Rechnungsbetrug

Phishing und Spam nerven und werden von Spamfiltern relativ gut geblockt und die verbleibenden Mails von oft doch einfach zu erkennen. Wenn der Sender aber nicht Millionen Empfänger belästigt, um ein paar Treffer zu erhalten, sondern gezielt einen Empfänger aufs Glatteis führen möchte, dann wird es schon schwerer, den Betrugsversuch rechtzeitig zu erkennen. Anscheinend ist genau das nun die neue Masche: Qualifizierte Angriffe auf wenige Personen.

Eine Vorgehensweise

Der hier beschrieben Fall basiert auf echten Vorfällen bei Kunden aber die Namen sind natürlich nicht aufgelistet. Das ganze basiert darauf, dass ein Rechnung elektronisch versendet wird. Das ist heute durchaus üblich. Das lohnt sich natürlich nur, wenn der Rechnungsbetrag eine gewisse "Größe" hat.

  • LieferantA
    Der Lieferant einer Leistung, der diese Kunde B in Rechnung stellt. Die Rechnung hat einen Betrag von >100.000€ und die Firma sitzt in Deutschland. Sonst wäre ich vermutlich nicht angesprochen worden.
  • KundeB
    Empfänger der Leistung und damit auch der Rechnung, die zur Begleichung ansteht. In der Rechnung stehen natürlich die gelieferten Artikel, der Rechnungsbetrag und die Bankverbindung. Das Zielland war in dem Falle ein arabisches ölreiches Land
  • AngreiferC
    Der "böse" Angreifer, der einen größeren Geldbetrag erschleichen möchte, der in diesem Fall vermutlich in Nigeria sitzt.

Damit das System möglichst perfekt wird, betreibt der Angreifer einigen Aufwand.

  1. max.muster@LieferantA.example sendet eine Mail an tom.ate@kundeB.example
    Die Rechnung enthält alle erforderlichen Angaben. Die Rechnung kann sogar digital signiert sein. In diesem Fall war es ein Betrag über 100.000 Euro, was bei Geschäften zwischen Firmen durchaus nicht viel ist.
  2. tom.ate@kundeB.example bekommt die Rechnung
    Aber bezahlt nicht gleich. Schließlich muss Sie ja geprüft werden
  3. Irgendwie hat aber auch "AngreiferC" eine Kopie dieser Mail erhalten
    Ob das ein Trojaner beim Sender oder Empfänger war oder die Mail auf einer Zwischenstation kopiert wurde, ist erst mal nicht zu klären.
  4. AngreiferC registriert eine Domäne "LieferantA.example"
    Sie müssen schon genau hinschauen, um zu erkennen, dass es sich hier um eine Vertipper-Domain handelt. Ein "M" statt ein "n" wird leicht übersehen. Genauso gibt es andere ähnliche Buchstaben wie "I" und "L" und selbst Buchstabendreher werden von uns Menschen einfach "überlesen". Oft ist für eine Domäne aber auch eine "Länderdomäne" noch frei, die dann verwendet werden kann. Sind sie sicher, dass ihr Firmenname nicht auch mit ".name" oder ".biz" oder einer anderen neuen Toplevel-Domain belegt ist ?
    Für diesen Missbrauch wurde ein "große uS-Hoster" mit automatischen und schnellen Bestellprozessen genutzt, bei der eine gestohlene Kreditkarte oder ungültige Bandverbindung nicht sofort auffällt. Die Domäne ist in der Regel dennoch nach wenigen Minuten für einige Tage nutzbar, auch wenn Sie später wieder verworfen wird.
  5. AngreiferC erstellt eine ähnliche Mail
    Er hat ja eine Kopie der originalen Mail und kann alle Daten davon übernehmen. Einzig die Bankverbindung wird natürlich geändert. Gerade im internationalen Verkehr mit Firmen in verschiedenen Ländern muss es nicht ungewöhnlich sein, wenn eine deutsche Firma eine Bandverbindung in einem anderen Land, z.B. "nahe" Kunden unterhält. Vor allem wenn die LieferantA auch vor Ort eine Niederlassung hat. Das spart Gebühren bei Auslandsüberweisungen. Große Firmen machen z.B. sogar ein internes Cash-Management mit Verrechnungen um die Geldbewegungen zu optimieren.
  6. Signieren, SenderID, SPF
    Wenn die Original-Mail signiert war, dann ist es für den Angreifer als "Besitzer" der Vertipperdomain kein Problem auch eine Signatur für "tom.ate@firna.example" zu bekommen. Auch die entsprechenden Filter mit SenderID, DomainKey etc. können nicht greifen, da der Angreifer ja eine Mail von einer gültigen Domäne sendet, die ihm auch gehört.
  7. "max.muster@LieferamtA.example" sendet die Mail
    Die präparierte Mail wird nun an den Empfänger gesendet. In diesem Fall konnte anhand der Header, die vom Versendet nicht geändert werden konnten, als Quelle ein Client mit einer IP-Adresse aus Nigeria bestimmt werden, welcher per WebMail über einen großen Provider in den USA diese Mail auf den Weg gebracht hat.
    Der Angreifer könne die Überweisung sogar noch z.B.: durch ein Skonto "beschleunigen", so dass KundeB vielleicht nicht so genau hinschaut.
  8. Gefälschte Mail komm bei KundeB an.
    Und nun liegt es am Kunden, ob er die "Ersatzrechnung" einfach an die falsche Kontoverbindung überweist

Der LieferantA bekommt von dem Prozess gar nichts mit. Erst wenn ein skeptischer KundeB sich beim LieferantA meldet oder der LieferantA eine Mahnung versendet bzw. bei höheren Beträgen das Gespräch sucht, kann hier eine Falschüberweisung entdeckt werden.

Woher kamen die Daten ?

Damit so ein Angriff funktioniert, muss ein Angreifer natürlich eine vergleichbare Quelle haben. Dabei gibt es eigentlich drei Stellen:

  • Beim Versand
    Ein Schadcode hat schon auf dem System eine Kopie angefertigt, auf dem die Mails erstellt wurde. Das ist durchaus möglich, aber mit etwas Glück sollte Firma A dies in Logs erkennen können oder dass mehrere Kunden von Firma A entsprechend gefälschte Mails haben.
  • Bei der Übertragung
    Es ist relativ unwahrscheinlich, dass jemand wirklich "auf dem Kabel" eine Mail gezielt abhören kann. Sicher können Geheimdienste und Provider hier eingreifen aber gehen wir mal davon aus, dass diese ehrwürdigen Kreise damit nichts zu tun haben und ein Trojaner auf einem Router oder Mitarbeiter eher selten wäre. Da die Mail von Deutschland zum Ziel vermutlich nicht durch Nigeria gelaufen ist, wäre zumindest Hilfe erforderlich gewesen
  • Beim Empfänger
    Die Mail ist beim Empfänger angekommen. Auch hier könnte Trojaner die Mail abgegriffen und weiter gegeben haben.

An welcher Stelle die Mail letztlich abgegriffen wurde, konnte bislang nicht ermittelt werden. Virenscanner, Messagetracking, Logs beim Versender haben zumindest keine verwertbaren Hinweise geliefert. Wenn aber beim Versender eine Kopie erstellt worden wäre, dann sollte man annehmen, dass der Angreifer dieses Masche nicht nur einmal sondern parallel mit mehreren Rechnungsempfängern versuchen würde. Es gab aber bislang nur einen bekannten Fall bei LieferantA. Ach wenn es kein Beweis ist, könnte es beim Empfänger eine Lücke gegeben haben.

Schutzmaßnahmen ?

Man könnte nun versucht sein, einfach eine digitale Signatur einer Mail zu fordern. Aber das ist nur eine geringe Sicherheit. Bei den hier im Raum stehenden Beträgen wird ein Angreifer sich auch die Mühe machen können, die Rechnung mit dem leicht gefälschten Absender zu signieren. Würde der Absender die Mail verschlüsseln, dann könnte die Mail erst im Ziel wieder als "Klartext" sichtbar gemacht werden. Wenn das Abfischen der Information aber auf dem Ziel erfolgt ist, dann hilft selbst eine Transportverschlüsselung hierbei nicht weiter. Selbst eine "Rückfrage" über die "Antworten"-Funktion des Mailclients ist keine Hilfe, da die gefälschte Mail ja durchaus eine gültige Mailadresse enthält und der dahinter wartende Angreifer natürlich passend darauf antworten wird.

Ich kann mir schwer vorstellen, dass klassische Antivirus-Produkte solch einen "Helfer" erkennen. Er kann sich ja lange untätig verhalten und wird sicher keinen Schaden auf dem Wirtssystem anrichten. Er muss nur PDF-Dateien scannen und nach Kontonummern suchen und diese dann "irgendwie" versenden.

Letztlich ist der Schutz nur die Aufmerksamkeit der Empfänger und die Rückfrage über einen alternativen Kommunikationsweg. Speziell wenn eine neue Bankverbindung als Ziel in der Buchhaltung zu einem Kunden eingetragen werden soll, ist diese genau zu prüfen, z.B. per telefonischer Rückfrage oder Mail. Aber auch hier dann bitte nicht auf die freundlicherweise in der Rechnung oder Mail enthaltenen Informationen zurückgreifen, sondern über Wege, die ihnen von anderen Quellen bekannt geworden sind.

Andere Vorgänge

Man man betrachtet, welche Vorgänge heute alle per Mail "besiegelt" werden, dann hat diese Masche durchaus noch Potential. Beim normalen B2C-Geschäften von Webshops liefern die meisten Shops nur an Empfänger im gleichen Land. Aber auch zwischen Firmen werden immer mehr Verträge per Mail geschlossen, Angebote und Auftragsbestätigungen versendet. Auch hier lauert ungemacht, wenn ein Angreifer z.B. eine Bestellung eines Kunden nachmacht und die Lieferadresse verändert. Das geht natürlich schlecht mit großen Gütern, die vielleicht noch eingebaut werden. Aber Speditionen liefern heute unter Zeitdruck auch an jede Adresse und prüfen nicht wirklich die Empfangsberechtigung. Aber es gibt auch viele kleinere leicht wieder umsetzbare Güter. Stellen Sie sich mal vor ein mittlerer Hersteller ordert von einem Lieferant eine größere Anzahl von Prozessoren oder Hauptspeicher und ein Angreifer leitet diese Lieferung an eine "neue" Adresse um. Ich habe schon mal bei einer Firma die Frage aufgeworfen, ob Sie es merken würde, wenn ein Prozess einen falschen Lieferschein auf den Netzwerkdrucker im Warenausgang senden würde. Der Drucker war von allen Clients im Haus-Lan direkt auffindbar und erreichbar und die Firma hat Edelmetalle für Zahnlabore versendet. Ein lohnendes Ziel gibt es überall. Dieses reale Beispiel zeigt, wie einfach eine Mailkommunikation zum Schaden verändert werden kann. Es muss ich nur lohnen und schon wird es auch kriminelle Elemente geben, die ihre Chance ergreifen.

Leider gibt es hier nur bedingt einsetzbare Gegenmaßnahmen: Das Problem ist aber nicht neu. Wenn ich einen Postbrief abgefangen hätte oder jemand eine Kopie "frisiert" hätte, fällt die heute auch nicht einfach auf. Um es ganz perfekt zu machen, hätte der Angreifer im obigen Fall die erste Rechnung nur noch Stornieren und geändert neu senden müssen. Das wäre vermutlich noch überzeugender als eine Zweitrechnung.

Weitere Links