Betrugsversuche per E-Mail? Wahrscheinlich kennt ihr das alle.

Am 14. November 2024 erhielt ich die folgende E-Mail:

E-Mail von Rocco Loccisano am 14.11.2024

Da kontaktiert also ein Anwalt, Rocco C. Loccisano, mich, weil ich  denselben Nachnamen und dieselbe Staatsangehörigkeit wie ein verstorbener Mandant, Stefan Sevke, teilt. Dieser hatte eine unbeanspruchte Lebensversicherung, die bald an den Staat übergehen könnte, falls kein Anspruch erhoben wird. Der Anwalt bittet um Kontaktaufnahme, um die Angelegenheit weiter zu besprechen.

Das Betrugsmodell hinter solchen E-Mails:

Nach Kontaktaufnahme wird der Transfer einer größeren Summe Geld in Aussicht gestellt, der aber erst nach Bezahlung einer höheren Gebühr erfolgen kann. Der Transfer wird nie durchgeführt, die Gebühr ist allerdings weg.

Die E-Mail von Mr. Rocco C. Loccisano

Die E-Mail sieht erst einmal ganz normal aus. Mal abgesehen davon, dass sich Rocco im ersten Satz als „Anwältin“ vorstellt, also als eine Frau. Dies kann man aber als Übersetzungsungenauigkeit gelten lassen.

Der Text selber ist in sehr gutem Deutsch geschrieben.

Als nöchstes habe ich einen Blick auf die Kopfzeilen geworfen:

Delivery-date: Thu, 14 Nov 2024 22:31:25 +0100
Received: from [80.67.18.104] (helo=mx07.ispgateway.de)
by mailcluster2-1.ispgateway.de with esmtps (TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.98)
(envelope-from <info@rocollocissanoslawsofice.com>)
id 1tBhQz-000000000VL-0705;
Thu, 14 Nov 2024 22:31:25 +0100
Return-path: <info@rocollocissanoslawsofice.com>
X-Envelope-to: sven.sevke@sevke.net
Received: from [82.118.22.201] (helo=WIN-JI9CRF973E5.home)
by mx07.ispgateway.de with esmtps (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
(Exim 4.98)
(envelope-from <info@rocollocissanoslawsofice.com>)
id 1tBhQy-000000007HJ-1yGa
for sven.sevke@sevke.net;
Thu, 14 Nov 2024 22:31:24 +0100
DKIM-Signature: v=1; c=relaxed/relaxed; h=reply-to:from:to:subject:date:message-id:mime-version:content-type:content-transfer-encoding;
d=rocollocissanoslawsofice.com; s=default; a=rsa-sha256;
bh=mHzc7HXLeid6w/ev4yn4/mg67x8vvQj72UtHGTT7n48=;
b=31eG39s/CIHnDpEozLFmOih18JnsQcsu62+c552A/+cEqT2AuYTzqlx9cQbH2c1js
MWKWJKisrKThuJtXFh7ZI2ac+vnziO6ves+3NtqGgT2M7ZFihBBaSeySmY+vJlbj/0B
a+RL0+mGdEe9ckJVfFsyPbSVfSQ3B3XCIVv9d21D6Cr7Q8mwrfMd+leTSx1nfdDF41Z
ONU6Tly8xf3kPoeqPa5Sszbg9W9vBdzX+C0FabdAQAaLhWdDI8X3U6tlX/oUIfocMmk
EUVdKyweuqFVl+Dr5kMpMioFgz7zOP2tXSuHWA4Ks55GqhNaEez33Tgm41BVmfv6JaX
pl2dsKh1w==;
Received: from rocollocissanoslawsofice.com ([195.14.123.17]) by home with
MailEnable ESMTPSA (version=TLS1_2 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384); Sun, 10 Nov 2024 05:45:56 -0800
Reply-To: „Rocco Loccisano LLP“ <info@roccollocisanolawofice.com>
From: „Rocco Loccisano LLP“ <info@rocollocissanoslawsofice.com>
To: „Sven Sevke“ <sven.sevke@sevke.net>
Subject: REF: POD/10806588-POLICY/49-DE to Sven Sevke
Date: 10 Nov 2024 13:45:55 +0000
Message-ID: <20241110134555.F0E48D40C2A8D622@rocollocissanoslawsofice.com>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Received-SPF: pass ( mx07.ispgateway.de: domain of rocollocissanoslawsofice.com designates 82.118.22.201 as permitted sender )
X-DKIM: DKIM passed: (address=info@rocollocissanoslawsofice.com domain=rocollocissanoslawsofice.com), signature is good.
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
spamfilter22.ispgateway.de
X-Spam-Level:
X-Spam-Status: No, hits=0.0 required=9999.0 tests=none autolearn=disabled
version=3.4.0
X-Spam-CMAETAG: v=2.4 cv=ZJp0mm7b c=1 sm=1 tr=0 ts=67366c2c
a=XUgQjQkR1knwgl837asaog==:17 a=VlfZXiiP6vEA:10 a=Z5pDgKRk-zgA:10
a=tjRVynacAAAA:8 a=2NVi-ldNxdOqlN3t4TIA:9 a=_W_S_7VecoQA:10
a=lqcHg5cX4UMA:10 a=IpxxOXYSjTpsrQ_bNiHn:22 a=taPlmxxankwPL8_ppRjc:22
a=6agqIlNAt2dh2Umj0gsx:22
X-Spam-CMAECATEGORY:
X-Spam-CMAESUBCATEGORY:
X-Spam-CMAESCORE:

Auf den ersten Blick sieht das aus meiner Sicht alles sauber aus.

Die E-Mail ist mit DKIM signiert.

Auch der SPF-Check zeigt nichts Auffälliges.

An der E-Mail Domäne ist ebenfalls erst einmal nichts auszusetzen. Hier wird allerdings durchgehend die Domäne „rocollocissanoslawsofice.com“ verwendet außer für die Reply-To Adresse. Dort ist „roccollocisanolawofice.com“ angegeben. Reply-To enthält die E-Mail Adresse, die automatisch als Empfänger verwendet wird, wenn man auf die E-Mail antwortet. Beide Domänen entsprechen nicht dem angegebenen Namen „Rocco Loccisano LLP“.

Ich habe dann auch noch ChatGPT befragt und folgende Antwort erhalten:

Bewertung der Kopfzeilen und Prüfung auf mögliche Anzeichen eines Betrugs:

  1. Absender-Adresse:
    • Die angegebene Absenderadresse lautet info@rocollocissanoslawsofice.com. Der Domainname enthält einen Rechtschreibfehler: „rocollocissanoslawsofice.com“ anstelle von „roccoloccisanolawoffice.com“. Dies ist ein häufiger Trick bei Phishing-Attacken, um den Anschein einer echten Domain zu erwecken.
  2. Rückwegadresse (Return-Path):
    • Der Return-Path stimmt mit der Absenderadresse überein, was standardmäßig korrekt ist. Aber da die Domain verdächtig ist, bleibt dies ein Warnzeichen.
  3. DKIM-Signatur:
    • Die DKIM-Signatur wird als gültig angegeben (DKIM passed), was bedeutet, dass die Nachricht technisch von der angegebenen Domain stammt. Allerdings garantiert dies nicht die Authentizität, wenn die Domain selbst betrügerisch ist.
  4. SPF-Check:
    • Der SPF-Check wurde bestanden, was darauf hinweist, dass der Absenderserver berechtigt ist, E-Mails für diese Domain zu versenden. Aber auch hier gilt: Wenn die Domain gefälscht ist, ist dies kein verlässlicher Beweis für Echtheit.
  5. Inhaltliche Prüfung der Kopfzeilen:
    • Domain-IPs: Die Nachricht wurde von einer IP-Adresse versendet (82.118.22.201), die nicht zu einem bekannten Anwaltskanzlei-Server gehört. Außerdem verweist eine andere IP (195.14.123.17) auf einen generischen Mailserver, was untypisch für professionelle Kanzleien ist.
    • Domain-Registrierung: Die verwendete Domain rocollocissanoslawsofice.com wirkt neu und könnte speziell für diese Betrugsaktion erstellt worden sein.
  6. Mögliche Anzeichen für Betrug:
    • Rechtschreibfehler in der Domain: Dies ist ein häufiges Merkmal von Phishing-Versuchen.
    • Generische Sprache im E-Mail-Text: Die Nachricht enthält keine spezifischen Informationen, die nur der Empfänger wissen könnte (z. B. eindeutige Details zu Stefan Sevke oder der Versicherung).
    • Dringlichkeit: Es wird subtil Druck ausgeübt, schnell zu reagieren, ein klassisches Phishing-Merkmal.
    • Technische Details: Die E-Mail scheint von einem generischen Mailserver und nicht von einer etablierten Kanzlei verschickt worden zu sein.

Fazit:

Es gibt mehrere Anzeichen dafür, dass diese E-Mail ein Betrugsversuch ist, insbesondere die Rechtschreibfehler in der Domain, der generische Inhalt und die untypischen technischen Details. Es wird empfohlen, nicht zu antworten und die Nachricht zu löschen oder zu melden.

 

Die Website

Von einer Anwaltskanzlei kann man eine brauchbare Website erwarten.

Prüfen wir also die beiden Domänen.

rocollocissanoslawsofice.com

Diese Website wird vom Browser als Sicherheitsrisiko eingestuft, weil das Zertifikat nicht gültig ist.

Screenshot des ungültigen Zertifikats für https://rocollocissanoslawsofice.com/
Screenshot des ungültigen Zertifikats für https://rocollocissanoslawsofice.com/

Das sieht gar nicht gut aus.

Werfen wir mal einen Blick auf den WHOIS-Eintrag:

WHOIS-Eintrag der Domäne rocollocissanoslawsofice.com

Die Domäne ist brandneu. Das ist für eine etablierte Anwaltskanzlei mehr als ungewöhnlich.

WHOIS-Eintrag der Domäne rocollocissanoslawsofice.com - hier der Registrierungskontakt

Ganz offensichtlich wurde die Domäne nicht in Toronto, Kanada registriert, sondern in Island.

WHOIS-Eintrag der Domäne rocollocissanoslawsofice.com - hier der administrative Kontakt
WHOIS-Eintrag der Domäne rocollocissanoslawsofice.com - hier der technische Kontakt

Abschließend alle verfügbaren Daten im Rohformat der Datenbank:

Raw Whois Data

Domain name: rocollocissanoslawsofice.com
Registry Domain ID: 2932785330_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 0001-01-01T00:00:00.00Z
Creation Date: 2024-11-09T09:21:36.00Z
Registrar Registration Expiration Date: 2025-11-09T09:21:36.00Z
Registrar: NAMECHEAP INC
Registrar IANA ID: 1068
Registrar Abuse Contact Email: @namecheap.com
Registrar Abuse Contact Phone: +1.9854014545
Reseller: NAMECHEAP INC
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID:
Registrant Name: Redacted for Privacy
Registrant Organization: Privacy service provided by Withheld for Privacy ehf
Registrant Street: Kalkofnsvegur 2
Registrant City: Reykjavik
Registrant State/Province: Capital Region
Registrant Postal Code: 101
Registrant Country: IS
Registrant Phone: +354.4212434
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: @withheldforprivacy.com
Registry Admin ID:
Admin Name: Redacted for Privacy
Admin Organization: Privacy service provided by Withheld for Privacy ehf
Admin Street: Kalkofnsvegur 2
Admin City: Reykjavik
Admin State/Province: Capital Region
Admin Postal Code: 101
Admin Country: IS
Admin Phone: +354.4212434
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: @withheldforprivacy.com
Registry Tech ID:
Tech Name: Redacted for Privacy
Tech Organization: Privacy service provided by Withheld for Privacy ehf
Tech Street: Kalkofnsvegur 2
Tech City: Reykjavik
Tech State/Province: Capital Region
Tech Postal Code: 101
Tech Country: IS
Tech Phone: +354.4212434
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: @withheldforprivacy.com
Name Server: dns1.registrar-servers.com
Name Server: dns2.registrar-servers.com
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2025-01-01T16:16:37.41Z <<<

Tatsächlich ist die Adresse Kalkofnsvegur 2 in Reykjavik durchaus bekannt. Hier nur kurz der Header von der New York Times (der Artikel selbst befindet sich hinter einer PayWall):

Header der New York Times zu einem Artikel über die Adresse Kalkofnsvegur 2 in Reykjavik

Sucht gerne im Internet nach weiteren Hinweisen zu dieser Adresse: Kalkofnsvegur 2 in Reykjavik.

Lässt man das HTTPS-Protokoll bei der Webadresse weg (also http://rocollocissanoslawsofice.com), so bekommt man immerhin die Startseite einer noch zu realisierenden Website:

Rudimentäre Website http://rocollocissanoslawsofice.com

Dies ist ebenfalls ein Hinweis darauf, dass die Website mit der heißen Nadel gestrickt wurde. Üblicherweise wird eine HTTP-Seite immer auf die HTTPS-Seite weitergeleitet.

Man kann sicher noch eine Menge mehr über diese Domäne recherchieren, aber ich belasse es dabei und wende mich nun der zweiten Domäne zu:

roccollocisanolawofice.com

Das ist die Reply-To Domäne der E-Mail.

Screenshot der Fehlermeldung, dass die Domäne roccollocisanolawofice.com nicht existiert.

Da die Domäne gar nicht registriert ist, funktioniert natürlich auch ein Aufruf über HTTP (ohne S) nicht.

Und einen WHOIS-Eintrag finde ich ebenfalls nicht.

roccoloccisanolawoffice.com

Was ich aber durchaus finde, ist eine Website mit der Domäne roccoloccisanolawoffice.com

Startseite der Website roccoloccisanolawoffice.com

Habe ich also jetzt endlich eine richtige Anwaltskanzlei in Toronto gefunden?

Nein, leider auch nicht!

Das beginnt schon mit den Social Media Links ganz oben links auf der Seite. Die verweisen nämlich gar nicht auf Profile der Kanzlei, sondern schlicht und ergreifend auf die jeweilige Startseite des Dienstes. Das lässt sehr deutlich darauf schließen, dass die Website nicht produktiv genutzt wird.

Social Media Links von roccoloccisanolawoffice.com

Und natürlich ist auch diese Domäne sehr neu und in Reykjavik registriert.

WHOIS-Eintrag der Domäne roccoloccisanolawoffice.com
WHOIS-Eintrag der Domäne roccoloccisanolawoffice.com - hier der Registrierungskontakt

Auf der Website gibt es immerhin die folgenden Kontaktdaten:

Kontaktdaten von roccoloccisanolawoffice.com

Von Toronto steht da allerdings nichts. Ein Impressum fehlt natürlich. Aber es gibt eine eigene Kontaktseite mit einer Map, einem Kontaktformular und noch einmal eine Kontaktanschrift:

Kontaktdaten von roccoloccisanolawoffice.com

Die Website ist grundsätzlich ordentlich gemacht, bleibt aber immer oberflächlich. Echte Inhalte sind nicht zu finden. Es gibt sogar eine Privacy Police (Datenschutzerklärung) und Terms&Conditions (AGB).

Wenn man also nur mal kurz auf der Website vorbeischaut, kann man sich durchaus vom ersten Eindruck täuschen lassen und die Website für seriös halten.

Nun wird es Zeit, dass wir uns den Standort der Kanzleich auf Google Maps ansehen.

Rocco Loccisano LLP auf Google Maps

Auf der Website gibt es (möglicherweise) ein Foto des Kanzleigebäudes: https://www.roccoloccisanolawoffice.com/wp-content/uploads/2021/02/courthouse-cherry-blossoms.jpg

Kanzleigebäude von Rocco Loccisano

Wenn man ganz genau hinsieht, erkennt man über den Säulen den Schriftzug „Vernon Law Courts“. Es handelt sich also um ein Gerichtsgebäude, und zwar mit der Adresse „3001 – 27th Street in Vernon BC V1T 4W5“, Immerhin liegt das in Kanada.

Hier noch ein paar links zu weiteren Bildern des Gebäudes:

https://www.castanet.net/news/Vernon/486072/Vernon-man-26-guilty-of-sexually-exploiting-teen

Foto des Vernon Law Courts
Foto des Vernon Law Courts
Foto des Vernon Law Courts

Bei dem Foto auf der Website von Rocco Loccisano handelt es sich also ganz eindeutig um ein Gerichtsgebäude, aber nicht um das Gebäude der Kanzlei. Immerhin passt es thematisch zusammen. Und das Gebäude macht ja optisch auch etwas her.

Dann wollen wir uns auf Google Maps doch mal ansehen, was bei der angegebenen Adresse zu finden ist:

1199 The Queensway,
Etobicoke, Ontario M8Z 1R7, Canada

Tatsächlich finden wir an der angegebenen Stelle ebenfalls das Foto eines Gebäudes:

Das Gebäude an der Adresse von Rocco Loccisano in Toronto

Es handelt sich also wohl um eine Anwaltskanzlei, allerdings von einer anderen Firma.

Hier das Gebäude noch einmal aus der Nähe:

Büro von Rocco Loccisano in Toronto

Die Kanzlei „Charles N. Barhydt“ verfügt ebenfalls über eine simple Website auf http://www.barhydtcriminallaw.com/. Aber damit werde ich mich hier nicht weiter beschäftigen.

Die Anwälte bei Rocco Loccisano LLP

Kann man denn wenigstens valide Informationen über die Anwälte der Kanzlei Rocco Loccisano LLP finden?

Auf der Website sind die folgenden Anwälte gelistet:

  • Rocco C. Loccisano
  • Frank Hills
  • Mary Blackwood

Fotos der Personen gibt es jedoch keine.

Die E-Mail, die ich von der Kanzlei erhalten hatte, stammt mutmaßlich vom Chef selbst.

Was sagt denn Google zu dem Namen Rocco C. Loccisano?

Tatsächlich kann ich einen Eintrag in der Canadian Law List finden:

Peronseneintrag zu Rocco Loccisano in der Canadian Law List

Ob es sich um einen seriösen Eintrag handelt, ist schwer abzuschätzen. Neue Einträge lassen sich anscheinend über ein Webformular schnell selber erstellen.

Auffällig ist die E-Mail Adresse, die nicht einer eigenen Domäne, sondern Google Mail zugeordnet ist. Telefonnummer und Fax-Nummer stimmen nicht mit denen überein, die auf der Website beim Kontaktformular angegeben sind.

Möglicherweise gibt es also tatsächlich einen Rocco C. Loccisano an der angegebenen Adresse, dessen Identität wurde aber von den Betrügern gestohlen, die mir die besagte E-Mail zugeschickt haben.

Im Internet findet man den Namen Rocco Loccisano recht häufig, mit einem C. als Mittelnamen deutlich seltener.

Porträtfoto von Rocco Loccisano

Ein Foto von einem Anwalt mit dem Namen Rocco Loccisano habe ich auf der Webseite Clearway gefunden.

Dort ist als Adresse auch wieder die Kanzlei in Toronto angegeben. Das würde also durchaus zusammenpassen.

Versuchen wir also mal eine Bild-Rückwärtssuche in Google.

Ergebnisse einer Bild-Rückwärtssuche zum Porträtfoto von Rocco Loccisano
Lach-Smiley

Nun gut, zu dem Bild gibt es eine ganze Reihe von Anwälten mit unterschiedlichen Namen.

Allerdings muss man bei den Ergebnissen der Rückwärtssuche vorsichtig sein. Es werden zwar Bilder gefunden, die müssen aber nicht zu dem ausgegebenen Text gehören. Beides befindet sich zunächst nur auf derselben Webseite.

Machen wir also ein paar Stichproben. Ein Klick auf das Bild bringt euch zur Quelle … solange die noch existiert.

Kontaktprofil von Shawn Snider
Kontaktprofil von John Hospodar
Kontaktprofil von Shawn Snider
Kontaktprofil von Muhammad Chaudhry

Es gibt auf der Website ClearWay Law noch eine Menge weiterer Namen mit demselben Foto.

Die Ergebnisse auf der Website ClearWay Law kann man also getrost in der Pfeife rauchen.

Zu den beiden anderen oben genannten Anwälten habe ich mir Recherchen erspart.

Was sagt Scam-Adviser zu der Website von Rocco Loccisano LLP?

Im Internet gibt es eine Vielzahl von Diensten, die versuchen, eine Webiste auf ihre Seriösität hin zu überprüfen.

Exemplarisch lasse ich die Website von Rocco Loccisano mal von Scam-Advisor prüfen.

Die Antwort findet ihr auf https://www.scamadviser.com/check-website/www.roccoloccisanolawoffice.com

Screenshot des Trust Scores von Scamadviser

Der Scam-Adviser bietet Benutzern die Möglichkeit, eigene Bewertungen zu schreiben. Da die Domäne noch nicht lange online ist, darf man nicht zuviel erwarten. Es gibt aktuell lediglich eine Bewertung:

Screenshot eines User-Reviews zu Rocco Locccisano

Das bestätigt meinen bisherigen Eindruck.

Scam-Adviser liefert zusätzlich noch einen etwas ausführlicheren (technischen) Bericht:

Screenshot des Trust Reviews von Scamadviser

Antwort auf die E-Mail

Halten wir fest: bei der E-Mail ganz am Anfang dieses Artikels handelt es sich mit Sicherheit um einen Betrugsversuch.

Die E-Mail hatte ich bereits am 14.11.2024 ewrhalten. Inzwischen sind ein paar Tage vergangen …

Es wird Zeit, auf die E-Mail zu antwirten und mal zu schauen, was als Antwort zurückkommt.

Hier seht ihr meine Antwort an Rocco Loccisano:

Screenshot der E-Mail an Rocco Loccisano