Autor Thema: Danny Gulliver <gulliver3206@att.net>  (Gelesen 260 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline

  • Newbie
  • *
  • Beiträge: 2
  • I Love Anti-Scam-NL
Danny Gulliver <gulliver3206@att.net>
« am: 19,Okt,2012, 21:53:00 »
Hallo,
dies ist mein erster Beitrag hier im Forum, darum entschuldigt bitte, wenn er inhaltlich noch nicht der üblichen Form entspricht.

Wir betreiben eine kleine Handwerksfirma für Glaskunst und versenden auch ins Ausland. Insofern fanden wird es auch nicht ungewöhnlich, daß ein Danny Gulliver uns im Oktober 2011 anschrieb und Waren von uns kaufen wollte. Allein der Bestellwert von 1700€ war für eine Erstbestellung ungewöhnlich hoch.
Laut Signatur seiner Mail würde er eine Handelsfirma in Italien betreiben:
Zitat
NOVARA TRADING L.L.C.
Corso porta Novara 37
27036,mortara(PV),Italy

Eine Angewohnheit von mir ist es, solche Angaben standardmäßig zu googlen und mir die Adresse bei Google Streetview anzuschauen. Aber was war das: Das Gebäude sieht eher wie ein Abbruchhaus aus, zudem findet Google unter dieser Adresse nur eine Arztpraxis. Eine Firma namens Novara Trading kennt Google gar nicht.

Da schwante uns schon Übles und wir nahmen gedanklich von diesem Geschäft schonmal Abstand. Nunja..wir haben das Spiel trotzdem erstmal mitgespielt, aber natürlich auf Vorkasse bestanden und gleich zur Bedingung gemacht,daß erst dann produziert wird,wenn die Zahlung gutgeschrieben und nicht mehr rückbuchbar ist. Das fand der Herr gar nicht so toll, sondern versprach, in Rücksprache mit seinem Auftraggeber zu gehen.
Nachdem er angeblich die Zusage bekommen hatte,daß dieser damit einverstanden sei und einen Scheck schicken wolle, schickte Danny Gulliver auch gleich die Adresse des angeblichen Empfängers:  Unter den Linden 63-65, 10117 Berlin.  Erst kurz vorher war ich in Berlin und bin just an dem zu dieser Adresse gehörigen Gebäude vorbeigelaufen: die russische Botschaft. Das war dann der endgültige Punkt, wo dann auch das letzte bißchen Glaube an gute Absichten dieses Herrn verschwunden waren. Denn das waren dann zuviele Merkwürdigkeiten:  ein Herr mit englischem Namen, der eine Firma in Italien hat, die nichtmal Google kennt, in einem Haus residiert,wo es außer einer Arztpraxis keine anderen Mieter gibt und der für einen angeblichen deutschen Kunden Ware kauft, welcher sein Domizil "zufällig"  in der russischen Botschaft hat. Ja ne,is` klar.

Daraufhin habe ich dann mal den Header der Mail auseinandergenommen und die IP per Traceroute verfolgt:
Herkunftsland Nigeria. Ahja. 
Nunja, es dürfte klar sein, daß wir natürlich nie irgendeine Art Zahlung erhalten haben. Dafür hat sich dieser Herr Gulliver nach fast genau einem Jahr gemeldet und gefragt,wo denn die Ware bleibt, es wäre dringend.

Hier noch die Header der ersten Mail vom letzten Jahr und der "Erinnerungsmail" von diesem Jahr:

Hier die vom 4.Okbober 2011:


Spoiler
From:       - Tue Oct 04 20:01:31 2011
X-Account-Key:       account6
X-UIDL:       GmailId132cf949950f4745
X-Mozilla-Status:       0011
X-Mozilla-Status2:       00000000
X-Mozilla-Keys:       
Delivered-To:       Firma@goolemail.com]
Received:       by 10.142.178.20 with SMTP id a20cs79019wff; Tue, 4 Oct 2011 08:36:56 -0700 (PDT)
Received:       by 10.236.147.114 with SMTP id s78mr7487403yhj.45.1317742614775; Tue, 04 Oct 2011 08:36:54 -0700 (PDT)
Return-Path:       <gulliver3206@att.net>
Received:       from mi-ob.rzone.de (mi-ob.rzone.de. [81.169.146.144]) by mx.google.com with ESMTPS id c26si8431667fak.6.2011.10.04.08.36.54 (version=TLSv1/SSLv3 cipher=OTHER); Tue, 04 Oct 2011 08:36:54 -0700 (PDT)
Received-SPF:       neutral (google.com: 81.169.146.144 is neither permitted nor denied by best guess record for domain of gulliver3206@att.net) client-ip=81.169.146.144;
Authentication-Results:       mx.google.com; spf=neutral (google.com: 81.169.146.144 is neither permitted nor denied by best guess record for domain of gulliver3206@att.net) smtp.mail=gulliver3206@att.net; dkim=pass header.i=@att.net
X-RZG-FWD-BY:       Firmenmailadresse
Received:       from mailin.rzone.de (voltan mi13) ([unix socket]) by mailin.rzone.de (voltan mi13) (RZmta 26.9) with LMTPA; Tue, 4 Oct 2011 17:36:04 +0200 (MEST)
X-Authentication-Results:       mailin.rzone.de (voltan mi13) (RZmta 26.9) header.From=att.net; dkim=pass
DomainKey-Status:       good From=att.net; verified by mailin.rzone.de (voltan mi13)
X-RZG-CLASS-ID:       mi
Received:       from nm7-vm0.access.bullet.mail.sp2.yahoo.com ([98.139.44.116]) by mailin.rzone.de (voltan mi13) (RZmta 26.9 REPLY) with SMTP id X046a6n94FUA7T for <Firmenmailadresse>; Tue, 4 Oct 2011 17:36:03 +0200 (MEST)
Received:       from [98.139.44.100] by nm7.access.bullet.mail.sp2.yahoo.com with NNFMP; 04 Oct 2011 15:36:02 -0000
Received:       from [98.139.44.85] by tm5.access.bullet.mail.sp2.yahoo.com with NNFMP; 04 Oct 2011 15:36:02 -0000
Received:       from [127.0.0.1] by omp1022.access.mail.sp2.yahoo.com with NNFMP; 04 Oct 2011 15:36:02 -0000
X-Yahoo-Newman-Property:       ymail-3
X-Yahoo-Newman-Id:       187726.27519.bm@omp1022.access.mail.sp2.yahoo.com
Received:       (qmail 8837 invoked by uid 60001); 4 Oct 2011 15:36:01 -0000
DKIM-Signature:       v=1; a=rsa-sha256; c=relaxed/relaxed; d=att.net; s=s1024; t=1317742561; bh=gZtbnukH5envaunwGHpWUF3/uDMib8eswfL54WMtDGc=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:In-Reply-To:MIME-Version:Content-Type; b=kj1A+07qBBVu+OzcHE4PglVj5yN3Q6Rx3LHwmD9imJ/rduc07DN0pUrQGeJwA46a6tPMf6VF9GLC8O1BrciYhE0i5qJ135qt5RM2WwiOkUHuNe4JLwyFNgG4P+t0JqpIN/RNQqcxZvmujXgpEGzTkM3WhNc866JAuipE1WazV6I=
DomainKey-Signature:       a=rsa-sha1; q=dns; c=nofws; s=s1024; d=att.net; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:In-Reply-To:MIME-Version:Content-Type; b=IuArwSLYqoZ03pNpFMGmzZZHcydz3W8DAKc/3uDYonWgwPviTAXimnmmqIm8O7mcBtHqTSwl5NjwG6ClZ74JaKEGtdWruhyTM9/tBMx5Ff5Rt5XiyNwA6IRJmTIsH4UH6oeN4N0XwMgOxjpqAFG5ivkxxv6eGk9HYNAXwHcB0y4=;
X-YMail-OSG:       DcY20BkVM1l6CZW1cHkleYFZRQi.qqqf87DpWcnkXrfwT.B FMspg1lTQvxe1vaUNe14hEV5taq_pF1CoR5Tx2itRLDK60AtY6v3qHMTtkfF r2eMV4finqC.kRmRTKYq8mZWibEPfW6BPHsM4Gcq.YFd8j1NphRZsQDxe5tW cT14.qkcniopSZDXkY_irqiKfrfUHnRUXLb97_ABK0Q4pEAv1YGY1A6ADqJE qlAYEb3d7w249.TEovvMj0qTqOVxTioCOgcSLnCAabSRNQ5D8iC3Y9iF4prT Vtk3j6VFFFPqSVKRYrLrPG2AJfl_YbJn2gdKTWXni8d7Irith1y8aiZSUoQ6 a8jtQ9YUYU8bVA.GNy6L9uq1PV0V2EoSAJimMw7cqWYWFGUwe_pFqFDby_oY vcN4vJgFJUVm3CIDH.RA18fzCo1mzpAGvYxaY79KwcFKx9NTniveuFS8ZeMv oJWz9Dv2GUF1yPkEk8JmPXmBecyUbr4.OBNGQZhHnowiq7DMWPhvQNXNoxd5 ynNby5pgq0wMjcowms3G2
Received:       from [193.33.187.15] by web181616.mail.ne1.yahoo.com via HTTP; Tue, 04 Oct 2011 08:36:01 PDT
X-Mailer:       YahooMailClassic/14.0.7 YahooMailWebService/0.8.114.317681
Message-ID:       <1317742561.2051.YahooMailClassic@web181616.mail.ne1.yahoo.com>
Date:       Tue, 4 Oct 2011 08:36:01 -0700 (PDT)
From:       danny gulliver <gulliver3206@att.net>

Und hier nun der Header der "Erinnerungsmail" vom 1.Oktober 2012:

Spoiler
-- Original-Nachricht --------
From:       - Tue Oct 04 20:01:31 2011
X-Account-Key:       account6
X-UIDL:       GmailId132cf949950f4745
X-Mozilla-Status:       0011
X-Mozilla-Status2:       00000000
X-Mozilla-Keys:       
Delivered-To:       Firma@googlemail.com
Received:       by 10.142.178.20 with SMTP id a20cs79019wff; Tue, 4 Oct 2011 08:36:56 -0700 (PDT)
Received:       by 10.236.147.114 with SMTP id s78mr7487403yhj.45.1317742614775; Tue, 04 Oct 2011 08:36:54 -0700 (PDT)
Return-Path:       <gulliver3206@att.net>
Received:       from mi-ob.rzone.de (mi-ob.rzone.de. [81.169.146.144]) by mx.google.com with ESMTPS id c26si8431667fak.6.2011.10.04.08.36.54 (version=TLSv1/SSLv3 cipher=OTHER); Tue, 04 Oct 2011 08:36:54 -0700 (PDT)
Received-SPF:       neutral (google.com: 81.169.146.144 is neither permitted nor denied by best guess record for domain of gulliver3206@att.net) client-ip=81.169.146.144;
Authentication-Results:       mx.google.com; spf=neutral (google.com: 81.169.146.144 is neither permitted nor denied by best guess record for domain of gulliver3206@att.net) smtp.mail=gulliver3206@att.net; dkim=pass header.i=@att.net
X-RZG-FWD-BY:       [Firmemailadresse]
Received:       from mailin.rzone.de (voltan mi13) ([unix socket]) by mailin.rzone.de (voltan mi13) (RZmta 26.9) with LMTPA; Tue, 4 Oct 2011 17:36:04 +0200 (MEST)
X-Authentication-Results:       mailin.rzone.de (voltan mi13) (RZmta 26.9) header.From=att.net; dkim=pass
DomainKey-Status:       good From=att.net; verified by mailin.rzone.de (voltan mi13)
X-RZG-CLASS-ID:       mi
Received:       from nm7-vm0.access.bullet.mail.sp2.yahoo.com ([98.139.44.116]) by mailin.rzone.de (voltan mi13) (RZmta 26.9 REPLY) with SMTP id X046a6n94FUA7T for <Firmenmailadresse>; Tue, 4 Oct 2011 17:36:03 +0200 (MEST)
Received:       from [98.139.44.100] by nm7.access.bullet.mail.sp2.yahoo.com with NNFMP; 04 Oct 2011 15:36:02 -0000
Received:       from [98.139.44.85] by tm5.access.bullet.mail.sp2.yahoo.com with NNFMP; 04 Oct 2011 15:36:02 -0000
Received:       from [127.0.0.1] by omp1022.access.mail.sp2.yahoo.com with NNFMP; 04 Oct 2011 15:36:02 -0000
X-Yahoo-Newman-Property:       ymail-3
X-Yahoo-Newman-Id:       187726.27519.bm@omp1022.access.mail.sp2.yahoo.com
Received:       (qmail 8837 invoked by uid 60001); 4 Oct 2011 15:36:01 -0000
DKIM-Signature:       v=1; a=rsa-sha256; c=relaxed/relaxed; d=att.net; s=s1024; t=1317742561; bh=gZtbnukH5envaunwGHpWUF3/uDMib8eswfL54WMtDGc=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:In-Reply-To:MIME-Version:Content-Type; b=kj1A+07qBBVu+OzcHE4PglVj5yN3Q6Rx3LHwmD9imJ/rduc07DN0pUrQGeJwA46a6tPMf6VF9GLC8O1BrciYhE0i5qJ135qt5RM2WwiOkUHuNe4JLwyFNgG4P+t0JqpIN/RNQqcxZvmujXgpEGzTkM3WhNc866JAuipE1WazV6I=
DomainKey-Signature:       a=rsa-sha1; q=dns; c=nofws; s=s1024; d=att.net; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:In-Reply-To:MIME-Version:Content-Type; b=IuArwSLYqoZ03pNpFMGmzZZHcydz3W8DAKc/3uDYonWgwPviTAXimnmmqIm8O7mcBtHqTSwl5NjwG6ClZ74JaKEGtdWruhyTM9/tBMx5Ff5Rt5XiyNwA6IRJmTIsH4UH6oeN4N0XwMgOxjpqAFG5ivkxxv6eGk9HYNAXwHcB0y4=;
X-YMail-OSG:       DcY20BkVM1l6CZW1cHkleYFZRQi.qqqf87DpWcnkXrfwT.B FMspg1lTQvxe1vaUNe14hEV5taq_pF1CoR5Tx2itRLDK60AtY6v3qHMTtkfF r2eMV4finqC.kRmRTKYq8mZWibEPfW6BPHsM4Gcq.YFd8j1NphRZsQDxe5tW cT14.qkcniopSZDXkY_irqiKfrfUHnRUXLb97_ABK0Q4pEAv1YGY1A6ADqJE qlAYEb3d7w249.TEovvMj0qTqOVxTioCOgcSLnCAabSRNQ5D8iC3Y9iF4prT Vtk3j6VFFFPqSVKRYrLrPG2AJfl_YbJn2gdKTWXni8d7Irith1y8aiZSUoQ6 a8jtQ9YUYU8bVA.GNy6L9uq1PV0V2EoSAJimMw7cqWYWFGUwe_pFqFDby_oY vcN4vJgFJUVm3CIDH.RA18fzCo1mzpAGvYxaY79KwcFKx9NTniveuFS8ZeMv oJWz9Dv2GUF1yPkEk8JmPXmBecyUbr4.OBNGQZhHnowiq7DMWPhvQNXNoxd5 ynNby5pgq0wMjcowms3G2
Received:       from [193.33.187.15] by web181616.mail.ne1.yahoo.com via HTTP; Tue, 04 Oct 2011 08:36:01 PDT
X-Mailer:       YahooMailClassic/14.0.7 YahooMailWebService/0.8.114.317681
Message-ID:       <1317742561.2051.YahooMailClassic@web181616.mail.ne1.yahoo.com>
Date:       Tue, 4 Oct 2011 08:36:01 -0700 (PDT)
From:       danny gulliver <gulliver3206@att.net>

Bitte nicht wundern, daß da eine überflüssige Weiterleitung zu Googlemail drin ist: die originale Mail kam auf der auf eine zu unserer Domain gehörigen Mailadresse an und wurde von dort an eine Art "Sammelkonto" bei Googlemail weitergeleitet.
« Letzte Änderung: 22,Sep,2014, 18:30:52 von admin »

Offline Administrator

  • Administrator
  • Full Member
  • *****
  • Beiträge: 287586
  • Geschlecht: Männlich
  • I love Anti-Scam-Forum-NL
Re: Danny Gulliver <gulliver3206@att.net>
« Antwort #1 am: 20,Okt,2012, 20:39:13 »
http://800notes.com/Phone.aspx/1-202-239-6000/10
Zitat
If  you ever get an email from gulliver3206@att.net related to  the 202-239-6000...

Something like this:

Thanks for the timely update,I am in love with the transmission and will be happy if i am the one who will buy it.I will pay you by check or money order through my client who is oweing me $2000 in MA.According to him he said he needs the following details to for the issuance and prompt delivery of the payment,such as: Name,address and phone number.

 You are to cash the payment and send the balance to my shipper by western union or money gram for the processing of the shipping fee.Get back to me with the details so that the payment can be mailed out.I look forward to hearing from you soonest.



Sincerely,

Danny.

IT IS A SCAM!!! BE AWARE!!! Don't send any information about you!
Caller: gulliver3206@att.net



Zitat
Received:      from [193.33.187.15] by web181616.mail.ne1.yahoo.com via HTTP; Tue, 04 Oct 2011 08:36:01 PDT
X-Mailer:      YahooMailClassic/14.0.7 YahooMailWebService/0.8.114.317681
Date:      Tue, 4 Oct 2011 08:36:01 -0700 (PDT)


Zitat
Lookup IP Address: 193.33.187.15

by whatismyipaddress.com

General Information:
IP: 193.33.187.15
Decimal:    3240213263
Hostname:   193.33.187.15
ISP:    RackSRV Communications Limited
Organization:   RackSRV Communications Limited
Services:   None detected
Type:
Assignment: Static IP

Geo-Location Information
Country:    United Kingdom
State/Region:   Lincolnshire
City:   Corringham

IP ist min. 2x blacklisted 


Bei der Absender IP handelt es sich nicht um die IP eines Internetanschlusses sondern um die IP eines Servers (hier racksrv.net)!!!!

Der Absender der Mail bedient sich offenbar, zur Vertuschung der tatsächlichen Herkunft der Mail, eines Anonymisierungstools oder -dienstes
Eine auch nur annähernd zuverlässige Geo-Lokalisierung des Absenders ist daher nicht möglich
« Letzte Änderung: 09,Sep,2018, 19:58:41 von Administrator »
Erfahrung bedeutet nichts, jeder kann etwas jahrelang falsch machen ohne es zu merken.