Fake Rechnung

Gefälschte Rechnungen sind ein beliebtes Mittel von Cyberkriminellen. Welchen Schaden das für Unternehmen verursachen kann und wie die Kriminellen an die ganzen Firmendaten kommen. Wir zeigen mögliche Angriffspunkte.  Und wie erkennt unsere Buchhaltung gefälschte Eingangsrechnungen?

Fake Rechnungen und wie es dazu kommt

Fake Rechnungen – wer missbraucht unseren Namen?

Ein Fall aus der Realität – aus unserer Realtität – der uns über die Cyberwehr erreicht hat.
Der Geschädigte hat einen mehrfach fünfstelligen Betrag verloren und hat es der Aufmerksamkeit eines Kunden zu verdanken, dass nicht ein weiterer, diesmal sogar sechsstelliger Betrag auf ein falsches Konto bezahlt wurde.

Wie ist das geschehen?

Entdeckt wurde der Betrug, weil ein Kunde aus Andorra sich beschwerte, dass er gemahnt wurde, obwohl die Rechnung bereits bezahlt war. Fast zeitgleich berichtete ein anderer Kunde einer Niederlassung der Fake Pear GmbH von einem ähnlichen Fall.
Hier wurde mit einer Vertragsänderung sogar eine neue Kontoverbindung nachgereicht, auf die alle offenen Positionen zu überweisen sind, weil man gerade bei Quartalsabschlussarbeiten wäre. Dem Kunden der Fake Pear GmbH kam das merkwürdig vor und meldete sich, nur deswegen konnte ein Schaden in Höhe von über 50.000 €  glücklicherweise abgewendet werden.

Alle Vorgänge erfolgten per Email. Es wurden sogar die Originalmahnungstexte der Fake Pear GmbH verwendet und entsprechend ergänzt. Doch wie kamen die Betrüger an die ganzen Daten, Logos etc.?

Der Fake war auf den ersten Blick nicht erkennbar. Nur im zweiten Fall wechselte der Text mitten im Verlauf vom höflichen Sie zum freundschaftlichen Du. Genau das triggerte im zweiten Fall die Zweifel des Endkunden. Glück im Unglück sozusagen.

Fake Rechnungen – der Ursache auf der Spur

Der Vorfall warf eine Menge Fragen auf. In einer Videokonferenz mit der Fake Pear GmbH hat unser Cyber Sicherheits Team, dem betroffenen Unternehmen, eine ganze Liste von Fragen gestellt.

Die Fake Pear GmbH lässt ihre Umgebung von einem regionalen Fullservice-IT-Dienstleister im Auftrag betreiben, somit gibt es mehrere mögliche Angriffspunkte – wo die Cyberkriminellen zugeschlagen haben könnten. Also sowohl direkt bei Fake Pear, als auch beim Dienstleister.

Es war nicht klar, ob es ein externer oder interner Angriff war

Ein interner Angreifer kann im Zweifel beim betroffenen Unternehmen selbst, aber auch bei deren Dienstleister sitzen. Also konnte der Dienstleister vorerst nicht an Bord geholt werden. Wir wollten keinen schlafenden Hunde wecken  und möglicherweise den Angreifer warnen, damit dieser seine Tat noch schnell vertuschen kann. Das führte zu einigen Einschränkungen bei der Ermittlung.

Zunächst wurde der Kunde gebeten, die beiden Fake Emails als EML-Dokumente bereitzustellen.

EML- Dokumente sind E-Mails im Textformat. Sie geben dazu noch Angaben zum Sender und Empfänger enthalten.

Zudem wurden die Eventlogs der Exchange-Umgebung, die als Server betrieben wurde, und die Logs der Firewall bereitgestellt werden.

Ereignisprotokoll (englisch event log) bezeichnet in Betriebssystemen der Windows-NT-Familie eine zentrale Sammlung von Logdateien und kann über die Ereignisanzeige (englisch: Event Viewer) eingesehen oder mit der EventLog-Klasse programmatisch angesteuert werden.

Viele Fragen zur Systemumgebung selbst wurden während eines Gesprächs systematisch abgearbeitet und geklärt.

Woran erkennt man eine Fake Rechnung?

Meistens kommen Fake Rechnungen per Email – dafür haben wir einen kurzen Leitfaden entwickelt, denn jeder sowohl beruflich als auch privat beachten sollte. Vorsicht – bereits beim Downloaden des Rechnungsdokuments, kann man versteckte Malware auf den Rechner ziehen. Daher erst prüfen, dann handeln.

  • Wurde etwas bestellt? –Haben Sie bei der Fima etwas bestellt und warten Sie auf eine Rechnung?  Oft ist schon beim Inhalt der Email ersichtlic, dass man das Produkt oder die Leistung nicht bestellt hat. Ab in den Papierkorb damit.
  • Format der Rechnung – Mailprogramme zeigen das Format der Rechnung an. Ist es eine ZIP-Datei ist sie nahezu 100%ig gefälscht. Auch hinter Word-Dateien verbergen sich fast immer Fakes – aber bitte aufpassen – gerade kleinere Firmen versenden oftmals ihre Rechnungen noch immer nicht als pdf.
  • E-Mail-Adresse – Oft wird ein vermeintlich bekannter Name, meist Allerweltsnamen, als Absender angezeigt. Bitte mit der Maus über den Absender fahren. Oft stimmt die Domain nicht, oder der Absender ist kryptisch – z.B. s12yssjahtr@dhl.to.
  • Rechtschreibfehler/Logos – Viele Fake-E-Mails strotzen vor Rechtschreibfehlern. Firmennamen sind falsche geschrieben oder die Texte wirken wie von einer schlechten Software übersetzt. Auch sind oft die Logos von Firmen falsch bzw. sehen den Originalen nur ähnlich.
Fake Rechnung
SYTAG GmbH
  • Details – Achten Sie auf die Details, sind die Pflichtangaben auf der Rechnung korrekt (USt.-ID, Rechnungs- &Lieferdatum, Rechnungsnummer, vollständige Adresse von Auftragnehmer- & geber) achten Sie auch auf die Bankdaten – ist die Bank im Ausland, wer ist der Kontoinhaber etc.
  • Drohungen – Fake Rechnungen sind oft mit sehr engen Fristen oder Drohungen versehen. Schon der Mailtext droht oftmals mit Inkasso, Strafzahlungen oder ähnlichem. Bei echten Rechnungen hat man das nicht, da die Firma ja an einer weiteren Bestellung und einer längeren Geschäftsbeziehung interessiert ist.

Weitere Tipps und Tricks – gibt es in unseren Cyber Security Trainings, weitere Vorsorgemaßnahmen haben wir hier zusammengestellt.

Unsere Webcasts:

Keine Veranstaltungen

Sie haben Fragen?

Franka Theis

Franka Theis
Strategic Account Managerin Cyber Security

E-Mail: Franka.Theis@systag.com
Telefon: +49 7123 / 92 02 – 16

SYSTAG findet die Lösung

Nach der Untersuchung der vorliegenden Daten, Logs und Artefakte ein Bericht mit Empfehlungen erstellt. Das ist Teil des Standardprocederes.
Durch einen CyberRisikoCheck nach DIN SPEC 27046 oder andere IT-Sicherheitschecks – wären die Schwachstellen bereits bekannt und damit vermeidbar.

Die Ursache des Falls „Fake Rechnungen“

Nachdem wir die Nachforschungen abgeschlossen hatten, konnten wir folgende Schlupflöcher / Sicherheitslücken ausfindig machen.

  • Leider waren im Exchange-Server nicht alle aktuellen Patches installiert. Achtung, jeden 2. Dienstag im Monat ist Microsoft PatchDay! Patches sind unheimlich wichtig – da sie aktuelle Sicherheitslücken schließen.
    • Aktuell sind in Deutschland knapp 40 % der Exchange-Systeme nicht auf dem neuesten Patch-Stand und haben somit keine aktuellen Sicherheitsupdates. 12 % bekommen sogar gar keine Sicherheitsupdates mehr – betroffen sind Exchange Server 2010 und 2013 – laut Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Der Exchange-Server des Betroffenen ist über mehrere Schnittstellen im Internet (OWA- und ActiveSync) erreichbar. Es wird mit Tablets und Smartphones direkt auf das Firmennetzwerk, ohne weitere Sicherung zugegriffen.
    •  Aktuell sind laut BSI in Deutschland allein 18.000 Exchange Server mit offenem OWA verwundbar 
  • Bedauerlicherweise sind die Windows-Eventlogs des Kunden wertlos, da sie auf dem voreingestellten Maximalvolumen von 1 GB sich spätestens alle zweieinhalb Tage komplett überschreiben und nicht gesichert werden.
    Damit ist auf die Schnelle nicht mehr nachvollziehbar, wer wann wie und womit, sowie mit welchen Rechten rund um das Vorfallsdatum auf das System, z.B. auf den Exchange-Server oder Windows-Ressourcen, zugegriffen hat. Schattenkopien der Logs und der Zugriffe waren nicht erhältlich.
    Volume Shadow Copy Service (VSS), in lokalisierten Windows-Versionen Volumeschattenkopie genannt und umgangssprachlich kurz als ‚Schattenkopie‘ bezeichnet, ist ein mit Windows XP eingeführter Systemdienst zur Erzeugung und Bereitstellung von Versionsständen.“
  • Die Daten der Firewall konnten ohne Einbeziehung des Dienstleisters nicht beschafft werden.

Unsere Empfehlungen:

  • Einrichtung eines professionellen Aufbewahrungsverfahrens für die Eventlogs.
  • Von unserem Cybersecurity-Team wurde der Einsatz eines professionelles UEM Systems dringend empfohlen, um damit diesen Angriffspunkt für Ransomware zu entfernen. Ein Unified Endpoint Management (UEM) – verwaltet alle Geräte, wie Smartphones und Tablets, im Unternehmen zentral. Damit hat man die Kontrolle, wer, welchen Zugriff auf Unternehmensdaten hat.
  •  Anzeige bei der Kriminalpolizei einzureichen.
      • Die polizeiliche Forensik erlaubt die Zugriffe auf einige interessante IP-Adressen, die unsere Cyberdetektive gefunden haben, darunter auch eine aus Afrika, und deren Eigner sowie auf die Konten des Betrügers bei einer Bank auf der iberischen Halbinsel. Auf diesem Weg kann der Sache weiter auf den Grund gegangen werden
      • Ebenfalls wurde dem betroffenen Unternehmen empfohlen zu prüfen, ob nicht eine Selbstanzeige beim Landesdatenschutzbeauftragten nach DSGVO notwendig sein könnte. Diese war zum Glück rechtzeitig durch den Datenschutzbeauftragten erfolgt, sodass dort wohl die 72-Stunden-Regel eingehalten werden konnte. Nach Ablauf dieser Frist werden weitere Bußgelder fällig.
  •  Die Durchführung eines IT-Sicherheitschecks
    • Damit kann die Ursache des Angriffs geklärt werden – ob intern oder extern. Das Konto auf der iberischen Halbinsel lässt vermuten – ebenso wie die erkannten Cybersicherheitsschwächen, sowie ein auf veralteter Technik beruhendes Antivirensystem – auf einen externen Cyberkriminellen hin.

Die Fake Pear GmbH wollte der genauen Ursache nicht auf den Grund gehen und war froh, dass die Ursache gefunden und behoben wurde.
Durch die oben gezeigte Sicherheitslücken hatte der Angreifer Zugang auf alle Firmen- und Kundendaten, Logos, Mahnungstexte, Adressen etc., die er benötigt hat, um die Kunden zu täuschen. Der Fall wurde an die zuständige Polizeibehörde übergeben und ist somit für uns beendet.