Zum Inhalt springen

Cyber Crime beim Hausbau

Last updated on 21. Februar 2022

So lange noch, bis das Haus kommt...

0 0 votes
Article Rating

Ich habe etwas mehr als 3.200 ‚ā¨ an Betr√ľger_innen √ľberwiesen! Kein Witz. Wirklich nicht. Wie es dazu gekommen ist lest ihr in diesem Post √ľber Cyber Crime beim Hausbau. Es wird auch updates geben, sobald sie rein kommen.

Ihr habt vielleicht den Teaser gelesen und euch gewundert was hier los ist und wie so etwas passieren konnte. Tats√§chlich habe ich dreitausendzweihundert (!!!) Euro an Betr√ľger_innen √ľberwiesen. Ich muss vielleicht noch dazu sagen, dass ich „vom Fach“ bin. Zu meinen Aufgaben geh√∂rt es f√ľr sichere IT und Unternehmen zu sorgen. In der Rolle halte ich z.B. auch Schulungen, damit die lieben Kolleg_innen nicht auf Scams und Phishing herein fallen.

Und jetzt hat es mich getroffen…

Achtung… dieser Post ist l√§nger geworden.

Updates findet ihr hier: Cyber Crime beim Hausbau

Was ist passiert

Der Kran verfolgt uns ja schon etwas l√§nger: Die Baustellenzufahrt und der Kranstellplatz. Jetzt wird es noch spannender, wo Cyber Crime ins Spiel kommt: Alles begann mit dem Umstand, dass ich als Privatperson eine Anzahlung in H√∂he von 2 Tagen plus aller m√∂glicher zus√§tzlicher Kosten f√ľr den Kran leisten muss. Das ist leider so, wenn ich als Privatperson bestelle. Fullwood vermittelt die Kran-Firma zwar, der eigentliche Vertrag kommt aber direkt zwischen mir und der Kran-Firma zustande.

Montag

Ich habe also das Kran Angebot f√ľr den vier-achsigen Kran in der Kalenderwoche 6/2022 unterschrieben. Was noch fehlte, war die Rechnung f√ľr die Vorauszahlung. Am Montag, 14. Februar 2022, kam dann die Rechnung √ľber ca. 3200 ‚ā¨ (ein tolles Valentinstagsgeschenk ūüėĀ). Die Kranfirma verwendet interessanterweise eine AOL E-Mail-Adresse. Im privaten Umfeld habe ich sowas schon seit den fr√ľhen zweitausendern nicht mehr gesehen. Im Handwerk sehe ich oft @t-online.de, @gmx.de oder auch @web.de. Eigene Domains, wie @handwerk-abc.de sind immer noch eher die Seltenheit.

Die Mail mit der PDF-Rechnung im Anhang sah jedenfalls ganz normal aus: ordentlicher Text, sie kam auch von der richtigen Mail-Adresse.

Mittwoch

Am Mittwoch bekam ich dann den PDF-Anhang noch einmal kommentarlos weitergeleitet. Fand ich schon etwas komisch f√ľr eine Firma. Aber kann ja mal passieren. Ich √ľberwies also das Geld an die in der Fu√üzeile der Rechnung genannte IBAN. Es war ein Konto bei der Deutscchen Bank (sic!) – mit einer DE44 IBAN – also ein deutsches Bankkonto. Dann antwortete ich, dass ich das Geld √ľberwiesen habe.

Donnerstag

Am Donnerstag, 16. Februar 2022, bekam ich eine Mail, die wirklich nach Phishing klang ūüö©ūüö©ūüö©. Kam aber wieder von der richtigen @aol.com Adresse – und ich wei√ü wie E-Mail Header gepr√ľft werden. Aber lest selbst…

Guten Morgen, Sehr geehrter [mein Name], Danke f√ľr deine Nachricht. Bitte best√§tigen Sie den Erhalt dieser Kopie dieser Zahlung zur sicheren Aufbewahrung. Ich erwarte deine Antwort.

Mit freundlichen Gr√ľ√üen

E-Mail vom 17.02.2022

Ich wollte also bei der Firma anrufen und nahm die Nummer in der Signatur der Mail. Komisch „Die von Ihnen gew√§hlte Nummer ist uns nicht bekannt“. Versuchen wir die direkte Nummer der Buchhalterin, die mir die Mail geschickt hatte. Gleiche Ansage. Something is really phishy here.

Bei Google nach der Telefonnummer gesucht und angerufen. Gef√ľhlt die gleiche Nummer – aber diesmal kam ich durch. Wie ich sp√§ter feststellen sollte, waren einfach in allen Telefonnummern kleine Zahlendreher drin. ūüö©ūüö©ūüö©ūüö©ūüö©ūüö©

Telefonisch wurde mir dann gesagt, dass ich die Mail gleich l√∂schen soll und die sicher nicht von denen kommt: „Da wurdene wir wohl wieder gehackt“ (hervorhebung durch mich). Die Person am Telefon schaute dann gleich im Mail Account nach und konnte eine Anmeldung aus Nigeria feststellen. Misstrauisch bin ich aber f√ľr meine Zahlung noch nicht geworden. Dass sie das Passwort gleich √§ndern w√ľrden, wurde mir gesagt.

Freitag

Ich bekam wieder eine Mail, die nach ūüö©ūüö©ūüö©ūüö© klang.

Guten Morgen, Sehr geehrter [mein Name], bitte teilen Sie mir die Kontoverbindung, auf die die Zahlung geleistet wurde, und den Eingang dieser Kopie dieser Zahlung mit. Da ich keine Zahlung auf meinem Bankkonto erhalten habe, warte ich auf Ihre Antwort.

Mail vom 18.02.2022

Überweisungen in Deutschland sind an sich spätestens am Folgetag da, wenn sie bei meiner Bank vor 14 Uhr rausgehen. Also komisch, dass das Geld noch nicht angekommen sein soll. Wieder bei der Kran-Firma angerufen: Ich solle die Mail wieder löschen РSpam.

Als ich mit der Buchhalterin sprach, platze die Bombe: es gab gar kein Konto bei der Deutschen Bank! ūü§Į Und selbst beim Tochterunternehmen, wo es zwar ein Deutsche Bank Konto gibt, gab es nicht DIESES Deutsche Bank Konto, auf das ich √ľberwiesen hatte. Was nun… was tun?

Die Rennerei geht los – Passierschein A38 l√§sst gr√ľ√üen

Die Kranfirma kann leider nichts machen, da sie mit der eigentlich Transaktion ja erst mal nichts zu tun hat: Weder mit dem Konto, auf das das Geld ging, noch mit meinem Konto.

Ich muss also Polizei, Deutsche Bank und meine Bank kontaktieren.

Deutsche Bank sagte „Wir k√∂nnen nichts tun – Datenschutz! Das muss von Ihrer Bank kommen“. Ich liebe es einfach, wenn Datenschutz vorgeschoben wird, warum irgendwelche Dinge nicht gemacht werden k√∂nnen. Bei einem Punkt ist es nat√ľrlich klar und der ist auch nachvollziehbar: Das Problem nennt sich Denial of Service. Wenn ich bei der Bank anrufen k√∂nnte, irgendeine IBAN nenne und die dann gesperrt wird, k√∂nnte das ganz leicht missbraucht werden. So k√∂nnte ich einer unliebsamen Person das Konto sperren und sie somit vom Bankverkehr ausschlie√üen. Daher: die Person bekommt keinen „Service“ mehr. H√§ufiger wird der Begriff im Internet verwendet, wenn es darum geht, dass so viele Anfragen an Server geschickt werden, dass die darunter zusammenbrechen und nicht mehr erreichbar sind – auch hier: kein Service unter dieser Nummer. Ein ganz typisches Thema mit dem sich Menschen aus dem Bereich Information Security (Informationssicherheit) auseinander setzen m√ľssen.

Jetzt zu meiner Bank (DKB): sie ist telefonisch quasi nicht zu erreichen gewesen. Es gibt keinen Punkt im telefonischen Auswahl-Men√ľ f√ľr Betrugsmeldungen. Also Option 4 gew√§hlt und „Betrug“ als Stichwort genannt. Manchmal passierte nach meiner Aussage „Betrug“ einfach gar nix. Mal wurde mir vom Band gesagt, dass leider alle Leitungen belegt sind und ich es sp√§ter versuchen sollte oder eben online. Manchmal hing ich auch in einer Warteschlange und flog dann mit gleicher Ansage einfach raus.

Ich schrieb dann √ľber das Kontaktformular eine Anfrage, die (sehr schnell) beantwortet wurde – allerdings mit einer Standardantwort; Ich k√∂nnte die R√ľckholung der √úberweisung beauftragen. Wenn das Geld allerdings schon vebucht sei, ich dies nur mit Zustimmung der Kontoinhaber_in wiederbekommen k√∂nnte. ūü§£ 10 ‚ā¨ soll der Spa√ü kosten.

1, 2, Polizei

Lieber erst mal bei der Polizei eine Formalie erledigen: Eine Anzeige erstellen √ľber die Internetwache. Davon erwarte ich mir allerdings nichts. Aus beruflicher Praxis wei√ü ich, dass manchmal erst nach einem halben Jahr bei den beteiligten Banken oder Online H√§ndlern erste Anfragen von der Polizei eintreffen – das geht aber manchmal auch schneller.

Betrugsf√§lle im Internet sind leider keine Seltenheit und verursachen einen gro√üen R√ľckstau an F√§llen.

Mit dieser Anzeige habe ich dann die Anfrage an die DKB geschickt. Geh√∂rt habe ich aber von denen noch nichts…

Hinter den Kulissen

Wenn ich jetzt mal einen Tipp abgeben sollte, was hier auf Seiten der Hacker_innen passiert ist, dann diesen folgenden. Genau genommen sind es mehrere Methoden der Cyber Kriminalit√§t, die tagt√§glich tausendfach angewendet werden. F√ľr sich genommen sind sie schon unangenehm oder gef√§hrlich, aber in Kombination werden sie erst wirklich perfide. In der Hoffnung, dass ich euch hier vielleicht vor Schaden bewahren und ein bisschen die Sinne sch√§rfen kann, gehen wir etwas ins Detail. Einige Aspekte werde ich aber bewusst verk√ľrzen. Wer mehr wissen will, kann gerne in den Kommentaren nachfragen.

Phishing

Beim Phishing (augesprochen: Fisching) versenden Unbekannte Mails im Namen von z.B. der Chefin, der Bank, Bewerber_innen oder Verwandten und Bekannten. Dahinter steckt meist das Ziel durch geschickte Ausnutzung psychologischer Schw√§chen, die wir alle haben, uns dazu zu bringen Zugangsdaten preiszugeben, Kreditkartendaten herauszugeben, oder auch einfach kleine Informationen (z.B. „Erstes Haustier“, „Geburtsname der Mutter“) √ľber euch zu erhalten.

Genutzt werden daf√ľr meist diese Muster:

  • Druck:
    • „Du musst XY tun, ich bin immerhin [authorit√§tsperson oder organisation]“,
    • „Handeln Sie jetzt, sonst verlieren sie den Zugang zu [Daten, Konto, you name it]“,
    • „Es hat schlimme folgen f√ľr dich, wenn du nicht jetzt XY tust“,
  • Zeitkritikalit√§t:
    • „Es ist ganz eilig“,
    • „Ich sitze gerade in einem Meeting“
    • „Morgen sperren wir Ihren Account, wenn Sie nicht bis in X Stunden diesen Link anklicken“.

In unserem konkreten Fall wurde mindestens zwei bis drei mal an verschiedenen Stellen gephisht, vielleicht sogar auch Schadsoftware eingesetzt:

  1. Person A erh√§lt eine Mail von der „Bank“: „√Ąndere jetzt deine Kontodaten, weil wir ein neues Sicherheitssystem eingef√ľhrt haben, sonst verlierst du den Zugang zu deinem Konto. Klicke einfach auf diesen Link: deutschebank.de.is“ Die Mail-Adresse pr√ľfen leider die wenigsten genau.
  2. Person A meldet sich auf der Seite mit den Zugangsdaten an, da sie nur geschaut hat, dass der Link deutschebank.de enth√§lt und die Anmeldeseite aussieht wie immer. (Domain Namen immer von hinten lesen: hinter dem .de steht noch ein .is… es ist also nur eine Domain, die so aussehen will wie die echte deutschebank-Domain.
  3. Die Phishende Person hat jetzt Zugangsdaten zum Online Banking.
  4. Etwas √§hnliches passiert bei der Kranfirma: auch dort kommt eine Mail rein. „Melden Sie sich hier in ihrem AOL-Konto an: LINK“. (es kann aber auch sein, dass hier Schadsoftware in einer Mail mit „unwiderstehlichem“ Anhang, z.B. „Gehaltsliste_alle_MA_2022.xlsm“, „Bef√∂rderungen_2022.doc“, „Fotos Firmenfeier.doc“ oder vielleicht auch „STRENG_GEHEIM_Gesch√§ftsf√ľhrung.doc“, enthalten war)
  5. Bei der Kran-Firma meldet sich dort jemand an und gibt damit den Betr√ľger_innen Zugang zum Mail Account.
  6. Wenn die Seite der Betr√ľger_innen gut gemacht ist, dann kann ich sogar Mails √ľber diese falsche Seite versenden… nur dass sie tats√§chlich nicht verschickt werden, sondern im Postausgang liegen bleiben.
  7. Die Betr√ľger_innen √ľberwachen das Mail-Konto und fangen die Mail aus dem Postausgang ab.
  8. Die PDF und die Mail wird so manipuliert, dass die Kontodaten der Person A statt der legitimen Kontodaten der Kran-Firma angegeben werden.
  9. Die Mail wird dann verschickt – in meinem Fall lagen zwischen dem offiziellen Versand der Kran-Firma und der Zeit, wann ich sie bekommen habe ca. 6-9 Stunden. Mehr als genug Zeit zur Manipulation der Daten.
  10. Ich komme hier ins Spiel: Ich erhalte die an sich inhaltlich korrekte Rechnung auf die auch auch schon gewartet hatte von der Ansprechperson, von der ich es erwartet hatte. (Wenn ihr einen Inhalt nicht erwartet oder die Absender_in nicht kennt, seid immer misstrauisch)
  11. Ich √ľberweise das Geld an die in der Fu√üzeile der PDF genannte IBAN
  12. Die Betr√ľger_innen transferieren das Geld an Western Union oder andere Anbieter √ľber die sich Geld verschicken l√§sst.

Dass die Person A nichts davon mitbekommt kann durchaus sein. Ich gehe nicht davon aus, dass Person A am eigentlichen Betrug beteiligt ist.

Was nun?

F√ľr mich hei√üt es nun erst mal bangen und Fragen √ľber Fragen: Bekomme ich das Geld zur√ľck? Wurde das Bankkonto bei der Deutschen Bank vielleicht sogar schon gesperrt? (wei√ü irgendwer wie lange das dauert, bis eine √úberweisung zur√ľck kommt?) Bekomme ich trotz fehlender Anzahlung den Kran? (Das wurde mir zwar zugesagt, aber schauen wir mal – wenn nicht, w√§re das der Super-GAU), weil… [hier sollte ein Countdown bis zur Hausaufstellung erscheinen]

So lange noch, bis das Haus kommt...

Es geht weiter mit Fragen, die ich mir stelle: Warum nutzt ein Unternehmen im Jahr 2022 immer noch AOL? Warum nutzen sie immer noch Webmail (lie√ü sich aus dem header der E-Mail ablesen)? Warum nutzt die Kran-Firma keine Software, die plumpe Phishing-Angriffe verhindern kann? Kann ich der Kran-Firma vielleicht einen lukrativen Informationssicherheitsberatungsvertrag anbieten ūüėÖ (Spa√ü! Oder doch nicht? Angebote und Anfragen √ľber unser Kontaktformular. ūüėé). Wer haftet jetzt eigentlich wenn das Geld wirklich weg ist? Muss ich die Kran-Firma noch mal bezahlen, oder muss die Kran Firma leisten und bleibt selbst auf dem Schaden sitzen?

Ich hatte bei der Buchhalterin noch mal angeregt, dass sie bitte auch noch mal die anderen Menschen kontaktieren soll, denen sie Rechnungen geschickt hat zu Beginn der Woche – nur dass denen dieser Stress vielleicht erspart bleibt.

So viele Fragen Рauf einige davon habe ich vielleicht Ideen im Kopf, wie es sein könnte, auf andere nicht.

Updates

Montag 21.02.2022

Ich habe eine Mail von der DKB bekommen, dass meine Anfrage an die Deutsche Bank weitergeleitet wurde… auch schon. Ich will ja nicht ungeduldig sein, aber ist es in solchen F√§llen nicht so, dass jede Stunde, die ein kompromittiertes Konto online ist damit noch weit mehr Schindluder getrieben werden kann. Aber wer wei√ü… F√ľr eine Bank sind 3200 ‚ā¨ halt nur Peanuts (wem Hilmar Kopper von der Deutschen Bank noch was sagt).

Wir haben inzwischen auch nach einem längeren Telefonat mit der Kran Firma eine Mail bekommen, in der sie uns bestätigen, dass der Kran am Stelltermin auch wirklich kommt. ✨

Fazit

Wenn es Updates zum Cyber Crime beim Hausbau gibt, werde ich sie hier erg√§nzen – oder einen neuen Post erstellen… mal sehen.

Sorry, liebe Leser_innen, dass es etwas länger geworden ist. Ich vermute mal, dass das runterschreiben dieser Geschichte ein bisschen Coping Mechanismus aber auch als Warnung gelten soll.

Eins ist mir wichtig: wenn ihr gr√∂√üere Summen √ľberweisen sollt, dann stellt sicher, dass die Kontonummer richtig ist. Ruft an! Schaut auf alten Rechnungen (wenn es schon welche gibt)!

Wenn ihr euch fragt, was es damit auf sich hat: ūüö©ūüö©ūüö©ūüö© –> das sind „red flags“ also eindeutige Warnzeichen.

Wenn ihr euch selbst mal testen wollt, wie gut ihr im Erkennen von Phishing seid macht dieses Quiz von Google. Seid ehrlich? Alles richtig gehabt, lasst es uns in den Kommentaren wissen.

Und zuguter letzt… bevor ihr irgendwelche Links anklickt: einmal mit der Maus √ľber den Link fahren (ohne zu klicken) und die Adresse pr√ľfen wo sie hin f√ľhrt. Ist es wirklich die Adresse, die ihr erwartet? Passt der Link beim drauf zeigen zum Text des Links? Wenn nicht: ūüö©ūüö©ūüö©ūüö©

Published inAllgemeinesKnow-How
0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei

2 Kommentare
Inline Feedback
Alle Kommentare anschauen

Wow, da hat sich echt jemand M√ľhe gemacht und euch vom erwischt. Auch wenn ich bezweifle, dass ihr das Geld zur√ľck bekommt, w√ľnsche ich euch viel Erfolg dabei. Auf der anderen Seite √ľberrascht es mich absolut nicht, dass so etwas passiert. In der Baubranche scheint ordentliche Email Kommunikation nicht die Regel zu sein. Mein GU verschickt gerne Emails ohne Betreff… Weiterlesen ¬Ľ

2
0
Lass uns doch einen Kommentar oder deine Fragen da!x
%d Bloggern gefällt das: