Cybercrime trifft nur die Großen? Mit Sicherheit nicht! Letzte Woche haben wir live miterlebt, wie ein Angreifer – leider erfolgreich – die Kunden eines Händlers betrogen und dabei eine beträchtliche Summe Geld erbeutet hat.
Bislang unbekannte Täter haben Kaufverträge eines mittelständischen Handelsunternehmens gefälscht und die darauf angegebene Bankverbindung durch eine fremde ersetzt. Zu diesem Zweck wurden E-Mails gefälscht und die Geschädigten so zu Zahlungen an eine falsche Bankverbindung veranlasst. Insgesamt entstand ein Schaden von rund 25.000 Euro.
Als IT-Sicherheitsbeauftragte des Unternehmens haben wir umfangreiche Recherchen durchgeführt und die IT-Forensik unterstützt. Mit hinreichender Sicherheit können wir sagen, dass das E-Mail-Postfach, das für den Versand von Kaufverträgen und Rechnungen verwendet wird, vorübergehend vom Angreifer übernommen wurde. Dadurch war der Angreifer in der Lage, die versendeten echten Kaufverträge zu manipulieren und – vermutlich mit Hilfe eines Bildbearbeitungsprogramms – mit der Bankverbindung des Angreifers zu versehen. Anschließend wurden die Dokumente erneut an die Opfer verschickt.
Die ahnungslosen Opfer haben bei ihren Überweisungen nicht aufgepasst – und den angegebenen falschen Kontoinhaber nicht mit dem Briefkopf der Kaufverträge abgeglichen. Denn ganz so perfekt waren die Täter nicht: Zwar wurde die Fußzeile des Kaufvertrages mit der Bankverbindung manipuliert, nicht aber der Briefkopf. Ein aufmerksamer Kunde hätte also durchaus merken können, dass etwas nicht stimmt – zumal der Name des Kontoinhabers deutlich vom Namen des Händlers abwich. Interessanter Aspekt: Bei der falschen Bankverbindung handelt es sich um eine deutsche IBAN bei einer Online-Bank. Ich bin gespannt, ob sich daraus der Täter ermitteln lässt; wenn nicht, dürfte dies sofort Fragen nach der Einhaltung der KYC (Know Your Customer)-Regeln seitens der Kreditwirtschaft aufwerfen.
Bei der Analyse sind zwei Themenschwerpunkte zu berücksichtigen:
Was die Übernahme des Postfachs betrifft, kann dem Händler nach derzeitigem Stand keine Fahrlässigkeit vorgeworfen werden: Weder war das für den Account verwendete Passwort zu einfach, noch wurde es für mehr als einen Dienst verwendet – oder gar auf einem PostIt-Zettel unter die Tastatur geklebt. Ob der Angriff möglicherweise gegen den E-Mail-Provider gerichtet war, wird noch untersucht. Auch über die Vorgehensweise (z.B. mittels Rainbow Table Attack oder als Brute Force Attack) liegen derzeit keine Erkenntnisse vor. Sicherlich wird im Nachhinein zu hinterfragen sein, warum der E-Mail-Provider keine Möglichkeit zur Verwendung einer 2-Faktor-Authentifizierung anbietet.
Zum Thema Vorsicht: Wir konnten kurz mit einem der Opfer sprechen. Er hat uns erzählt, dass er schon einmal auf eine solche Masche hereingefallen ist. Also für mich ist das ganz klar ein Awareness-Thema. Die Menschen müssen darüber aufgeklärt werden, welche Angriffe es gibt und wie Angreifer versuchen, Geld abzuzweigen. Nur dann sind potenzielle Opfer in der Lage, solche Betrügereien zu erkennen.
Möglicherweise bringen die polizeilichen Ermittlungen hier Licht ins Dunkel. Ich war übrigens bei der Anzeigenaufnahme dabei und fand die Dokumentation der Tat durch die Polizeibeamtin sehr professionell. Wer also Opfer eines ähnlichen Übergriffs wird, dem sei dringend geraten, sich an die Polizei zu wenden. Das taten übrigens auch die Opfer, die auf den Überfall hereingefallen waren.