Für die betroffenen Käufer gilt:
Drucke Dir bitte die Beiträge 1 - 4 incl aller aufgezählten Vorgänger-Bankkonten aus
und füge sie unbedingt Deiner Anzeige bei der Polizei hinzu
Damit wird bei der Polizei sofort klar, daß es sich nicht um einen Einzelfall, sondern eine großangelegte Betrugsserie handelt
und daß die einzelnen eBay-Accounts und Bankkonten alle zusammengehören.

Die Diskussion im eBay-Sicherheitsforum zu dieser Betrugsserie findest Du unter folgendem Link:
community.ebay.de/topic/Maduros/1900019207
Leider unterdrückt eBay durch aktive Zensur ( Löschen + Editieren von Postings ) in den hauseigenen Foren jeden Versuch, andere Mitglieder vor dieser Betrugsserie zu warnen, daher wurde die vollständige Datensammlung hierher ausgelagert.


Betrugsserie MADURO's: Kameras+Objektive, Notebooks, teure Küchengeräte uvm

Seit mindestens Mitte 2007 läuft auf der Ebay-Plattform diese Betrugsserie mit gehackten Accounts. Den Namen "Die MADUROs" hat sie vom ersten Bankkonto, das zu dieser Serie bekannt wurde.
Angeboten werden hauptsächlich sehr hochwertige Kameras + Objektive, Notebooks oder teure Küchengeräte, hin und wieder wieder gibt es aber auch Artikel aus anderen Rubriken.
Es handelt sich größtenteils um Accounts aus Deutschland oder Österreich. Die Artikelbeschreibungen sind meistens in deutsch, manchmal auch zweisprachig in deutsch und englisch.
Den Namen

Die Accounts sind gehackt.
Der jeweilige echte Inhaber des Ebay-Accounts hat mit der Sache nichts zu tun, häufig hat er noch garnicht bemerkt, daß Unbefugte über seinen Account in betrügerischer Absicht Ware eingestellt haben.
"Gehackt" ist im Übrigen auch nicht wirklich korrekt, zutreffender wäre "gekapert" oder "übernommen". Das Ebay-Passwort wurde bei dieser Serie weder von den Tätern geknackt noch vom Accountinhaber fahrlässig über Phishing verschenkt.

Die Accounts dieser Serie haben alle eins gemeinsam:
Die im Account hinterlegte Mailadresse des Accountinhabers ist bei GMX ( selten auch mal bei web.de ) und wurde gehackt. Die Postfächer samt Passworten kaufen die Täter wohl einfach im Internet, es gibt dafür regelrechte online-Hacker-Börsen.
Die zugehörigen Ebay-Accounts können dann über die gekaperte Mailadresse einfach mit übernommen werden, da Ebay ein seit Jahren bekanntes Sicherheitsloch immer noch nicht geschlossen hat: Wer Zugriff hat auf die in einem Ebay-Account hinterlegte Mailadresse, braucht die Antwort auf die "Passwort-vergessen-Frage nicht zu kennen, um das Ebay-Passwort zu ändern und den Ebay-Account so einfach zu übernehmen.

Die hinterlegte Mailadresse des echten Accountinhabers wird von den Tätern nicht ausgetauscht. Sie richten stattdessen in dem gehackten Postfach einfach mehrere Filter mit Weiterleitungen ein und lassen ganz gezielt nur die eingehenden Mails von Ebay und den jeweiligen Käufern weiterleiten an ihre eigenen Mailadressen.
Alle anderen Mails bekommt der echte Besitzer des Postfaches weiterhin und bemerkt so nicht, daß er nicht alleine ist in seinem Postfach. Selbst wenn er zwischendurch routinemäßig das Passwort ändert, bleibt die Weiterleitung weiterhin bestehen. Die Täter können den Ebay-Account so oft jahrelang (!!) immer wieder übernehmen und mißbrauchen.

Überweisen sollen die Käufer in der Regel auf Konten in Deutschland, selten auch mal in Österreich oder Italien.
Sämtliche aus dieser Serie bisher bekannten Konten wurden mit gefälschten oder gestohlenen ausländischen Pässen eröffnet.
Mit jedem dieser Pässe werden dann im Schnitt jeweils gleich 6 - 7 Konten bei verschiedenen Banken in Deutschland eröffnet, die von den Tätern solange benutzt werden, bis sie durch die Bank gesperrt werden.
Zusätzlich gibt es zu jedem Pass auch ein Bankkonto in Italien, dorthin wird das Geld von den deutschen Konten meistens weitergeleitet. Hin und wieder sollen die Käufer aber auch mal direkt auf eins der italienischen Konten überweisen.
Das Geld der Käufer ist in der Regel spätestens 24 Stunden nach der Überweisung rettungslos verloren. Ware wird natürlich niemals geliefert.

Bei den Tätern handelt es sich mutmaßlich um rumänische Staatsbürger, vermutlich nur eine relativ kleine Tätergruppe, die sich bevorzugt in Deutschland und Österreich aufhalten.
Sie beherrschen zwar die deutsche Sprache, können also zB Mails der Käufer beantworten, allerdings nicht fehlerfrei.
Einer der Täter wurde 2009 zumindest namentlich identifiziert:
vienna.at/news/wien/artikel/tr…cn/news-20090701-01000515
tinyurl.com/zeitungsartikel1
Falsch ist allerdings im ersten Absatz die Aussage "nun klickten für einen Betrüger die Handschellen." Wie aus dem weiteren Text hervorgeht, wurde der Täter lediglich identifiziert, nicht aber tatsächlich verhaftet. Vermutlich wurde dieser Täter kurz nach dem Fahndungsaufruf ausgetauscht und durch einen anderen ersetzt.
Hier ist auch noch ein zweiter, bisher nicht identifizierter Täter zu sehen:
wienweb.at/pictures/pict81/big/wg81322.jpg
wienweb.at/content.aspx?menu=1&cid=164853
tinyurl.com/zeitungsrtikel2


Wichtig:
Jeder Käufer, der Geld auf eins der hier genannten Bankkonten überwiesen hat bzw überweisen soll und dadurch auf diesen Beitrag gestoßen ist, wird gebeten, entweder hier oder in der Diskussion im eBay-Sicherheitsforum unbedingt den Namen des gehackten Ebay-Accounts zu nennen, bei dem er gekauft hat.
Durch diese Meldung kann möglicherweise weiteren betroffenen Bietern / Käufern noch geholfen werden !

Maduro-Bankkonten

Sammlung der von diesen Tätern seit 2007 benutzten Bankkonten

Die bisher bekannten Bankkonten:

In 2007 wurden unter anderem diese Konten benutzt:

Mark Nelson
KTO: 10210036143
BLZ: 60000
IBAN: AT706000010210036143
BIC / Swift: OPSKATWW
Österreichische Postsparkasse


Hans Noraberg / Hans Olav Noraberg
KTO: 20810000253
BLZ: 60000
IBAN AT786000020810000253
BIC / Swift: OPSKATWW
Österreichische Postsparkasse
Auf denselben Namen Hans Noraberg gab es auch ein nicht näher bekanntes Konto bei der Erste Bank und Sparkasse Österreich

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Ab ca Anfang 2008 bis Anfang Juni 2008 lief der Betrug über die Maduro-Konten, die der Serie ihren Namen gaben:

Hans Maduro / Hans Petter Maduro
KTO: 50290057535
Blz: 12000
Bank Austria
BIC/Swift BKAUATWW
IBAN AT56 1200 0502 9005 7535 / AT561200050290057535


Hans Petter Maduro
KTO: 28923209200
BLZ: 20111
Erste Bank u Sparkasse Österreich
Swift/BIC: GIBAATWW
IBAN: AT932011128923209200

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Mitte Juli bis ca 10. August 2008 waren die Pollack-Konten dran.
Hier gab es erstmals auch deutsche Konten:

Markus Pollack
KTO: 01301318513
BLZ: 20256
Erste Bank u Sparkasse Österreich
IBAN: AT942025601301318513
BIC: SPSPAT21

Markus Pollack
KTO: 777419300
Blz: 10070024
Deutsche Bank Berlin

Markus Pollack
KTO: 6603110863
BLZ: 10050000
Sparkasse Berlin

Markus Pollack
KTO: 6013085151
BLZ: 10050000
Sparkasse Berlin

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Ab ca 11. September bis ca 3. Oktober 2008 folgten die ersten Pernas-Konten.
Zunächst gab es ausschliesslich deutsche Konten:

Antonio Pernas
KTO: 6013175100
BLZ: 10050000
Berliner Sparkasse

Antonio Pernas
KTO: 0917250436
BLZ: 36010043
Postbank Essen

Hier handelte es sich evtl um einen gestohlenen spanischen Pass.
Die beiden deutschen Konten wurden relativ schnell gesperrt

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Nach diesmal etwas längerer Pause folgten vom 15.11. - 10.12.2008 die Bruvold-Konten.
Auch diese liefen alle in Deutschland:

Petter Bruvold
KTO: 26600437
BLZ: 36010043
Postbank Essen

Bruvold Petter
KTO: 260196100
BLZ: 43070024
Deutsche Bank

Petter Bruvold
KTO: 9606930914
BLZ: 60420000
Wüstenrot Bank

Hierbei handelte es sich um einen gefälschten norwegischen Pass.
Durch die relativ schnelle Reaktion der beteiligten Geldinstitute waren am 10.12.2008 endgültig alle deutschen Konten auf diesen Namen gesperrt.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Es folgten ab ca Mitte Januar 2009 erneut Konten auf den Namen Antonio Pernas, diesmal in Österreich:

Antonio Pernas
KTO: 29019677400
BLZ: 20111
Erste Bank und Sparkasse Österreich
IBAN: AT742011129019677400
Bic/Swift: GIBAATWW

Antonio Pernas
KTO: 50200077266
BLZ: 12000
Bank Austria
IBAN: AT81 1200 0502 0007 7266
Bic/Swift: BKAUATWW

Die beiden österreichischen Pernas-Konten wurden bereits nach wenigen Tagen gesperrt.
Es dürfte da kaum Geschädigte gegeben haben.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Es folgten mehrere Monate, in denen die Täter ihre Betrügereien fast ausschließlich ganz anonym über Paypal abwickelten.
Wer kein Paypal hatte oder wollte, dem wurden abwechselnd verschiedene Konten in Italien genannt

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Erst ab Mitte Mai 2009 gab es dann wieder Bankkonten im deutschsprachigen Raum.
Zunächst in Österreich:

Johannes Dostal
IBAN: AT986000010110057933
BIC / Swift: OPSKATWW
Postsparkasse Österreich / BAWAG P.S.K.

Manuel Mellado
IBAN: AT911200050010066405
BIC: BKAUATWW
KTO: 50010066405
BLZ: 12000
Bank Austria

Kurz danach mit dem Mellado-Pass auch in Deutschland:

Manuel Mellado
KTO: 5711707
BLZ: 60010070
Postbank Stuttgart

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Erst im Dezember 2009 hatten die Maduros dann wieder neue Konten in Deutschland.
Der Pass lief diesmal auf den Namen

Mathias Tasch
KTO: 7836047986
BLZ: 60050101
Baden-Württembergische Bank

Mathias Tasch
KTO: 509965504
BLZ: 37010050
Postbank Köln

Mathias Tasch
KTO: 10909603
BLZ: 50010060
Postbank Frankfurt

Hier handelte es sich um einen ungarischen Pass.
Die bei Kontoeröffnung angegebene Anschrift in Oberhausen war falsch.
Zwar hatte sich ein Unbekannter mit dem ungarischen Pass sogar tatsächlich an der angegebenen Adresse angemeldet,
nur wirklich gewohnt hat ein Mathias Tasch dort natürlich nie.
Die Postbank hat die beiden Tasch-Konten trotz monatelanger Meldungen von Dutzenden betrogenen Käufern erst im März 2010 endlich gesperrt.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Es ging dann diesmal nahtlos Ende März 2010 weiter mit den Sorgo-Konten:

Joseph Sorgo
KTO: 15709606 / 015709606
BLZ: 50010060
Postbank Frankfurt

Joseph Sorgo
KTO: 67117708 / 067117708
BLZ: 60010070
Postbank Stuttgart

Joseph Sorgo
KTO: 260626904
BLZ: 86010090
Postbank Leipzig

Joseph Sorgo
KTO: 611775800
BLZ: 31070024
Deutsche Bank Mönchengladbach

Joseph Sorgo
KTO: 611778200
BLZ: 31070024
Deutsche Bank Mönchengladbach

Joseph Sorgo
KTO: 9305920
BLZ: 20090500
Netbank

Hier handelte es sich um einen litauischen Pass.
Die bei Kontoeröffnung angegebene Anschrift in Mönchengladbach war natürlich wie üblich falsch.
Sämtliche Sorgo-Konten waren binnen knapp 3 Wochen bereits gesperrt.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Schon Ende April 2010 waren die Täter mit einem neuen Pass wieder da:

Michael Dols
KTO: 6391930002
BLZ: 50320200
Noa Bank

Michael Dols
KTO: 0346346000 / 346346000
BLZ: 10077777
Norisbank Berlin

Michael Dols
KTO: 8203954006
BLZ: 70120400
DAB Bank

Michael Dols
KTO: 4520300
BLZ: 83065410
Skatbank / VR-Bank Altenburger Land

Michael Dols
KTO: 9612991054
BLZ: 60420000
Wüstenrot Bank

Michael Dols
KTO: 7800076464
BLZ: 60050101
BW-Bank Stuttgart

Die Nationalität dieses Passes ist bislang nicht bekannt, eröffnet wurden die Bankkonten mit einer falschen Adresse in Dortmund.
Diesmal dauerte der Kampf angesichts der Flut von Bankkonten etwas länger,
erst Anfang Juni 2010 waren wohl alle Dols-Konten in Deutschland endlich gesperrt.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Doch schon Mitte Juni 2010 waren die Maduros wieder da:

Arnim Petter / Petter Arnim
KTO: 254476607
BLZ: 50010060
Postbank Frankfurt

Arnim Petter / Petter Arnim
KTO: 269203609
BLZ: 50010060
Postbank Frankfurt

Arnim Petter
KTO: 9613245496
BLZ: 60420000
WüstenrotBank

Petter Arnim
KTO: 4519396
BLZ: 83065410
Skatbank

Petter Arnim
KTO: 3677549
BLZ: 10077777
NorisBank

Arnim Petter
KTO: 8203444008
BLZ: 70120400
DAB bank

Arnim Petter
KTO: 9480749
BLZ: 20090500
Netbank

Es dauerte nur ca 3 Wochen, bis alle sieben Arnim-Petter-Konten gesperrt waren.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Seit Mitte August 2010 lief die Serie dann mit Konten auf den Namen

Ervin Horvat
KTO: 338596000
BLZ: 10077777
NorisBank Berlin

Ervin Horvat
KTO: 4552440
BLZ: 83065410
Skatbank / VR-Bank Altenburger Land

Ervin Horvat
KTO: 9613349178
BLZ: 60420000
Wüstenrotbank

Ervin Horvat
KTO: 8227560003
BLZ: 70120400
DAB Bank

Ervin Horvat
KTO: 399057604
BLZ: 50010060
Postbank Frankfurt

Ervin Horvat
KTO: 408819602
BLZ: 50010060
Postbank Frankfurt

Ein Konto bei der
Netbank
wurde bereits Anfang September 2010 gesperrt

Bei "Ervin Horvat" handelt es sich um einen ungarischen Pass.
Die Konten wurden mit einer wie üblich gefälschten Meldebescheinigung in Fröndenberg / Sauerland eröffnet

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Ab ca 12. September 2010 benutzten die Täter den Namen Daniel Bartok:

Daniel Bartok
KTO: 617467602
BLZ: 50010060
Postbank Frankfurt

Daniel Bartok
KTO: 602968605
BLZ: 50010060
Postbank Frankfurt

Daniel Bartok
KTO: 338701600
BLZ: 10077777
NorisBank

Daniel Bartok
KTO: 4565967
BLZ: 83065410
Skatbank
Das Konto wurde am 20. oder 21.09.2010 gesperrt.
Die von der der Skatbank erstattete Anzeige wird bearbeitet beim LKA Thüringen

Daniel Bartok
KTO: 6928501
BLZ: 66090800
BB Bank

Ein weiteres, bereits gesperrtes Bankkonto für Daniel Bartok existierte bei der
Wüstenrotbank

Auch bei "Daniel Bartok" handelte es sich wieder um einen ungarischen Pass.
Die benutzte falsche Adresse ist Bayreutherstr. 23, 47166 Duisburg.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Im Januar 2011 tauchte bei den Maduros mehrfach der Name

Emil Bratu
emilb72789@yahoo.com

im Zusammenhang mit PayPal-Zahlungen auf.
Mindestens bei der Wüstenrot-Bank gab es auch ein Bankkonto auf diesen Namen,
das aber schon im Sommer 2010 nach nur wenigen Tagen gesperrt worden war.

Im Juli 2009 hat sich der Verdacht bestätigt,
daß eine weitere, sehr ähnliche Betrugsserie, die seit Herbst 2008 immer wieder auftauchte,
ebenfalls zu den Maduros gehörte.
Hier wurden mehrere Monate lang verschiedene Konten in Österreich und der Slowakei
auf den Namen "Charles Nicky" benutzt:

Charles Nicky
IBAN: AT031400005910818203
BIC / SWIFT: BAWAATWW
KTO: 05910818203
BLZ: 14000
Bawag Bank, Wien, Österreich


Charles Nicky
IBAN: SK7231000000003130071804
BIC / SWIFT: LUBASKBX
KTO: 3130071804
BLZ: 3100
Volksbank, Bratislava, Slowakei


Charles Nicky
IBAN: SK5775000000004006680535
BIC / SWIFT: CEKOSKBX
KTO: 4006680535
BLZ: 7500
Bank: CSOB, Bratislava, Slowakei


Charles Nicky
KTO: 40066802361
BLZ: 7500
Bank: CSOB, Bratislava, Slowakei


Es gab im Sommer 2009 mehrere gehackte Accounts, die zweifelsfrei eigentlich den Tätern dieser zweiten Serie "Charles Nicky" zuzuordnen waren,
die aber nun plötzlich auf das schon seit Februar bekannte Maduro-Konto "Petter Bruvold" in Italien überweisen liessen.
Unter anderem war das zB auch der Account

hannem
feedback.ebay.de/ws/eBayISAPI.dll?ViewFeedback&userid=hannem
Screenshot: Bewertungsprofil von hannem

Dieser Account war/ist bereits seit mindestens Dezember 2008 in der Hand der Täter.
Er wurde von Ebay in dieser Zeit mehrfach bearbeitet, allerdings, wie man an den negativen Bewertungen sieht, aufgrund der gehackten Mailadresse vergeblich.
Er wurde regelmäßig von den Tätern immer wieder für Betrügereien eingesetzt, bis er durch die Bewertung vom 22.10.09 unbrauchbar wurde.
hannem hatte am 24.12.2008 bei einer Notebook-Sofortkauf-Auktion das Charles-Nicky-Konto bei der slowakischen CSOB in der Kaufabwicklung hinterlegt.
Der Negativ-Bewerter vom 18.06.09 hat hingegen auf das italienische Petter-Bruvold-Konto überwiesen.
Dieser "Zusammenschluss" der zuvor beiden getrennt laufenden Serien könnte ein Hinweis sein,
daß aufgrund des Internet-Fahndungsaufrufes der Polizei Österreich
möglicherweise mindestens einer der beiden auf den Bildern gezeigten Täter sich nach Rumänien abgesetzt hat
und der "Charles-Nicky"-Täter dessen Platz im Team der Maduro-Serie übernahm.
Das ist aber wie gesagt eine reine Spekulation.

Bankkonten in Italien

Diese Konten sind vermutlich alle noch aktiv
Sie kommen immer dann zum Einsatz, wenn grad mal wieder alle Konten der Täter in Deutschland gesperrt sind.
Die italienischen Konten Petter Bruvold,Michael Dols, Markus Pollack, Manuel Mellado + Joseph Sorgo wurden alle in den letzten 18 Monaten immer wieder abwechselnd benutzt

Michael Dols
IBAN: IT58T0316501600000110471273
SWIFT / BIC IWBKITMM
KTO: 000110471273
IwBank S.p.A. Italien


Markus Pollack
IBAN: IT58E0316501600000110405591
BIC / Swift: IWBKITMM
IW BANK S.p.A.


Manuel Mellado
IBAN: IT69E0316501600000110430322
BIC / Swift: IWBKITMM
IW BANK S.p.A.


Joseph Sorgo
IBAN: IT89C0316501600000110449606
BIC (SWIFT: IWBKITMM
IW BANK S.p.A.


Petter Maduro
IBAN: IT91Y0316501600000110286060
BIC / Swift: IWBKITMM
Iwbank s.p.a


Petter Bruvold
IBAN: IT48V0316501600000110419896
BIC / Swift: IWBKITMM
Iwbank s.p.a


Adert Alvarado Fergson
IBAN: IT89T0316501600000110267306
BIC / Swift: IWBKITMM
IW BANK S.p.A.