Gefälschte Rechnungen sind ein beliebtes Mittel von Cyberkriminellen. Welchen Schaden das für Unternehmen verursachen kann und wie die Kriminellen an die ganzen Firmendaten kommen. Wir zeigen mögliche Angriffspunkte. Und wie erkennt unsere Buchhaltung gefälschte Eingangsrechnungen?
Fake Rechnungen und wie es dazu kommt
Fake Rechnungen – wer missbraucht unseren Namen?
Als dieser Fall unseren Cyberdetektiven auf den Tisch flattert, runzelt Anna ihre Stirn und fragt sich, wie die Betrüger das hinbekommen haben.
Immerhin hat der Geschädigte einen mehrfach fünfstelligen Betrag verloren und hat es der Aufmerksamkeit eines Kunden zu verdanken, dass nicht ein weiterer, diesmal sogar sechsstelliger Betrag auf ein falsches Konto bezahlt wurde.
Wie ist das geschehen?
Entdeckt wurde der Betrug, weil ein Kunde aus Andorra sich beschwerte, dass er gemahnt wurde, obwohl die Rechnung bereits bezahlt war. Fast zeitgleich berichtete ein anderer Kunde einer Niederlassung der Fake Pear GmbH von einem ähnlichen Fall.
Hier wurde mit einer Vertragsänderung sogar eine neue Kontoverbindung nachgereicht, auf die alle offenen Positionen zu überweisen sind, weil man gerade bei Quartalsabschlussarbeiten wäre. Dem Kunden der Fake Pear GmbH kam das merkwürdig vor und meldete sich, nur deswegen konnte ein Schaden in Höhe von über 50.000 € glücklicherweise abgewendet werden.
Alle Vorgänge erfolgten per Email. Es wurden sogar die Originalmahnungstexte der Fake Pear GmbH verwendet und entsprechend ergänzt. Doch wie kamen die Betrüger an die ganzen Daten, Logos etc.?
Der Fake war auf den ersten Blick nicht erkennbar. Nur im zweiten Fall wechselte der Text mitten im Verlauf vom höflichen Sie zum freundschaftlichen Du. Genau das triggerte im zweiten Fall die Zweifel des Endkunden. Glück im Unglück sozusagen.
Wer sind Anna und die Cyberdetektive?
Mit unserer Reihe Anna und die Cyberdetektive bringen wir Licht ins Dunkel des Cyberraums und wollen über dort lauernde Gefahren aufklären. Wer ist Anna und wer sind die Cyberdetektive – mehr dazu in den nächsten Postings. Alle Fälle der Cyberdetektive basieren auf wahren Begebenheiten und sind tatsächliche Cybernotfälle. Alle Fälle sind selbstverständlich verfremdet, denn es gilt Personen und Unternehmen zu schützen, die im Laufe des Geschehens eine Rolle spielen.
Fake Rechnungen – der Ursache auf der Spur
Der Vorfall wirft, bei Anna und ihren Kollegen, eine Menge Fragen auf. In einer Videokonferenz mit der Fake Pear GmbH hat das Detektivtbetream dem betroffenen Unternehmen eine ganze Liste von Fragen gestellt.
Die Fake Pear GmbH lässt ihre Umgebung von einem regionalen Fullservice-Dienstleister im Auftrag betreiben, somit gibt es mehrere mögliche Angriffspunkte – wo die Cyberkriminellen zugeschlagen haben könnten.
Es war nicht klar, ob es ein externer oder interner Angriff war
Ein interner Angreifer kann im Zweifel beim betroffenen Unternehmen selbst, aber auch bei deren Dienstleister sitzen. Also konnte der Dienstleister vorerst nicht an Bord geholt werden. Anna wollte keinen schlafenden Hunde wecken und möglicherweise den Angreifer warnen, damit dieser seine Tat noch schnell vertuschen kann. Das führte zu einigen Einschränkungen bei der Ermittlung.
Zunächst wurde der Kunde gebeten, die beiden Fake Emails als EML-Dokumente bereitzustellen.
EML- Dokumente sind E-Mails im Textformat. Sie geben dazu noch Angaben zum Sender und Empfänger enthalten.
Zudem wurden die Eventlogs der Exchange-Umgebung, die als Server betrieben wurde, und die Logs der Firewall bereitgestellt werden.
Ereignisprotokoll (englisch event log) bezeichnet in Betriebssystemen der Windows-NT-Familie eine zentrale Sammlung von Logdateien und kann über die Ereignisanzeige (englisch: Event Viewer) eingesehen oder mit der EventLog-Klasse programmatisch angesteuert werden.
Viele Fragen zur Systemumgebung selbst wurden während eines Gesprächs systematisch abgearbeitet und geklärt.
EXKURS – Woran erkennt man eine Fake Rechnung?
- Wurde etwas bestellt? –Haben Sie bei der Fima etwas bestellt und warten Sie auf eine Rechnung? Oft ist schon beim Inhalt der Email ersichtlic, dass man das Produkt oder die Leistung nicht bestellt hat. Ab in den Papierkorb damit.
- Format der Rechnung – Mailprogramme zeigen das Format der Rechnung an. Ist es eine ZIP-Datei ist sie nahezu 100%ig gefälscht. Auch hinter Word-Dateien verbergen sich oft Fakes – aber bitte aufpassen – gerade kleinere Firmen versenden oftmals ihre Rechnungen noch immer nicht als pdf.
- Email-Adresse – Oft wird ein vermeintlich bekannter Name, meist Allerweltsnamen, als Absender angezeigt. Bitte mit der Maus über den Absender fahren. Oft stimmt die Domain nicht, oder der Absender ist kryptisch – z.B. s12yssjahtr@dhl.to.
- Rechtschreibfehler/Logos – Viele Fake-Emails strotzen vor Rechtschreibfehlern. Firmennamen sind falsche geschrieben oder die Texte wirken wie von einer schlechten Software übersetzt. Auch sind oft die Logos von Firmen falsch bzw. sehen den Originalen nur ähnlich.
- Details – Achten Sie auf die Details, sind die Pflichtangaben auf der Rechnung korrekt (USt.-ID, Rechnungs- &Lieferdatum, Rechnungsnummer, Vollständige Adresse von Auftragnehmer- & geber) achten Sie auch auf die Bankdaten – ist die Bank im Ausland, wer ist der Kontoinhaber etc.
- Drohungen – Fake Rechnungen sind oft mit sehr engen Fristen oder Drohungen versehnen. Schon der Emailtext droht oftmals mit Inkasso, Strafzahlungen oder ähnlichem. Bei echten Rechnungen hat man das nicht, da die Firma ja an einer weiteren Bestellung und einer längeren Geschäftsbeziehung interessiert ist.
Anna und die Cyberdetektive finden die Lösung
Nach der Untersuchung der vorliegenden Daten, Logs und Artefakte ein Bericht mit Empfehlungen erstellt. Das ist Teil des Standardprozederes, wenn der Auftraggeber eine staatliche Cybersicherheitsagentur (z.B. BSI oder Cyberwehr Baden-Württwemberg) ist – die Fake Pear GmbH hatte sich an eben diese gewandt:
Die Ursache des Falls „Fake Rechnungen“
Nachdem Anna und die Cyberdetektive ihre Nachforschungen abgeschlossen hatten, konnten sie folgende Schlupflöcher / Sicherheitslücken ausfindig machen.
- Leider war im Exchange-Server 2016 nur der erste HAFNIUM Patch (Hack des Exchange Servers) aus dem März 2021 eingespielt. Darauf folgende Updates, die weitere Lücken schließen sollten, waren selbst im Juli 2021 noch nicht installiert.
- Aktuell sollen allein in Deutschland noch über 20.000 Exchange-Systeme nicht auf dem neuesten Patch-Stand sein.
- Der Exchange-Server des Betroffenen ist über mehrer Schnittstellen im Internet (OWA- und ActiveSync) erreichbar. Es wird mit Tablets und Smartphones direkt auf das Firmennetzwerk, ohne weitere Sicherung zugegriffen.
- Von unserem Cybersecurity Team wurde der Einsatz eines professionelles UEM Systems dringend empfohlen, um damit diesen Angriffspunkt für Ransomware zu entfernen.
- Leider sind die Windows-Eventlogs des Kunden wertlos, da sie auf dem voreingestellten Maximalvolumen von 1 GB sich spätestens alle zweieinhalb Tage komplett überschreiben und nicht gesichert werden.
Damit ist auf die Schnelle nicht mehr nachvollziehbar, wer wann wie und womit, sowie mit welchen Rechten rund um das Vorfallsdatum auf das System, z.B. auf den Exchange-Server oder Windows-Ressourcen, zugegriffen hat.Schattenkopien der Logs und der Zugriffe waren nicht erhältlich.
„Volume Shadow Copy Service (VSS), in lokalisierten Windows-Versionen Volumeschattenkopie genannt und umgangssprachlich kurz als „Schattenkopie“ bezeichnet, ist ein mit Windows XP eingeführter Systemdienst zur Erzeugung und Bereitstellung von Versionsständen.“- Dem Kunden wurde geraten, sich ein professionelles Aufbewahrungsverfahren für seine Eventlogs einzurichten.
- Die Daten der Firewall konnten ohne Einbeziehung des Dienstleisters nicht beschafft werden.
- Dem Betroffenen wurde geraten, eine Anzeige bei der Kriminalpolizei einzureichen.
- Die polizeiliche Forensik erlaubt die Zugriffe auf einige interessante IP-Adressen, die unsere Cyberdetektive gefunden haben, darunter auch eine aus Afrika, und deren Eigner sowie auf die Konten des Betrügers bei einer Bank auf der iberischen Halbinsel. Auf diesem Weg kann der Sache weiter auf den Grund gegangen werden.
- Dem Betroffenen wurde geraten, eine Anzeige bei der Kriminalpolizei einzureichen.
- Ebenfalls wurde dem betroffenen Unternehmen empfohlen zu prüfen, ob nicht eine Selbstanzeige beim Landesdatenschutzbeauftragten nach DSGVO notwendig sein könnte. Diese war zum Glück rechtzeitig durch den Datenschutzbeauftragten erfolgt, so dass dort wohl die 72-Stunden-Regel eingehalten werden konnte.
- Dem Hilfesuchenden wurde nahegelegt, das Unternehmen einem IT-Sicherheitscheck zu unterziehen – wie Microsoft und das BSI es beim einem von der HAFNIUM-Lücke betroffenen Kunden empfehlen.
- Anna und die Cyberdetektive vermuten, dass danach geklärt sein wird, ob der Angreifer intern oder extern zu suchen ist. Allein das Konto auf der iberischen Halbinsel spricht – ebenso wie die erkannten Cybersicherheitsschwächen sowie ein auf veralteter Technik beruhendes Antivirensystem – auf einen externen Cyberkriminellen hin, der im Geleitzug der großen Angreifer seine Opfer angeht.
Die Fake Pear GmbH wollte der genauen Ursache nicht auf den Grund gehen und war froh, dass die Ursache gefunden und behoben wurde.
Durch die oben gezeigte Sicherheitslücken hatte der Angreifer Zugang auf alle Firmen- und Kundendaten, Logos, Mahnungstexte, Adressen etc. die er benötigt hat um die Kunden zu täuschen. Der Fall wurde an die zuständige Polizeibehörde übergeben und ist somit für Anna und ihre Kollegen beendet.
Leider hat die Fake Pear GmbH sich entschieden keine weiteren Investitionen für die Sicherheit in Angriff zu nehmen – bis die nächste Attacke kommt – vielleicht wieder ein Fall für Anna und die Cyberdetektive?
Welche Geheimnisse wird der nächste Fall zu Tage bringen?
Vielleicht nimmt der Betroffene dann auch ein wenig mehr als nur den für ihn kostenlosen Cybersupport der Landesagentur in Anspruch. Und gibt für die Sicherheit seiner IT-Systeme hoffentlich auch ein bisschen Geld aus, sie hätte es verdient gehabt.