Kjennetegn på svindel
-
E-postene hevder å være sendt av Finansavisen, men domenet i avsenderadressen er
nyhetsbrev.no
. Et ekte nyhetsbrev fra Finansavisen hadde vært sendt fra finansavisen.no istedenfor.nyhetsbrev.no
er et ekte norsk legitimt domene. Men e-postene er ikke sendt derfra. Avsenderadressen er forfalsket. Les mer om dette i veiledningen om falske e-poster. For informasjon om hvordan dette kan avsløres, se For de teknisk interesserte lenger ned på denne siden.
- I den første av de to e-postene er det en skrivefeil i avsendernavnet: “Finansavise Helg”.
- E-postene og de tilhørende nettsidene prøver på sosial manipulering ved å friste med høy profitt ved slik investering, og ved å misbruke tillitten vår til en kjent avis. Husk at om noe er for godt til å være sant, så er det som regel det.
- Det er generelt usannsynlig at en avis som Finansavisen skulle ha markedsført en tjeneste som dette på denne måten.
-
I et nyhetsbrev sendt ut av en nettavis, pleier lenkene å gå til den aktuelle nettavisens nettside. I dette tilfelle går samtlige av lenkene til helt urelaterte sider:
http://bit.ly/bitcoinmegler
,http://bit.ly/norge-100
,http://copytrader.net/
oghttp://takeprofits.net/
.
Bruken av forkortede lenker av typenbit.ly
, som i den første e-posten, er for så vidt mye brukt i svindel-e-poster. - Nettsidene man kommer til om man trykker på noe i den første e-posten, (
securestgains.com
ogcryptocrashfortune.best
), er så å si helt like, bare med litt ulik layout. Det er typisk for kortlivede svindelnettsider av denne typen, som bare er ment å samle inn mest mulig ofre på kortest mulig tid. - Nettsiden man kommer til hvis man trykker på noe i den andre e-posten, har nettadresse
takeprofits.net
, men tittelen på siden er «CopyTrader.net». Mangel på bra samsvar mellom tittel og adresse er ikke nødvendigvis et sikkert tegn på svindel, men er et tegn på at nettsiden sannsynligvis er lite seriøs. I dette tilfellet gir det lite mening at kjente, pålitelige finansorganisasjoner skulle reklamert for en useriøs virksomhet, og dermed er det et tegn på svindel.
Flere tegn på svindel
Mange av disse er mindre tydelige ved første øyekast:
- Dersom man forsøker å svare på e-posten, vil man se at svar-til-adressen er til en e-postadresse under domenet
finansavisen.eu
, som i skrivende stund ikke eksisterer. - Domenene/nettsidenavnene TakeProfits.net og CopyTrader.net har i løpet av de siste årene vært brukt i mange slike svindeltilfeller.
-
Svindlerne har gjort en slett jobb med disse e-postene, de later til å ha kopiert mye fra en tidligere e-post hvor de har utgitt seg for nettavisen E24, og glemt å endre mesteparten når de nå har brukt den samme malen for å utgi seg for å være Finansavisen:
- Bildet i e-postene er stjålet fra en artikkel på E24, (navnene under bildet er falske)
- Adressen til Hegnar nederst i e-postene er feil (adressen er relatert til Schibsted-konsernet og underredaksjoner, som bl.a. E24)
- Det er feil at Gard Steiro er ansvarlig redaktør i Finansavisen. Han er ansvarlig redaktør i VG, som er knyttet til E24.
- Det er feil at Ingrid Indseth er nyhetsredaktør i Finansavisen. Hun er tidligere nyhetsredaktør i E24.
- Nettsidene man kommer til om man trykker på noe i den første e-posten, (
securestgains.com
ogcryptocrashfortune.best
), har en «liten skrift» nederst på siden hvor de innrømmer at de tar betalt for å sende brukere videre til andre nettsteder, og at investering i BitCoin er mer risikabelt enn de hevder lenger opp på siden. Se skjermbilde fra securestgains og skjermbilde fra cryptocrashfortune.
For de teknisk interesserte
Domenet disse e-postene angivelig er sendt fra, har SPF i DNS-oppføringen sin. SPF forteller hvilke IP-adresser og domener som er bekreftet som legitime avsendere av e-post for det aktuelle domenet. Her er SPF-oppføringen for nyhetsbrev.no
:
nyhetsbrev.no descriptive text "v=spf1 ip4:5.153.105.132 ip4:5.153.105.144 ip4:5.153.105.138 ip4:5.153.105.139 a:cloud1.inett.no a:cloud2.inett.no a:cloud3.inett.no -all"
I meldingshodet til en e-post står det IP-adresser og domener for serverne e-posten har blitt sendt gjennom, og hvorvidt disse stemmer overens med det som står i domenets SPF-oppføring. Her er disse delene av meldingshodet for de aktuelle e-postene:
Authentication-Results: spf=fail (sender IP is 86.109.122.245) smtp.mailfrom=nyhetsbrev.no; nettvett.no; dkim=none (message not signed) header.d=none;nettvett.no; dmarc=none action=none header.from=nyhetsbrev.no;compauth=fail reason=001 Received-SPF: Fail (protection.outlook.com: domain of nyhetsbrev.no does not designate 86.109.122.245 as permitted sender) receiver=protection.outlook.com; client-ip=86.109.122.245; helo=webmail.icomem.es;
Som man kan se, er ikke e-postene sendt fra e-postservere som egentlig er knyttet til domenet nyhetsbrev.no
. Avsenderadressen finansavisen@nyhetsbrev.no
er med andre ord forfalsket.