Geschäftsführer Email gefaked

xbast1x
Goto Top
Hallo zusammen,

derzeit werden vermehrt Fake E-Mails mit dem Alias unserer GSL verbreitet (mal mehr, mal weniger gut getarnt). Primär gehen die E-Mails an die Fibu mit der Nachfrage ob Betrag XY schon überwiesen wurde. Bisher hatten wir noch keinen solchen Fall. Die Frage die sich mir stellt (weil die Verantwortlichen die Hände in die Luft werfen): Was kann/muss aus rechtlicher Sicht getan werden.

Hat Jemand bereits Erfahrung mit solchen Mails gehabt? Ich möchte keinen juristischen Rat, sondern nur wissen wohin die Reise geht. Anzeige gegen Unbekannt?

Viele Grüße xbast1x

Content-Key: 344658

Url: https://administrator.de/contentid/344658

Ausgedruckt am: 04.07.2022 um 08:07 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.07.2017 um 12:58:59 Uhr
Goto Top
Anzeige gegen Unbekannt kannst du machen, aber bei einer Polizei, die schon offline oftmals nicht mehr Herr der Lage ist...

Engagiert jemanden, der sich mit dem Metier auskennt und etabliert ein entsprechendes Abwehr/Warnsystem.

VG
Mitglied: brammer
brammer 27.07.2017 um 13:07:06 Uhr
Goto Top
Hallo,

wie @certifiedit.net schon sagte ... außer Anzeige gegen unbekannt nicht viel.....
Und die User nochmals daraufhinweisen welche Risiken bestehen.... noch mal und noch mal ....

brammer
Mitglied: SlainteMhath
SlainteMhath 27.07.2017 um 13:09:46 Uhr
Goto Top
Moin,

Was kann/muss aus rechtlicher Sicht getan werden.
Eigentlich genügt eine Arbeitsanweisung, das Geld nur im 4 Augen Prinzip und nach tel Rücksprache überwiesen werden darf.
Technisch kannst du Mails mit deiner Domain als Absender von extern blocken. Aber gegen all die geakten Hotmail/Gmail/Yahoo Adressen bist du nahezu chancenlos.

lg,
Slainte
Mitglied: xbast1x
xbast1x 27.07.2017 um 13:10:06 Uhr
Goto Top
Eure Antworten bestätigen meine Vermutung. Die Mitarbeiter sind glücklicherweise gut sensibilisiert und melden die Fälle direkt weiter und haben bisher immer gemerkt wenn es sich um einen Fake handelte.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 27.07.2017 um 13:14:47 Uhr
Goto Top
Zitat von @xbast1x:

Hallo zusammen,

Was kann/muss aus rechtlicher Sicht getan werden.
Alles mögliche, damit Ihr ein starkes Indiz habt, nicht fahrlässig gehandelt zu haben. Das schließt übrigens die Verfolgung der Missetäter aus, wenn sie nicht bei Euch in der Firma sitzen.


Hat Jemand bereits Erfahrung mit solchen Mails gehabt? Ich möchte keinen juristischen Rat, sondern nur wissen wohin die Reise geht. Anzeige gegen Unbekannt?

Bringt nicht wirklich etwas, wenn die Täter im Ausland sitzen. Schau Dir die Headerzeilen der Emails an.
Sichere Deine Domäne mit einem scharfen SPF-Record (nicht "+", nicht "~", sondern "-").
Pflege eine strenge AntiSPAM-Policy.

Wenn ein Schlingel bei uns durchkommt, sperre ich sein gesamtes Subnetz aus.

Briefe Deine Nutzer!
Sensibilisiere sie, dass sie rückfragen und vieles in Frage stellen.

Dann fährst Du auf der sicheren Seite.



Viele Grüße xbast1x

Mitglied: emeriks
Lösung emeriks 27.07.2017 um 13:23:26 Uhr
Goto Top
Hi,
als Erstes würde ich - wenn nötig - die Betroffenen (GF & Fibu) darauf aufmerksam machen, dass ich nicht zaubern könne und nicht die Staatsanwaltschaft bin.
Weiterhin würde ich feststellen wollen, ob diese Mails von intern oder von extern gesendet werden.
Drittens würde ich alle Betroffenen zu einer dringenden Sitzung einladen und schulen, wie sie zukünftig solche Mails prüfen sollen/müssen, wie sie von selbst erkennen können, ob diese Mails echt sind oder nicht. Wenn sie keine Lust dazu haben, dann bin ich raus aus der Nummer.
Erst dann würde ich mich um nachhaltige technische Maßnahmen kümmern.

E.
Mitglied: keine-ahnung
keine-ahnung 27.07.2017 aktualisiert um 13:33:21 Uhr
Goto Top
Moin,
ich habe keine-ahnung, wie Zahlungsaufträge in FiBu's gehen ... aber als Buchhalter würde ich doch zunächst nach einer Rechnung zu dem Vorgang suchen??
Mal angenommen, ich hätte einen Buchhalter, der mehr Kompetenzen hätte, als Bücher zu halten, und der würde auf meine email-Anfrage, ob die 657,23 Euro schon an Herrn Meyer überwiesen wurden, dann einfach 657,23 Euro an Herrn Meyer überweisen, dürfte der in der Folge nicht mal mehr Bücher halten.
Probleme gibt es auf der Welt ... face-smile

LG, Thomas
Mitglied: ashnod
ashnod 27.07.2017 um 13:46:40 Uhr
Goto Top
Zitat von @keine-ahnung:
... aber als Buchhalter würde ich doch zunächst nach einer Rechnung zu dem Vorgang suchen??

Moin ...
Gibt ja genügend Beispiele wo das bereits funktioniert hatt. Insbesondere wenn einer der Geschäftsführenden das ohnehin gelegentlich veranlasst.

"Also Lotte mach mal schnell 50.000 für den Fifa-Sportsekretär klar" ... also so oder so ähnlich face-wink


Aber zur Sache ..... in der Regel sollte man schon sehen das man mittels DKIM und SPF das gar nicht erst ins Haus bekommt.

VG

Ashnod
Mitglied: keine-ahnung
keine-ahnung 27.07.2017 um 13:49:53 Uhr
Goto Top
Moin nochmal,
Gibt ja genügend Beispiele wo das bereits funktioniert hatt. Insbesondere wenn einer der Geschäftsführenden das ohnehin gelegentlich veranlasst.
das ist keine Frage der IT-Sicherheit, das ist eine Frage von Dummheit oder Sorglosigkeit oder Vorsatz. Oder einer Melange aus den drei Elementen ...

LG, Thomas
Mitglied: xbast1x
xbast1x 27.07.2017 um 13:50:58 Uhr
Goto Top
Danke für eure Feedbacks!
Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.07.2017 um 14:11:42 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin nochmal,
Gibt ja genügend Beispiele wo das bereits funktioniert hatt. Insbesondere wenn einer der Geschäftsführenden das ohnehin gelegentlich veranlasst.
das ist keine Frage der IT-Sicherheit, das ist eine Frage von Dummheit oder Sorglosigkeit oder Vorsatz. Oder einer Melange aus den drei Elementen ...

LG, Thomas

Moin Thomas,

wird aber anscheinend antrainiert und dann kommt noch eine stümperhafte IT-Sicherheit (Unser Informatikstudent) - selbst schon mitbekommen, wie eine Firma da 50.000 nach Italien verlagerte...Was solls, war ja nur ca 1/10 des Jahresreingewinns...

Aber wer am falschen Ende spart kann sich danach wenigstens die Schadenfreude umsonst leisten.

@to: Nicht an dich gerichtet, aber an manche Konsorten hier aus dem Forum.
Mitglied: nepixl
nepixl 27.07.2017 aktualisiert um 14:41:12 Uhr
Goto Top
Hallo xbast1x,

hatte genau das gleiche Problem.
Habe einen Mailcleaner aufgesetzt um erstmal dubiosen Spam abzufangen. Zusätzlich habe ich unsere eigene Domain (per Mailcleaner) geblacklisted (interner Verkehr bleibt unberührt). Seitdem keinerlei Probleme mehr dieser Art. ..bis jetzt.

Kann ich so empfehlen.

Gruß
Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.07.2017 um 14:30:51 Uhr
Goto Top
Bis sich die Firewall oder der Mailcleaner mal austauscht und eure Domain auch in der "sonstigen Welt" auf die Blacklist setzt...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 27.07.2017 um 15:14:07 Uhr
Goto Top
Moin,

1. gesxchäftspürozesse ebatlieren, die sicherstellen, daß kein geld bloß auf zuruf die Konten wechselt.
2. Mitarbeiter schulen, wie sie fake-mails erkenne.
3. Prüfen ob solche mails von intern oder extern kommen. Intern: Mitarbieter auf die Finger hauen. zur Not dem Admin, wenn der es zugelassen hat, daß externe interne Mails verschicken können. Extern: Strafanzeige gegen unbekannt ohne große Hoffnung auf Erfolg.Aber da diejenige ja meist ein konto angeben, kann man zumidenst mit der Strafanzeige dieses konto außer Gefecht setzen.

lks
Mitglied: fredmy
fredmy 27.07.2017 aktualisiert um 15:51:19 Uhr
Goto Top
Hallo,
natürlich gehört zu 1. auch - prüfen, ob überhaupt Geschäftsbeziehungen bestehen!

keine Attachments anfassen .
ggfs. zweifelhafte melden an SysAdmin (Punkt 2) und dann den vollständigen Header ansehen. absendender (öffentlicher) Server sollte zur Domain passen, ggfs. vom "scheinbaren" Absender auch benutzt werden.
Ansonsten muss es in der Firma auch noch einen Vorgang dazu geben .

Ich weiß, dass Punkt 2 der schwierigste ist. Wir waren (hier Gottseidank) immer mehrere "Unternehmen" [e.V.; Stiftung, Gmbh ] und die grösste Hilfe war immer wenn Mitarbeiter "Mails von sich selbst" bekommen haben!
wie max@max-ev.eu kriegt von max@gmbh.de eine Mail, Max arbeitet aber für beide und es sind beides seine Mailadressen.

Gelegentlich wirst du beim Scannen das Attachments fündig (wenn die Variante nicht gar zu neu ist)
Lies auch mal über "social engeneering" nach . Funktioniert auch/gerade in der Chefetage, wenn die richtigen Triggerworte verwendet werden.

Mittels SPF kriegst du einen Teil davon weg (AbsenderIP muss zum Domainnamen passen).
Meine Erfahrungen sind, dass ein Teil in .br eingeliefert wird. Eine Anzeige hilft nur, wenn die tatsächlich dein Geld wollen! Geht es nur um das Starten des Attachements -> notPetya , tja... erkennen + nicht anfassen!

Fred


Fred
Mitglied: Yannosch
Yannosch 27.07.2017 um 16:10:03 Uhr
Goto Top
Hey face-smile

Ich gebe auch mal meinen Erfahrungsbericht dazu.

Wir hatten exakt die selbe Problematik. Ich habe daraufhin das LKA eingeschaltet und eine Anzeige gegen Unbekannt aufgegeben. Außerdem wurden dann alle Personalien der internen Beteiligten aufgenommen. Die Seite des LKA hat auch ein Formular für die Direktion Cybercrime auf der solche "Hackangriffe" gemeldet werden können [Kategorie CEO Fraud].

Postwendend hatte ich dann auch jemanden vom LKA am Ohr. Dieser war sehr hilfsbereit und hat sich genau nach allen Umständen erkundigt. Nach interner Rücksprache wurde aber ein "Trackingversuch" abgelehnt, da kein direkter Schaden entstanden war.

Nach Aufforderung vom LKA-Mitarbeiter haben wir auf die E-Mail geantwortet nach dem ungefähren Wortlaut "Wohin soll es nochmal überwiesen werden?" und es kam tatsächlich eine Verbindung zu einem Schweizer Bankkonto als Antwort zurück. Diese Kontodetails wurden dem Fall noch zugeordnet und wir haben bis Dato nichts mehr gehört - weder vom LKA noch von den "Hackern".

Liebe Grüße
Yannosch
Mitglied: Dobby
Dobby 27.07.2017 um 18:38:02 Uhr
Goto Top
Hallo,

wenn alle in einem Gebäude sitzen sollte man so etwas nur noch per Hauspost erledigen und/oder jemanden persönlich
damit beauftragen so etwas zu erfragen.

"Gebucht wird immer nur nach Belegen" also was soll es denn groß sein das Problem? Verloren geht nichts dadurch und wer
ein Fax benutzt hat auch immer eine Faxnummer die er benutzt und die sieht man dann auch bei der monatlichen
Telekomrechnung oder etwa nicht? Und eMails sollte da schon etwas mehr Aufschluss geben wem sie sind oder
wer sie verfasst hat, kann zumindest auch heraus gefunden werden.

Einfach alles sammeln und dann einen Anwalt einschalten damit der auch genug in der Hand hat.
Der berät einen kompetent und weiß sicherlich besser als wir hier was zu tun ist.

Gruß
Dobby

Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.07.2017 um 19:56:03 Uhr
Goto Top
Dobby, hier scheint es ja noch "seicht" zu sein. Gab da auch schon anhängige Rechnungen... damit hast deinen Beleg
Mitglied: vanTast
vanTast 31.07.2017 um 12:16:03 Uhr
Goto Top
Moin,

mittlerweile kursieren ja verschiedene Varianten.
Wir haben diese Mails auch schon erhalten. In der Regel behauptet der GF in der Mail aber dass es sich um eine Transaktion (z.B. Firmenübernahme) handelt die nicht an die Öffentlichkeit dringen soll, also gibt es keine Rechnungen oder Belege für die Buchhaltung.
Die entsprechenden Daten greifen die pösen Puben von der Webseite ab und wenn auf Spam eine Abwesenheitsnotiz vom GF kommt herrschen ideale Bedingungen.

Eine weitere Variante: Die Bank (es gibt noch aufmerksame Mitarbeiter) ruft uns an und fragt nach ob dieses Überweisungsformular wirklich von uns ist. Es wurde mit Schreibmaschine ausgefüllt und die Unterschrift war schon wirklich nahezu perfekt gefälscht.
Da wir den Zahlungsverkehr nur elektronisch abwickeln fiel so eine Überweisung in Papierform auf.

Die dritte Variante: Kunde fragt beim Hersteller telefonisch an ob wir ein neues Bankkonto hätten da er ja per mail aufgefordert wurde den Rechnungsbetrag auf ein anderes Konto zu überweisen. Als dies verneint wurde und der Kunde daraufhin die Zahlungsbestätigung für die Zahlung auf das alte Konto per e-mail schickt bekommt er eine gefälschte e-mail dass er doch darum gebeten wurde die Zahlung auf ein anderes Konto vorzunehmen und er die Zahlung stornieren soll und das andere Konto benutzen soll. Wenn der Kunde auf diese Mails beim Hersteller antwortet bekommt der Hersteller diese Mails aber nicht. Antwortet der Hersteller mit vom Betrüger abweichenden Anweisungen, so bekommt der Kunde diese auch nicht.
Kurz, der Mailverkehr wird abgefangen und nach Lust und Laune entweder gelöscht oder "überarbeitet".
Das passierte wohl schon eine ganze Weile denn sonst hätten die Betrüger ja nichts von so einem Projekt und der dazugehörigen Zahlung gewusst.

Gruss
vanTast
Mitglied: falscher-sperrstatus
falscher-sperrstatus 31.07.2017 um 12:25:08 Uhr
Goto Top
Moin vanTast,

erster Fall, ok, menschliche Blödheit, wenn es durch geht. Hier muss geschult werden.

Zweiter Fall. Dreist, kann man aber auch hier nur darauf hoffen, dass die Bank geschult ist.

Im dritten Fall ist es einfach nur eine besch... IT-Sicherheit, denn irgendwo müssen die Mails abgegriffen worden sein. hier ist dann tatsächlich rein die Sicherheitsstrategie der Firma zu greifen. Schulen sollte man natürlich dennoch.

VG
Mitglied: vanTast
vanTast 31.07.2017 um 12:57:14 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Im dritten Fall ist es einfach nur eine besch... IT-Sicherheit, denn irgendwo müssen die Mails abgegriffen worden sein. hier ist dann tatsächlich rein die Sicherheitsstrategie der Firma zu greifen. Schulen sollte man natürlich dennoch.

Das Problem bekommst Du aber schnell wenn Du international unterwegs bist. Denn dort, wo die e-Mails abgegriffen werden, herrscht was das betrifft oft ein relativ rechtsfreier Raum. Da kannst Du als Hersteller in Deutschland nicht viel tun.
Und wenn der Kunde aus Timbuktu auf ein falsches Konto zahlt welches der Hersteller ihm ja in einer gefälschten Mail nannte, dann wird es aufwändig bis unmöglich an das Geld zu kommen. Wie willst Du als deutscher Hersteller dann beweisen dass die Mails gefälscht waren?
Und der Kunde wird sagen, er hätte ja schliesslich bezahlt. Klag mal in Timbuktu Deine 500.000 EUR ein face-wink
Mitglied: fredmy
fredmy 31.07.2017 um 12:57:30 Uhr
Goto Top
Hallo van Tast,

bei Mails hilft nur signierte Mail (!)
Es sei denn ihr nehmt alles per Postkarte entgegen.
Erstaunlich (für mich) - zum Bezahlen sollte es einen Vorgang geben (Auftrag + Rechnung).
Üblicherweise (?) reich allein die Rechnung - einer müsste "sachlich richtig" zeichnen (sollen).

Zumindest wäre mal interessant, wo diese (merkwürdigen) Mails eingeliefert werden und ggfs von wem.
Im dümmsten Fall arbeitet "der Trojaner" in House.

Schulungen sind aber auch nur die "halbe Miete", ein ordentliches SPF bringt Entlastung. Vorausgesetzt ihr verwaltet eure Mails selbst.

Hier müssen/müssten/sollten mehre Konzepte ineinandergreifen, was am Ende IT-Sicherheit heist!
IT-Sicherheit ist eben viel mehr als nur technische Maßnahmen.
Und Unterschriftsfälscher sind fast so alt wie die Menschheit - es wird mit Scan + Print evtl. etwas einfacher ?

Fred
Mitglied: fredmy
fredmy 31.07.2017 aktualisiert um 17:09:23 Uhr
Goto Top
Das Problem bekommst Du aber schnell wenn Du international unterwegs bist. Denn dort, wo die e-Mails abgegriffen werden, herrscht was das betrifft oft ein relativ rechtsfreier Raum. Da kannst Du als Hersteller in Deutschland nicht viel tun.

O.K. wenn Vertäge auf Zuruf passieren, ohne dass du den Kunden kennst...

Und wenn der Kunde aus Timbuktu auf ein falsches Konto zahlt welches der Hersteller ihm ja in einer gefälschten Mail nannte, dann wird es aufwändig bis unmöglich an das Geld zu kommen. Wie willst Du als deutscher Hersteller dann beweisen dass die Mails gefälscht waren?
Und der Kunde wird sagen, er hätte ja schliesslich bezahlt. Klag mal in Timbuktu Deine 500.000 EUR ein face-wink

Beweise: Mails signieren, solange du nicht die "Mafia" als Abnehmer hast , funktioniert das auch - grundsätzlich.
(Solange beide den Aufwand wollen).
Wichtige Dinge (Bezahlung evtl.) sollten im Vertrag stehen. Sowie auch einkommende Papierpost nicht wirklich sicher ist - auch das bedarf einer Plausibilitätsprüfung.

Zumal Mails nicht in Timbuktu abgefangen werden sondern direkt von Quelle zu Ziel geschickt werden - gern (wenn möglich) auch noch per TLS (TLS sollte bei Euch anfangen). Die grossen Löcher waren in der Vergangenheit immer schlechte/bekannte Passwörter, "böse Leute" der eigenen Firma - z.T. gekündigte) und übernommene Rechner.
Manchmal auch intelligente "Räuber" face-smile sprich: du solltest auch z.B. bei deiner Bank mindestens zyklisch prüfen, ob die Fingerprints zum ssl (https) Key passen.
Ich kenne das auch so daß bei größeren Änderungen (Antrag per Mail) ein Kontrollanruf kommt - sprich: du kriegst deinen Auftrag telefonisch bestätigt. Mag nicht immer und überall so sein, aber ich kenne das Spiel
"wir graben nach Geld" schon recht lange. "Social engeneering" funktioniert auch schon lange , wenn alles nur auf Zuruf geht face-smile
Du wirst das Problem nie lösen können wenn dein "Kunde" sich von jedem über den Tisch ziehen lässt - du kannst nur mit genauen Verträgen gegensteuern. Nimm dir ein Beispiel an Banken: was die alles ausschließen - sprich was du nicht machen sollst (z.B. -> fordert pro Auftrag nie mehrere Transaktionsnummern (TAN)! und so weiter)


Fred

ps: und klar - ich kann dir einen Mail schicken bei der der "Envelope" frei gestaltet ist! ... was hättest du gern als Absender da stehen ?
aber: das ist so alt wie ds smtp-Protokoll ;)