gelöst Geschäftsführer Email gefaked

Mitglied: xbast1x

xbast1x (Level 2) - Jetzt verbinden

27.07.2017 um 12:45 Uhr, 2299 Aufrufe, 23 Kommentare, 3 Danke

Hallo zusammen,

derzeit werden vermehrt Fake E-Mails mit dem Alias unserer GSL verbreitet (mal mehr, mal weniger gut getarnt). Primär gehen die E-Mails an die Fibu mit der Nachfrage ob Betrag XY schon überwiesen wurde. Bisher hatten wir noch keinen solchen Fall. Die Frage die sich mir stellt (weil die Verantwortlichen die Hände in die Luft werfen): Was kann/muss aus rechtlicher Sicht getan werden.

Hat Jemand bereits Erfahrung mit solchen Mails gehabt? Ich möchte keinen juristischen Rat, sondern nur wissen wohin die Reise geht. Anzeige gegen Unbekannt?

Viele Grüße xbast1x
Mitglied: certifiedit.net
27.07.2017 um 12:58 Uhr
Anzeige gegen Unbekannt kannst du machen, aber bei einer Polizei, die schon offline oftmals nicht mehr Herr der Lage ist...

Engagiert jemanden, der sich mit dem Metier auskennt und etabliert ein entsprechendes Abwehr/Warnsystem.

VG
Bitte warten ..
Mitglied: brammer
27.07.2017 um 13:07 Uhr
Hallo,

wie @certifiedit.net schon sagte ... außer Anzeige gegen unbekannt nicht viel.....
Und die User nochmals daraufhinweisen welche Risiken bestehen.... noch mal und noch mal ....

brammer
Bitte warten ..
Mitglied: SlainteMhath
27.07.2017 um 13:09 Uhr
Moin,

Was kann/muss aus rechtlicher Sicht getan werden.
Eigentlich genügt eine Arbeitsanweisung, das Geld nur im 4 Augen Prinzip und nach tel Rücksprache überwiesen werden darf.
Technisch kannst du Mails mit deiner Domain als Absender von extern blocken. Aber gegen all die geakten Hotmail/Gmail/Yahoo Adressen bist du nahezu chancenlos.

lg,
Slainte
Bitte warten ..
Mitglied: xbast1x
27.07.2017 um 13:10 Uhr
Eure Antworten bestätigen meine Vermutung. Die Mitarbeiter sind glücklicherweise gut sensibilisiert und melden die Fälle direkt weiter und haben bisher immer gemerkt wenn es sich um einen Fake handelte.
Bitte warten ..
Mitglied: beidermachtvongreyscull
27.07.2017 um 13:14 Uhr
Zitat von xbast1x:

Hallo zusammen,

Was kann/muss aus rechtlicher Sicht getan werden.
Alles mögliche, damit Ihr ein starkes Indiz habt, nicht fahrlässig gehandelt zu haben. Das schließt übrigens die Verfolgung der Missetäter aus, wenn sie nicht bei Euch in der Firma sitzen.


Hat Jemand bereits Erfahrung mit solchen Mails gehabt? Ich möchte keinen juristischen Rat, sondern nur wissen wohin die Reise geht. Anzeige gegen Unbekannt?

Bringt nicht wirklich etwas, wenn die Täter im Ausland sitzen. Schau Dir die Headerzeilen der Emails an.
Sichere Deine Domäne mit einem scharfen SPF-Record (nicht "+", nicht "~", sondern "-").
Pflege eine strenge AntiSPAM-Policy.

Wenn ein Schlingel bei uns durchkommt, sperre ich sein gesamtes Subnetz aus.

Briefe Deine Nutzer!
Sensibilisiere sie, dass sie rückfragen und vieles in Frage stellen.

Dann fährst Du auf der sicheren Seite.



Viele Grüße xbast1x
Bitte warten ..
Mitglied: emeriks
LÖSUNG 27.07.2017 um 13:23 Uhr
Hi,
als Erstes würde ich - wenn nötig - die Betroffenen (GF & Fibu) darauf aufmerksam machen, dass ich nicht zaubern könne und nicht die Staatsanwaltschaft bin.
Weiterhin würde ich feststellen wollen, ob diese Mails von intern oder von extern gesendet werden.
Drittens würde ich alle Betroffenen zu einer dringenden Sitzung einladen und schulen, wie sie zukünftig solche Mails prüfen sollen/müssen, wie sie von selbst erkennen können, ob diese Mails echt sind oder nicht. Wenn sie keine Lust dazu haben, dann bin ich raus aus der Nummer.
Erst dann würde ich mich um nachhaltige technische Maßnahmen kümmern.

E.
Bitte warten ..
Mitglied: keine-ahnung
27.07.2017, aktualisiert um 13:33 Uhr
Moin,
ich habe keine-ahnung, wie Zahlungsaufträge in FiBu's gehen ... aber als Buchhalter würde ich doch zunächst nach einer Rechnung zu dem Vorgang suchen??
Mal angenommen, ich hätte einen Buchhalter, der mehr Kompetenzen hätte, als Bücher zu halten, und der würde auf meine email-Anfrage, ob die 657,23 Euro schon an Herrn Meyer überwiesen wurden, dann einfach 657,23 Euro an Herrn Meyer überweisen, dürfte der in der Folge nicht mal mehr Bücher halten.
Probleme gibt es auf der Welt ...

LG, Thomas
Bitte warten ..
Mitglied: ashnod
27.07.2017 um 13:46 Uhr
Zitat von keine-ahnung:
... aber als Buchhalter würde ich doch zunächst nach einer Rechnung zu dem Vorgang suchen??

Moin ...
Gibt ja genügend Beispiele wo das bereits funktioniert hatt. Insbesondere wenn einer der Geschäftsführenden das ohnehin gelegentlich veranlasst.

"Also Lotte mach mal schnell 50.000 für den Fifa-Sportsekretär klar" ... also so oder so ähnlich


Aber zur Sache ..... in der Regel sollte man schon sehen das man mittels DKIM und SPF das gar nicht erst ins Haus bekommt.

VG

Ashnod
Bitte warten ..
Mitglied: keine-ahnung
27.07.2017 um 13:49 Uhr
Moin nochmal,
Gibt ja genügend Beispiele wo das bereits funktioniert hatt. Insbesondere wenn einer der Geschäftsführenden das ohnehin gelegentlich veranlasst.
das ist keine Frage der IT-Sicherheit, das ist eine Frage von Dummheit oder Sorglosigkeit oder Vorsatz. Oder einer Melange aus den drei Elementen ...

LG, Thomas
Bitte warten ..
Mitglied: xbast1x
27.07.2017 um 13:50 Uhr
Danke für eure Feedbacks!
Bitte warten ..
Mitglied: certifiedit.net
27.07.2017 um 14:11 Uhr
Zitat von keine-ahnung:

Moin nochmal,
Gibt ja genügend Beispiele wo das bereits funktioniert hatt. Insbesondere wenn einer der Geschäftsführenden das ohnehin gelegentlich veranlasst.
das ist keine Frage der IT-Sicherheit, das ist eine Frage von Dummheit oder Sorglosigkeit oder Vorsatz. Oder einer Melange aus den drei Elementen ...

LG, Thomas

Moin Thomas,

wird aber anscheinend antrainiert und dann kommt noch eine stümperhafte IT-Sicherheit (Unser Informatikstudent) - selbst schon mitbekommen, wie eine Firma da 50.000 nach Italien verlagerte...Was solls, war ja nur ca 1/10 des Jahresreingewinns...

Aber wer am falschen Ende spart kann sich danach wenigstens die Schadenfreude umsonst leisten.

@TO: Nicht an dich gerichtet, aber an manche Konsorten hier aus dem Forum.
Bitte warten ..
Mitglied: nepixl
27.07.2017, aktualisiert um 14:41 Uhr
Hallo xbast1x,

hatte genau das gleiche Problem.
Habe einen Mailcleaner aufgesetzt um erstmal dubiosen Spam abzufangen. Zusätzlich habe ich unsere eigene Domain (per Mailcleaner) geblacklisted (interner Verkehr bleibt unberührt). Seitdem keinerlei Probleme mehr dieser Art. ..bis jetzt.

Kann ich so empfehlen.

Gruß
Bitte warten ..
Mitglied: certifiedit.net
27.07.2017 um 14:30 Uhr
Bis sich die Firewall oder der Mailcleaner mal austauscht und eure Domain auch in der "sonstigen Welt" auf die Blacklist setzt...
Bitte warten ..
Mitglied: Lochkartenstanzer
27.07.2017 um 15:14 Uhr
Moin,

1. gesxchäftspürozesse ebatlieren, die sicherstellen, daß kein geld bloß auf zuruf die Konten wechselt.
2. Mitarbeiter schulen, wie sie fake-mails erkenne.
3. Prüfen ob solche mails von intern oder extern kommen. Intern: Mitarbieter auf die Finger hauen. zur Not dem Admin, wenn der es zugelassen hat, daß externe interne Mails verschicken können. Extern: Strafanzeige gegen unbekannt ohne große Hoffnung auf Erfolg.Aber da diejenige ja meist ein konto angeben, kann man zumidenst mit der Strafanzeige dieses konto außer Gefecht setzen.

lks
Bitte warten ..
Mitglied: fredmy
27.07.2017, aktualisiert um 15:51 Uhr
Hallo,
natürlich gehört zu 1. auch - prüfen, ob überhaupt Geschäftsbeziehungen bestehen!

keine Attachments anfassen .
ggfs. zweifelhafte melden an SysAdmin (Punkt 2) und dann den vollständigen Header ansehen. absendender (öffentlicher) Server sollte zur Domain passen, ggfs. vom "scheinbaren" Absender auch benutzt werden.
Ansonsten muss es in der Firma auch noch einen Vorgang dazu geben .

Ich weiß, dass Punkt 2 der schwierigste ist. Wir waren (hier Gottseidank) immer mehrere "Unternehmen" [e.V.; Stiftung, Gmbh ] und die grösste Hilfe war immer wenn Mitarbeiter "Mails von sich selbst" bekommen haben!
wie max@max-ev.eu kriegt von max@gmbh.de eine Mail, Max arbeitet aber für beide und es sind beides seine Mailadressen.

Gelegentlich wirst du beim Scannen das Attachments fündig (wenn die Variante nicht gar zu neu ist)
Lies auch mal über "social engeneering" nach . Funktioniert auch/gerade in der Chefetage, wenn die richtigen Triggerworte verwendet werden.

Mittels SPF kriegst du einen Teil davon weg (AbsenderIP muss zum Domainnamen passen).
Meine Erfahrungen sind, dass ein Teil in .br eingeliefert wird. Eine Anzeige hilft nur, wenn die tatsächlich dein Geld wollen! Geht es nur um das Starten des Attachements -> notPetya , tja... erkennen + nicht anfassen!

Fred


Fred
Bitte warten ..
Mitglied: Yannosch
27.07.2017 um 16:10 Uhr
Hey

Ich gebe auch mal meinen Erfahrungsbericht dazu.

Wir hatten exakt die selbe Problematik. Ich habe daraufhin das LKA eingeschaltet und eine Anzeige gegen Unbekannt aufgegeben. Außerdem wurden dann alle Personalien der internen Beteiligten aufgenommen. Die Seite des LKA hat auch ein Formular für die Direktion Cybercrime auf der solche "Hackangriffe" gemeldet werden können [Kategorie CEO Fraud].

Postwendend hatte ich dann auch jemanden vom LKA am Ohr. Dieser war sehr hilfsbereit und hat sich genau nach allen Umständen erkundigt. Nach interner Rücksprache wurde aber ein "Trackingversuch" abgelehnt, da kein direkter Schaden entstanden war.

Nach Aufforderung vom LKA-Mitarbeiter haben wir auf die E-Mail geantwortet nach dem ungefähren Wortlaut "Wohin soll es nochmal überwiesen werden?" und es kam tatsächlich eine Verbindung zu einem Schweizer Bankkonto als Antwort zurück. Diese Kontodetails wurden dem Fall noch zugeordnet und wir haben bis Dato nichts mehr gehört - weder vom LKA noch von den "Hackern".

Liebe Grüße
Yannosch
Bitte warten ..
Mitglied: 108012
27.07.2017 um 18:38 Uhr
Hallo,

wenn alle in einem Gebäude sitzen sollte man so etwas nur noch per Hauspost erledigen und/oder jemanden persönlich
damit beauftragen so etwas zu erfragen.

"Gebucht wird immer nur nach Belegen" also was soll es denn groß sein das Problem? Verloren geht nichts dadurch und wer
ein Fax benutzt hat auch immer eine Faxnummer die er benutzt und die sieht man dann auch bei der monatlichen
Telekomrechnung oder etwa nicht? Und eMails sollte da schon etwas mehr Aufschluss geben wem sie sind oder
wer sie verfasst hat, kann zumindest auch heraus gefunden werden.

Einfach alles sammeln und dann einen Anwalt einschalten damit der auch genug in der Hand hat.
Der berät einen kompetent und weiß sicherlich besser als wir hier was zu tun ist.

Gruß
Dobby
Bitte warten ..
Mitglied: certifiedit.net
27.07.2017 um 19:56 Uhr
Dobby, hier scheint es ja noch "seicht" zu sein. Gab da auch schon anhängige Rechnungen... damit hast deinen Beleg
Bitte warten ..
Mitglied: vanTast
31.07.2017 um 12:16 Uhr
Moin,

mittlerweile kursieren ja verschiedene Varianten.
Wir haben diese Mails auch schon erhalten. In der Regel behauptet der GF in der Mail aber dass es sich um eine Transaktion (z.B. Firmenübernahme) handelt die nicht an die Öffentlichkeit dringen soll, also gibt es keine Rechnungen oder Belege für die Buchhaltung.
Die entsprechenden Daten greifen die pösen Puben von der Webseite ab und wenn auf Spam eine Abwesenheitsnotiz vom GF kommt herrschen ideale Bedingungen.

Eine weitere Variante: Die Bank (es gibt noch aufmerksame Mitarbeiter) ruft uns an und fragt nach ob dieses Überweisungsformular wirklich von uns ist. Es wurde mit Schreibmaschine ausgefüllt und die Unterschrift war schon wirklich nahezu perfekt gefälscht.
Da wir den Zahlungsverkehr nur elektronisch abwickeln fiel so eine Überweisung in Papierform auf.

Die dritte Variante: Kunde fragt beim Hersteller telefonisch an ob wir ein neues Bankkonto hätten da er ja per mail aufgefordert wurde den Rechnungsbetrag auf ein anderes Konto zu überweisen. Als dies verneint wurde und der Kunde daraufhin die Zahlungsbestätigung für die Zahlung auf das alte Konto per e-mail schickt bekommt er eine gefälschte e-mail dass er doch darum gebeten wurde die Zahlung auf ein anderes Konto vorzunehmen und er die Zahlung stornieren soll und das andere Konto benutzen soll. Wenn der Kunde auf diese Mails beim Hersteller antwortet bekommt der Hersteller diese Mails aber nicht. Antwortet der Hersteller mit vom Betrüger abweichenden Anweisungen, so bekommt der Kunde diese auch nicht.
Kurz, der Mailverkehr wird abgefangen und nach Lust und Laune entweder gelöscht oder "überarbeitet".
Das passierte wohl schon eine ganze Weile denn sonst hätten die Betrüger ja nichts von so einem Projekt und der dazugehörigen Zahlung gewusst.

Gruss
vanTast
Bitte warten ..
Mitglied: certifiedit.net
31.07.2017 um 12:25 Uhr
Moin vanTast,

erster Fall, ok, menschliche Blödheit, wenn es durch geht. Hier muss geschult werden.

Zweiter Fall. Dreist, kann man aber auch hier nur darauf hoffen, dass die Bank geschult ist.

Im dritten Fall ist es einfach nur eine besch... IT-Sicherheit, denn irgendwo müssen die Mails abgegriffen worden sein. hier ist dann tatsächlich rein die Sicherheitsstrategie der Firma zu greifen. Schulen sollte man natürlich dennoch.

VG
Bitte warten ..
Mitglied: vanTast
31.07.2017 um 12:57 Uhr
Zitat von certifiedit.net:

Im dritten Fall ist es einfach nur eine besch... IT-Sicherheit, denn irgendwo müssen die Mails abgegriffen worden sein. hier ist dann tatsächlich rein die Sicherheitsstrategie der Firma zu greifen. Schulen sollte man natürlich dennoch.

Das Problem bekommst Du aber schnell wenn Du international unterwegs bist. Denn dort, wo die e-Mails abgegriffen werden, herrscht was das betrifft oft ein relativ rechtsfreier Raum. Da kannst Du als Hersteller in Deutschland nicht viel tun.
Und wenn der Kunde aus Timbuktu auf ein falsches Konto zahlt welches der Hersteller ihm ja in einer gefälschten Mail nannte, dann wird es aufwändig bis unmöglich an das Geld zu kommen. Wie willst Du als deutscher Hersteller dann beweisen dass die Mails gefälscht waren?
Und der Kunde wird sagen, er hätte ja schliesslich bezahlt. Klag mal in Timbuktu Deine 500.000 EUR ein
Bitte warten ..
Mitglied: fredmy
31.07.2017 um 12:57 Uhr
Hallo van Tast,

bei Mails hilft nur signierte Mail (!)
Es sei denn ihr nehmt alles per Postkarte entgegen.
Erstaunlich (für mich) - zum Bezahlen sollte es einen Vorgang geben (Auftrag + Rechnung).
Üblicherweise (?) reich allein die Rechnung - einer müsste "sachlich richtig" zeichnen (sollen).

Zumindest wäre mal interessant, wo diese (merkwürdigen) Mails eingeliefert werden und ggfs von wem.
Im dümmsten Fall arbeitet "der Trojaner" in House.

Schulungen sind aber auch nur die "halbe Miete", ein ordentliches SPF bringt Entlastung. Vorausgesetzt ihr verwaltet eure Mails selbst.

Hier müssen/müssten/sollten mehre Konzepte ineinandergreifen, was am Ende IT-Sicherheit heist!
IT-Sicherheit ist eben viel mehr als nur technische Maßnahmen.
Und Unterschriftsfälscher sind fast so alt wie die Menschheit - es wird mit Scan + Print evtl. etwas einfacher ?

Fred
Bitte warten ..
Mitglied: fredmy
31.07.2017, aktualisiert um 17:09 Uhr
Das Problem bekommst Du aber schnell wenn Du international unterwegs bist. Denn dort, wo die e-Mails abgegriffen werden, herrscht was das betrifft oft ein relativ rechtsfreier Raum. Da kannst Du als Hersteller in Deutschland nicht viel tun.

O.K. wenn Vertäge auf Zuruf passieren, ohne dass du den Kunden kennst...

Und wenn der Kunde aus Timbuktu auf ein falsches Konto zahlt welches der Hersteller ihm ja in einer gefälschten Mail nannte, dann wird es aufwändig bis unmöglich an das Geld zu kommen. Wie willst Du als deutscher Hersteller dann beweisen dass die Mails gefälscht waren?
Und der Kunde wird sagen, er hätte ja schliesslich bezahlt. Klag mal in Timbuktu Deine 500.000 EUR ein

Beweise: Mails signieren, solange du nicht die "Mafia" als Abnehmer hast , funktioniert das auch - grundsätzlich.
(Solange beide den Aufwand wollen).
Wichtige Dinge (Bezahlung evtl.) sollten im Vertrag stehen. Sowie auch einkommende Papierpost nicht wirklich sicher ist - auch das bedarf einer Plausibilitätsprüfung.

Zumal Mails nicht in Timbuktu abgefangen werden sondern direkt von Quelle zu Ziel geschickt werden - gern (wenn möglich) auch noch per TLS (TLS sollte bei Euch anfangen). Die grossen Löcher waren in der Vergangenheit immer schlechte/bekannte Passwörter, "böse Leute" der eigenen Firma - z.T. gekündigte) und übernommene Rechner.
Manchmal auch intelligente "Räuber" sprich: du solltest auch z.B. bei deiner Bank mindestens zyklisch prüfen, ob die Fingerprints zum ssl (https) Key passen.
Ich kenne das auch so daß bei größeren Änderungen (Antrag per Mail) ein Kontrollanruf kommt - sprich: du kriegst deinen Auftrag telefonisch bestätigt. Mag nicht immer und überall so sein, aber ich kenne das Spiel
"wir graben nach Geld" schon recht lange. "Social engeneering" funktioniert auch schon lange , wenn alles nur auf Zuruf geht
Du wirst das Problem nie lösen können wenn dein "Kunde" sich von jedem über den Tisch ziehen lässt - du kannst nur mit genauen Verträgen gegensteuern. Nimm dir ein Beispiel an Banken: was die alles ausschließen - sprich was du nicht machen sollst (z.B. -> fordert pro Auftrag nie mehrere Transaktionsnummern (TAN)! und so weiter)


Fred

ps: und klar - ich kann dir einen Mail schicken bei der der "Envelope" frei gestaltet ist! ... was hättest du gern als Absender da stehen ?
aber: das ist so alt wie ds smtp-Protokoll ;)
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server17 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Server
Kein Zugriff auf NAS bei DS Lite
martingerdesFrageServer14 Kommentare

Hallo liebe Gemeinde, dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. ...

Server-Hardware
Konfiguration und Stromverbrauch ML350 Gen10
kosta88FrageServer-Hardware14 Kommentare

Hallo, ich versuche mal zu berechnen was ein ML350 verbrauchen würde. Ich weiß dass es von der Konfiguration und ...

Grafikkarten & Monitore
Grafikkarte kaputt? Hier muss noch etwas hin, weil der andere Titel schon vergeben ist :)
Sir.classicFrageGrafikkarten & Monitore11 Kommentare

Hallo an alle, ich habe einen selbst gebauten PC und mein Problem ist, dass meine Monitore regelmäßig (alle 3h) ...

LAN, WAN, Wireless
Spanning Tree Probleme
predator66FrageLAN, WAN, Wireless11 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Notebook & Zubehör
Business Support HP, Dell, Lenovo etc
fuzzyLogicFrageNotebook & Zubehör10 Kommentare

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Ähnliche Inhalte
E-Mail
Email blockierung
xaver-2FrageE-Mail4 Kommentare

Hallo ich würde gerne bei einem Outlook Konto alle E-mails die nach einer gewissen zeit eintreffen mit einer Nachricht ...

Exchange Server
Email Verschlüsselung
Sasuke35FrageExchange Server13 Kommentare

Hallo liebe Gemeinde. Immer noch quält mich der Gedanke eine Email Verschlüsselung zu implementieren. Keine der Lösungen ist das ...

PHP
Email before download
martenkFragePHP43 Kommentare

hallo Gemeinschaft, ich habe 10 Exposes auf meinem Server liegen nu soll der Prozess so sein, dass wenn man ...

E-Mail
Responsive Email Designer
MegaGigaFrageE-Mail2 Kommentare

Moin Moin :-) Ich suche wie der Titel schon sagt einen HTML Editor zum erstellen von Mails. Must Have's ...

E-Mail
Email für Benachrichtigungen
deredvtypFrageE-Mail5 Kommentare

Hallo zusammen, ich richte momentan auf allen Speichersystemen und Servern die Emailnotification ein. Macht es aus eurer erfahrenen Sicht ...

E-Mail
DNS Einstellung Email
gelöst WPFORGEFrageE-Mail8 Kommentare

Hallo,ich habe die domain domaina.tld momentan auf 123.123.123.aaa liegen (A Record) Der MX eintrag lautet domaina.tld. Jetzt würde ich ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT