{"id":1863,"date":"2023-03-07T15:00:00","date_gmt":"2023-03-07T13:00:00","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=1863"},"modified":"2023-03-08T18:35:19","modified_gmt":"2023-03-08T16:35:19","slug":"betrugsmasche-gegen-verrechnung","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/betrugsmasche-gegen-verrechnung\/","title":{"rendered":"Anstieg Betrugsmasche gegen Verrechnung"},"content":{"rendered":"\n

Certitude nimmt in den letzten Wochen eine H\u00e4ufung von Online-Betrug gegen die Verrechnungsabteilungen von Unternehmen in \u00d6sterreich und Deutschland wahr. Angreifer erwirken die \u00c4nderungen der Kontodaten von Lieferanten bei deren Kunden durch Social Engineering per E-Mail. H\u00e4ufig betragen die Schadenssummen mehrere hunderttausend Euro und f\u00fchren zu Rechtsstreitigkeiten zwischen den betroffenen Unternehmen.<\/p>\n\n\n\n

Nun sind diese Angriffe nicht neu, ungew\u00f6hnlich ist jedoch die starke H\u00e4ufung derartiger F\u00e4lle in den vergangenen Wochen, die Certitude bei mit ihr in Kontakt stehenden Unternehmen wahrnimmt. Certitude konnte bei den Analysen auch feststellen, dass Betr\u00fcger strukturiert Informationen zu Auftragsvergaben aus \u00f6ffentlichen Ausschreibungen abgreifen, um so Kenntnisse \u00fcber Lieferanten-Kunden-Beziehungen zu erlangen, die dann in weiterer Folge f\u00fcr diese Angriffe verwendet werden.<\/p>\n\n\n\n

Involvierte Parteien<\/h2>\n\n\n\n

F\u00fcr die weitere Erl\u00e4uterung ist es wichtig folgende 3 Parteien, die in diesen Angriff involviert sind, zu verstehen:<\/p>\n\n\n\n

    \n
  1. Firma-L: Eine Firma, die Leistungen f\u00fcr ihre Kunden erbringt und verrechnet (Lieferant)<\/li>\n\n\n\n
  2. Firma-K: Eine Firma, die Leistungen bezieht und daf\u00fcr bezahlt (Kunde)<\/li>\n\n\n\n
  3. Angreifer: Gibt sich gegen\u00fcber dem Lieferanten als Kunde aus bzw. gegen\u00fcber dem Kunden als Lieferant<\/li>\n<\/ol>\n\n\n\n

    Recherche und Vorbereitung<\/h2>\n\n\n\n

    Die Angriffe beginnen meist mit einer Recherche des Angreifers \u00fcber Firma-K und \u00fcber die mit Kunde-K in Beziehung stehenden Lieferanten. An diese Informationen zu gelangen ist meist leichter als viele vermuten w\u00fcrden.  Folgende Quellen k\u00f6nnen dazu beispielsweise n\u00fctzlich sein:<\/p>\n\n\n\n

      \n
    • Pressemeldungen<\/li>\n\n\n\n
    • Blogposts<\/li>\n\n\n\n
    • Social-Media Kan\u00e4le der Unternehmen<\/li>\n\n\n\n
    • Bekanntmachungen im Zuge von Ausschreibungen<\/li>\n<\/ul>\n\n\n\n

      Im n\u00e4chsten Schritt tritt der Angreifer mit den beiden Firmen per E-Mail in Kontakt. Ziel dieses Erstkontaktes ist es zu verstehen, wie E-Mails der Unternehmen z.B. hinsichtlich Schriftart, Signatur, Schreibstil gestaltet sind. Dazu reicht meist eine einzige E-Mail an den Vertrieb oder die Firmenkontaktadresse mit einer allgemeinen Anfrage, auf die meist h\u00f6flich geantwortet wird.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      Nun kann der Angreifer die E-Mails optisch und stilistisch nachahmen, um sich in zuk\u00fcnftigen E-Mails jeweils als die andere Partei dieser Lieferanten-Kunden-Beziehung auszugeben. M\u00f6glicherweise registriert sich der Angreifer daf\u00fcr auch eine den tats\u00e4chlichen Unternehmensdomains \u00e4hnlich lautende Domain oder, sofern keine technischen Ma\u00dfnahmen (wie DMARC, DKIM und SPF) implementiert sind (leider ist das immer noch h\u00e4ufig der Fall), kann er die Emails sogar von den jeweiligen Unternehmensdomains verschicken und dadurch fast unerkennbar machen.<\/p>\n\n\n\n

      Einklinken in die Rechnungskommunikation<\/h2>\n\n\n\n

      Eine typische n\u00e4chste Aktion w\u00e4re nun Firma-L im Namen von Firma-K zu kontaktieren und nach offenen Rechnungen zu fragen. Firma-L merkt h\u00e4ufig nicht, dass es sich um den Angreifer handelt, da die E-Mails optisch und stilistisch den legitimen E-Mails von Firma-K t\u00e4uschend \u00e4hnlich, wenn nicht sogar gleich, sind.<\/p>\n\n\n\n

      Der Lieferant m\u00f6chte seine offenen Rechnungen beglichen haben und ist deshalb gerne bereit die offenen Rechnungspositionen und -dokumente zu \u00fcbermitteln \u2013 ohne zu wissen, dass es sich um den Angreifer handelt.<\/p>\n\n\n\n

      H\u00e4ufig verbleiben E-Mail Adressen der Angreifer unbemerkt im Kommunikationsverlauf (CC Feld) bei zuk\u00fcnftigen E-Mails zu Rechnungen in der Beziehung zwischen Kunde und Lieferant.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      \u00dcbermittlung der ge\u00e4nderten Rechnung<\/h2>\n\n\n\n

      Nun tauscht der Angreifer die Kontonummer in der Rechnung aus. F\u00e4lschlicherweise wird h\u00e4ufig angenommen, dass PDF-Dateien nicht ge\u00e4ndert werden k\u00f6nnen \u2013 dem ist nicht so! Der Angreifer schickt die ge\u00e4nderte Rechnung nun im Namen Firma-L an Firma-K, h\u00e4ufig noch mit einem Hinweis zur ge\u00e4nderten Kontonummer im E-Mail-Text.<\/p>\n\n\n\n

      Bei der n\u00e4chsten \u00dcberweisung der Firma-K an Firma-L ist der Schaden angerichtet. Das Geld ist am Angreiferkonto (im Ausland) und wird rasch \u201eausgecasht\u201c. Doch zu diesem Zeitpunkt haben Firma-K und Firma-L meist noch nichts bemerkt.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      Erst nach der ersten Nachfrage oder Mahnung der Firma-L an Firma-K f\u00e4llt der Angriff auf. Oft geschieht das erst Wochen oder Monate nach dem stattgefundenen Angriff. Eine Strafverfolgung ist schwierig, da der Angreifer seine Herkunft technisch verschleiert und die Kommunikation \u00fcber L\u00e4nder f\u00fchrt, mit denen es keine Kooperation in der Strafverfolgung gibt. Auch das Kreditinstitut des Angreifers befindet sich in fremden L\u00e4ndern.<\/p>\n\n\n\n

      Wer ist das Opfer?<\/h2>\n\n\n\n

      H\u00e4ufig f\u00fchren derartige Vorf\u00e4lle, auch aufgrund der hohen Schadenssummen, zu Rechtsstreitigkeiten \u00fcber die Verantwortung des Angriffs zwischen Firma-K und Firma-L. Firma-K hat die \u00dcberweisung an das falsche Konto get\u00e4tigt, Firma-L hat aber somit ihr Geld nicht erhalten. Oft haben beide der betroffenen Parteien Fehler in der vorangegangenen Kommunikation begangen, die den Angriff erm\u00f6glichten.<\/p>\n\n\n\n

      Was soll man als Betroffener tun?<\/h2>\n\n\n\n

      Certitude empfiehlt derartige Vorf\u00e4lle rasch zur Anzeige zu bringen und Experten bei der Aufkl\u00e4rung des Vorfalls zu involvieren. Das beschriebene Szenario ist nur eines von verschiedenen m\u00f6glichen Angriffsvarianten. Forensische Analysen der E-Mails k\u00f6nnen das Angreifervorgehen eingrenzen und kl\u00e4ren, ob Infrastruktur kompromittiert wurde oder der Angriff ausschlie\u00dflich auf Social Engineering, entsprechend dem oben beschriebenen Szenario, basiert. M\u00f6glicherweise erm\u00f6glichen die Analysen R\u00fcckschl\u00fcsse auf die T\u00e4ter.<\/p>\n\n\n\n

      Was sollte man pr\u00e4ventiv tun?<\/h2>\n\n\n\n
        \n
      • Die Security-Awareness der Mitarbeiter st\u00e4rken, z.B. durch Schulungen und selbst beauftragte Phishing Kampagnen<\/li>\n\n\n\n
      • Kritische Pr\u00fcfung der Absender-E-Mail-Adressen und Domains durch die Mitarbeiter<\/li>\n\n\n\n
      • Elektronische Signaturen f\u00fcr E-Mails und Rechnungsdokumente zwischen Kunde und Lieferant etablieren \u2013 dadurch k\u00f6nnen gef\u00e4lschte E-Mails oder Dokumente leichter auffallen<\/li>\n\n\n\n
      • Technische H\u00e4rtungen an den E-Mail-Systemen im Unternehmen vornehmen, insb. die technischen Ma\u00dfnahmen DKIM, DMARC, SPF einsetzen, um E-Mail Spoofing zu verhindern. Anderenfalls k\u00f6nnen Angreifer sogar im Namen fremder Domains E-Mails verschicken<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

        Certitude nimmt in den letzten Wochen eine H\u00e4ufung von Online-Betrug gegen die Verrechnungsabteilungen von Unternehmen in \u00d6sterreich und Deutschland wahr. Angreifer erwirken die \u00c4nderungen der Kontodaten von Lieferanten bei deren Kunden durch Social Engineering per E-Mail. H\u00e4ufig betragen die Schadenssummen mehrere hunderttausend Euro und f\u00fchren zu Rechtsstreitigkeiten zwischen den betroffenen Unternehmen. Nun sind diese Angriffe nicht […]<\/p>\n","protected":false},"author":2,"featured_media":1868,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[63,191],"tags":[],"class_list":["post-1863","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technische-analyse","category-vorfallsbehandlung"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/1863","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=1863"}],"version-history":[{"count":15,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/1863\/revisions"}],"predecessor-version":[{"id":1906,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/1863\/revisions\/1906"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/1868"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=1863"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=1863"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=1863"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}