Cybercrime trifft nur die Großen? Mit Sicherheit nicht! Letzte Woche haben wir live miterlebt, wie ein Angreifer – leider erfolgreich – die Kunden eines Händlers betrogen und dabei eine beträchtliche Summe Geld erbeutet hat.

Was war passiert?

Bislang unbekannte Täter haben Kaufverträge eines mittelständischen Handelsunternehmens gefälscht und die darauf angegebene Bankverbindung durch eine fremde ersetzt. Zu diesem Zweck wurden E-Mails gefälscht und die Geschädigten so zu Zahlungen an eine falsche Bankverbindung veranlasst. Insgesamt entstand ein Schaden von rund 25.000 Euro.

Analyse – Wie es dazu kam

Als IT-Sicherheitsbeauftragte des Unternehmens haben wir umfangreiche Recherchen durchgeführt und die IT-Forensik unterstützt. Mit hinreichender Sicherheit können wir sagen, dass das E-Mail-Postfach, das für den Versand von Kaufverträgen und Rechnungen verwendet wird, vorübergehend vom Angreifer übernommen wurde. Dadurch war der Angreifer in der Lage, die versendeten echten Kaufverträge zu manipulieren und – vermutlich mit Hilfe eines Bildbearbeitungsprogramms – mit der Bankverbindung des Angreifers zu versehen. Anschließend wurden die Dokumente erneut an die Opfer verschickt.

Die ahnungslosen Opfer haben bei ihren Überweisungen nicht aufgepasst – und den angegebenen falschen Kontoinhaber nicht mit dem Briefkopf der Kaufverträge abgeglichen. Denn ganz so perfekt waren die Täter nicht: Zwar wurde die Fußzeile des Kaufvertrages mit der Bankverbindung manipuliert, nicht aber der Briefkopf. Ein aufmerksamer Kunde hätte also durchaus merken können, dass etwas nicht stimmt – zumal der Name des Kontoinhabers deutlich vom Namen des Händlers abwich. Interessanter Aspekt: Bei der falschen Bankverbindung handelt es sich um eine deutsche IBAN bei einer Online-Bank. Ich bin gespannt, ob sich daraus der Täter ermitteln lässt; wenn nicht, dürfte dies sofort Fragen nach der Einhaltung der KYC (Know Your Customer)-Regeln seitens der Kreditwirtschaft aufwerfen.

Lessons Learned

Bei der Analyse sind zwei Themenschwerpunkte zu berücksichtigen:

  • Wie konnte der Angreifer das E-Mail-Postfach übernehmen?
  • Warum haben die Opfer das Geld überwiesen, ohne die nötige Sorgfalt walten zu lassen?

Was die Übernahme des Postfachs betrifft, kann dem Händler nach derzeitigem Stand keine Fahrlässigkeit vorgeworfen werden: Weder war das für den Account verwendete Passwort zu einfach, noch wurde es für mehr als einen Dienst verwendet – oder gar auf einem PostIt-Zettel unter die Tastatur geklebt. Ob der Angriff möglicherweise gegen den E-Mail-Provider gerichtet war, wird noch untersucht. Auch über die Vorgehensweise (z.B. mittels Rainbow Table Attack oder als Brute Force Attack) liegen derzeit keine Erkenntnisse vor. Sicherlich wird im Nachhinein zu hinterfragen sein, warum der E-Mail-Provider keine Möglichkeit zur Verwendung einer 2-Faktor-Authentifizierung anbietet.

Zum Thema Vorsicht: Wir konnten kurz mit einem der Opfer sprechen. Er hat uns erzählt, dass er schon einmal auf eine solche Masche hereingefallen ist. Also für mich ist das ganz klar ein Awareness-Thema. Die Menschen müssen darüber aufgeklärt werden, welche Angriffe es gibt und wie Angreifer versuchen, Geld abzuzweigen. Nur dann sind potenzielle Opfer in der Lage, solche Betrügereien zu erkennen.

Möglicherweise bringen die polizeilichen Ermittlungen hier Licht ins Dunkel. Ich war übrigens bei der Anzeigenaufnahme dabei und fand die Dokumentation der Tat durch die Polizeibeamtin sehr professionell. Wer also Opfer eines ähnlichen Übergriffs wird, dem sei dringend geraten, sich an die Polizei zu wenden. Das taten übrigens auch die Opfer, die auf den Überfall hereingefallen waren.

Tags

Beitrag teilen

Weitere Artikel

Überprüfungen der IT-Sicherheit sind aus den unterschiedlichsten Gründen sinnvoll und angeraten. Externe Gründe wie regulatorische Anforderungen – die KRITIS-Verordnung oder das IT-Sicherheitsgesetz seien beispielhaft genannt – können solche Überprüfungen fordern. Unternehmen können aber auch aus...
Management Review oder Internal Audit – was macht mehr Sinn? Diese Frage stellen häufig Newcomer, die sich zum ersten Mal mit der Norm ISO 27001 befassen. Was ist ein Internal Audit? Ein internes Audit ist...
SQL-Injection-(SQLi-)Schwachstellen sind Sicherheitslücken in (Web-)Anwendungen. Sie ermöglichen es Angreifern, Datenbank-Abfragen einer Anwendung zu manipulieren. Dadurch kann ein Angreifer an Daten gelangen, die er normalerweise nicht abrufen kann. Das können Daten von anderen Benutzern sein oder...