem feinen Näschen für lukrative Anlagen (Empfänger des Retainers von CH 200'000 Franken)
  • Herr Abdabi, der Buchhalter von Herr Kahn, der schaut, dass die Verträge und das Finanzielle auch zu stimmen kommt
  • Plus die UBS-Kundenberaterin einer Filiale in Lugano.

Gott, wie haben wir uns auf diesen Termin gefreut! Aber natürlich wussten wir, das dies nie passieren würde.

Einen Tag vor dem Termin bei der Kanzlei, erreichte uns ein Anruf vom liebenswürdigen CEO der Immofinanz Invest s.r.o, Herr Hager, dass er seit gestern morgen flach im Bett liege und sein Arzt ihm Corona attestiert hätte. Statt dass die Dame allein zum Termin fahre, schlug er ein persönliches Treffen in Mailand, Italien vor, nach seiner Genesung, da es von Slowenien näher zu erreichen sei, und der Herr Kahn nächste Woche bestimmt zurück sein würde aus Dubai und er bis dahin auch bestimmt wieder fit sei.

Wir schlugen ein. Und das war der Punkt, wo wir die Sache einem FedPol Mitarbeiter und einem NDB Mitarbeiter zugetragen haben. Wir erwähnten auch, dass der Name «Kahn» in einem aktuellen Betrugsfall, bei einem bekannten Hotelier in Luzern – welcher durch die Corona-Zeit gebeutelt wurde und erst kurz davor noch eine teure Sanierung seines Hotels durchgezogen hatte – Opfer von diesem Herr Kahn und dem Herr Hager geworden sei. Deliktsumme: ebenfalls 200'000 Franken. Es gab keine Rückmeldungen dazu, weder durch FedPol noch durch den NDB.

Kontakt mit NDB

Wir haben es dann trotzdem gemacht, und unser lieber Guido fuhr ab Basel mit dem Schnellzug nach Mailand, an ein Treffen mit Herr Kahn und Herr Hager, Das Gespräch wurde aufgenommen. Natürlich war Herr Kahn alleine zum Treffen gekommen in Mailand, weil der Herr Hager noch nicht genesen sei von seiner Corona-Erkrankung.

Während des Treffens versuchte Herr Kahn mehrfach, Guido dazu zu bringen, ihm das Geld in Bitcoin zu überweisen. Dann hätte sich die Sache für ihn erledigt. Er könne das gerne an Ort und Stelle tun und schob Guido eine Visitenkarte mit seinem Bitcoin-QR-Code über den Tisch.

Guido verneinte natürlich, bot aber an, den Termin nach der Genesung von Herrn Hager in der Kanzlei neu anzusetzen. Ferner liess er Herrn Kahn auch wissen, dass wir es eigentlich auch gar nicht so eilig haben, dies abzuwickeln, da wir auch im Credit Suisse Opportunity Net gelistet wurden, und sich auch institutionelle Anbieter Interesse bekundet hätten.

Ein weiteres Treffen hat nie stattgefunden. Zwar gab es Bemühungen seitens der «Investoren», aber für uns war von Anfang an klar, dass es sich um Scam handelt. Wir hatten uns auf das Spiel eingelassen, um mehr über die Machenschaften und Hintermänner zu erfahren. In den E-Mails tauchte dann und wann auch der Name eines Herrn Abdabi auf, angeblich der Buchhalter von Herr Kahn.

Kommuniziert wurde ausschliesslich via VoIP-Nummern, die dann und wann auch inaktiv waren, sowie Whatsapp und E-Mail. In den Mails wurde gerne auf einen Call eingeladen, Irgendwann entschied Herr Hager, sich rauszunehmen, bis der Retainer mit Herr Kahn geregelt sei. Die IP-Adressen waren mal aus Österreich, mal aus Slowenien, mal aus Italien und mal aus den Seychellen. Herr Kahn hingegen nutzte ausschliesslich Whatsapp. Auf Mails antwortete er nie.

Allein schon dieses Muster müsste bei jedem die Alarmglocken klingeln lassen.

Man muss aber klar festhalten, dass das Vorgehen, die Aufmachung derart professionell daherkommt, dass es einem normalen Geschäftsmann gar nicht ins Auge stechen würde. Und schlussendlich holen solche Kriminellen die Opfer in den Tugenden der Not, Gier und der Lust gezielt ab.

Für uns war es ein nicht unbeträchtlicher Aufwand, den wir uns als Spass gönnten. Der Sache ein wenig auf die Spur zu kommen, wie so etwas abläuft.

Nachdem es irgendwie nicht geklappt hat mit diversen Terminfindungen, meldete sich der Geschäftsführer, Felix Hager nochmals per E-Mail und Telefon, um sich über diese unglücklichen Umstände zu beklagen, und dass man, da wir ja nicht Bitcoin-affin seien, die Sache alternativ auch mit einer Bankgarantie die quasi unwiderruflich auf die Immofinanz Invest s.r.o, hinterlegt werden soll, abwickeln könne. Da spielte unsere Bank trotz aller guten Beziehungen aber nicht mit.

Gleichwohl liessen wir die Herren wissen, dass wir das mit der Bankgarantie machen könnten, bei einer Genossenschaft Bank, und ihre Begünstigten-Bank dann zehn Tage Zeit habe, die Formalitäten abzuwickeln. Allerdings bestanden wir darauf, dass die Kosten hierfür geteilt werden, je hälftig. Herr Hager meinte dann, über die Kosten könnten wir bei einem Nachtesssen diskutieren, da würden wir uns sicher einig, und er kläre das Ganze jetzt mit Herr Kahn ab, und gebe uns tags darauf telefonisch Bescheid.

Nachdem wir acht Tage nichts hörten, versuchte ich Herrn Hager telefonisch zu erreichen. Kein Anschluss unter dieser Nummer. Ich liess ihm dies dann per E-Mail zukommen, und orientierte ihn, das etwas falsch konfiguriert sei mit seinem VoIP-Anschluss (als System-Architekt einer VoIP-Firma) und spielte den Naiven. Er rief zurück und sagte, er hätte ein sehr langes Gespräch mit Herrn Kahn geführt, und es sei eine Patt-Situation. Er habe die Schnauze gestrichen voll von diesem ständigen Hin und Her. Entweder Bitcoin für ihn, oder er lasse es bleiben. Und das gehe ihm persönlich, als Geschäftsführer der Immofinanz Invest s.r.o,, auf den Sack, weil das mit der Bankgarantie doch eine saubere Sache sei. Er werde versuchen, Herrn Kahn zu besänftigen und melde sich dann wieder...

Nach weiteren zwei Wochen wurde die Homepage gelöscht, die E-Mails liefen ins Leere und das Whatsapp-Konto war auch gelöscht, dasselbe mit dem Telegram-Konto. Unter der Telefonnummer war ebenfalls niemand mehr erreichbar. Nach weiteren vier Monaten, tauchten die Nummer sowohl auf Whatsapp als auch bei Telegram wieder auf, und der Autor dieser Zeilen hatte Spass daran, dem Herr Kahn von einer Mobilnummer aus dem mittleren Osten zu schreiben, man hätte sich ja letzten Frühling kennengelernt, und wegen dem Investment Projekt (ein anderes Fantasie Objekt im Immobilien Bereich, und auf die Anrede: «Hello Mr. Kahn, how are you? long time no see, here is XY, we got granted all necessary permits to start the building in approx 3 months», kam zurück: «Hi XY, nice to hear that, I am fine thanks. Can you please share more details, I have so many things going on, I lost track... but still interested»

Anmerkungen:

Die Kontakte zu den erwähnten Diensten wurden während des Legal Interception Day 2017 gemacht, wo alle AnbieterInnen von Telekommunikationslösungen im Rahmen der Unterstützung der Strafverfolgungsbehörden bei illegalen Tätigkeiten teilnehmen und sich austauschen. Beachten Sie hierzu auch unseren «Transparency Report». Auffindbar im Footer unserer Webseite.

Vorheriger Artikel Zur Übersicht Nächster Artikel