Zum Inhalt springen

Cyber Crime beim Hausbau

Last updated on 21. Februar 2022

So lange noch, bis das Haus kommt...

0 0 votes
Article Rating

Ich habe etwas mehr als 3.200 € an BetrĂŒger_innen ĂŒberwiesen! Kein Witz. Wirklich nicht. Wie es dazu gekommen ist lest ihr in diesem Post ĂŒber Cyber Crime beim Hausbau. Es wird auch updates geben, sobald sie rein kommen.

Ihr habt vielleicht den Teaser gelesen und euch gewundert was hier los ist und wie so etwas passieren konnte. TatsĂ€chlich habe ich dreitausendzweihundert (!!!) Euro an BetrĂŒger_innen ĂŒberwiesen. Ich muss vielleicht noch dazu sagen, dass ich „vom Fach“ bin. Zu meinen Aufgaben gehört es fĂŒr sichere IT und Unternehmen zu sorgen. In der Rolle halte ich z.B. auch Schulungen, damit die lieben Kolleg_innen nicht auf Scams und Phishing herein fallen.

Und jetzt hat es mich getroffen…

Achtung… dieser Post ist lĂ€nger geworden.

Updates findet ihr hier: Cyber Crime beim Hausbau

Was ist passiert

Der Kran verfolgt uns ja schon etwas lĂ€nger: Die Baustellenzufahrt und der Kranstellplatz. Jetzt wird es noch spannender, wo Cyber Crime ins Spiel kommt: Alles begann mit dem Umstand, dass ich als Privatperson eine Anzahlung in Höhe von 2 Tagen plus aller möglicher zusĂ€tzlicher Kosten fĂŒr den Kran leisten muss. Das ist leider so, wenn ich als Privatperson bestelle. Fullwood vermittelt die Kran-Firma zwar, der eigentliche Vertrag kommt aber direkt zwischen mir und der Kran-Firma zustande.

Montag

Ich habe also das Kran Angebot fĂŒr den vier-achsigen Kran in der Kalenderwoche 6/2022 unterschrieben. Was noch fehlte, war die Rechnung fĂŒr die Vorauszahlung. Am Montag, 14. Februar 2022, kam dann die Rechnung ĂŒber ca. 3200 € (ein tolles Valentinstagsgeschenk 😁). Die Kranfirma verwendet interessanterweise eine AOL E-Mail-Adresse. Im privaten Umfeld habe ich sowas schon seit den frĂŒhen zweitausendern nicht mehr gesehen. Im Handwerk sehe ich oft @t-online.de, @gmx.de oder auch @web.de. Eigene Domains, wie @handwerk-abc.de sind immer noch eher die Seltenheit.

Die Mail mit der PDF-Rechnung im Anhang sah jedenfalls ganz normal aus: ordentlicher Text, sie kam auch von der richtigen Mail-Adresse.

Mittwoch

Am Mittwoch bekam ich dann den PDF-Anhang noch einmal kommentarlos weitergeleitet. Fand ich schon etwas komisch fĂŒr eine Firma. Aber kann ja mal passieren. Ich ĂŒberwies also das Geld an die in der Fußzeile der Rechnung genannte IBAN. Es war ein Konto bei der Deutscchen Bank (sic!) – mit einer DE44 IBAN – also ein deutsches Bankkonto. Dann antwortete ich, dass ich das Geld ĂŒberwiesen habe.

Donnerstag

Am Donnerstag, 16. Februar 2022, bekam ich eine Mail, die wirklich nach Phishing klang đŸš©đŸš©đŸš©. Kam aber wieder von der richtigen @aol.com Adresse – und ich weiß wie E-Mail Header geprĂŒft werden. Aber lest selbst…

Guten Morgen, Sehr geehrter [mein Name], Danke fĂŒr deine Nachricht. Bitte bestĂ€tigen Sie den Erhalt dieser Kopie dieser Zahlung zur sicheren Aufbewahrung. Ich erwarte deine Antwort.

Mit freundlichen GrĂŒĂŸen

E-Mail vom 17.02.2022

Ich wollte also bei der Firma anrufen und nahm die Nummer in der Signatur der Mail. Komisch „Die von Ihnen gewĂ€hlte Nummer ist uns nicht bekannt“. Versuchen wir die direkte Nummer der Buchhalterin, die mir die Mail geschickt hatte. Gleiche Ansage. Something is really phishy here.

Bei Google nach der Telefonnummer gesucht und angerufen. GefĂŒhlt die gleiche Nummer – aber diesmal kam ich durch. Wie ich spĂ€ter feststellen sollte, waren einfach in allen Telefonnummern kleine Zahlendreher drin. đŸš©đŸš©đŸš©đŸš©đŸš©đŸš©

Telefonisch wurde mir dann gesagt, dass ich die Mail gleich löschen soll und die sicher nicht von denen kommt: „Da wurdene wir wohl wieder gehackt“ (hervorhebung durch mich). Die Person am Telefon schaute dann gleich im Mail Account nach und konnte eine Anmeldung aus Nigeria feststellen. Misstrauisch bin ich aber fĂŒr meine Zahlung noch nicht geworden. Dass sie das Passwort gleich Ă€ndern wĂŒrden, wurde mir gesagt.

Freitag

Ich bekam wieder eine Mail, die nach đŸš©đŸš©đŸš©đŸš© klang.

Guten Morgen, Sehr geehrter [mein Name], bitte teilen Sie mir die Kontoverbindung, auf die die Zahlung geleistet wurde, und den Eingang dieser Kopie dieser Zahlung mit. Da ich keine Zahlung auf meinem Bankkonto erhalten habe, warte ich auf Ihre Antwort.

Mail vom 18.02.2022

Überweisungen in Deutschland sind an sich spĂ€testens am Folgetag da, wenn sie bei meiner Bank vor 14 Uhr rausgehen. Also komisch, dass das Geld noch nicht angekommen sein soll. Wieder bei der Kran-Firma angerufen: Ich solle die Mail wieder löschen – Spam.

Als ich mit der Buchhalterin sprach, platze die Bombe: es gab gar kein Konto bei der Deutschen Bank! đŸ€Ż Und selbst beim Tochterunternehmen, wo es zwar ein Deutsche Bank Konto gibt, gab es nicht DIESES Deutsche Bank Konto, auf das ich ĂŒberwiesen hatte. Was nun… was tun?

Die Rennerei geht los – Passierschein A38 lĂ€sst grĂŒĂŸen

Die Kranfirma kann leider nichts machen, da sie mit der eigentlich Transaktion ja erst mal nichts zu tun hat: Weder mit dem Konto, auf das das Geld ging, noch mit meinem Konto.

Ich muss also Polizei, Deutsche Bank und meine Bank kontaktieren.

Deutsche Bank sagte „Wir können nichts tun – Datenschutz! Das muss von Ihrer Bank kommen“. Ich liebe es einfach, wenn Datenschutz vorgeschoben wird, warum irgendwelche Dinge nicht gemacht werden können. Bei einem Punkt ist es natĂŒrlich klar und der ist auch nachvollziehbar: Das Problem nennt sich Denial of Service. Wenn ich bei der Bank anrufen könnte, irgendeine IBAN nenne und die dann gesperrt wird, könnte das ganz leicht missbraucht werden. So könnte ich einer unliebsamen Person das Konto sperren und sie somit vom Bankverkehr ausschließen. Daher: die Person bekommt keinen „Service“ mehr. HĂ€ufiger wird der Begriff im Internet verwendet, wenn es darum geht, dass so viele Anfragen an Server geschickt werden, dass die darunter zusammenbrechen und nicht mehr erreichbar sind – auch hier: kein Service unter dieser Nummer. Ein ganz typisches Thema mit dem sich Menschen aus dem Bereich Information Security (Informationssicherheit) auseinander setzen mĂŒssen.

Jetzt zu meiner Bank (DKB): sie ist telefonisch quasi nicht zu erreichen gewesen. Es gibt keinen Punkt im telefonischen Auswahl-MenĂŒ fĂŒr Betrugsmeldungen. Also Option 4 gewĂ€hlt und „Betrug“ als Stichwort genannt. Manchmal passierte nach meiner Aussage „Betrug“ einfach gar nix. Mal wurde mir vom Band gesagt, dass leider alle Leitungen belegt sind und ich es spĂ€ter versuchen sollte oder eben online. Manchmal hing ich auch in einer Warteschlange und flog dann mit gleicher Ansage einfach raus.

Ich schrieb dann ĂŒber das Kontaktformular eine Anfrage, die (sehr schnell) beantwortet wurde – allerdings mit einer Standardantwort; Ich könnte die RĂŒckholung der Überweisung beauftragen. Wenn das Geld allerdings schon vebucht sei, ich dies nur mit Zustimmung der Kontoinhaber_in wiederbekommen könnte. đŸ€Ł 10 € soll der Spaß kosten.

1, 2, Polizei

Lieber erst mal bei der Polizei eine Formalie erledigen: Eine Anzeige erstellen ĂŒber die Internetwache. Davon erwarte ich mir allerdings nichts. Aus beruflicher Praxis weiß ich, dass manchmal erst nach einem halben Jahr bei den beteiligten Banken oder Online HĂ€ndlern erste Anfragen von der Polizei eintreffen – das geht aber manchmal auch schneller.

BetrugsfĂ€lle im Internet sind leider keine Seltenheit und verursachen einen großen RĂŒckstau an FĂ€llen.

Mit dieser Anzeige habe ich dann die Anfrage an die DKB geschickt. Gehört habe ich aber von denen noch nichts…

Hinter den Kulissen

Wenn ich jetzt mal einen Tipp abgeben sollte, was hier auf Seiten der Hacker_innen passiert ist, dann diesen folgenden. Genau genommen sind es mehrere Methoden der Cyber KriminalitĂ€t, die tagtĂ€glich tausendfach angewendet werden. FĂŒr sich genommen sind sie schon unangenehm oder gefĂ€hrlich, aber in Kombination werden sie erst wirklich perfide. In der Hoffnung, dass ich euch hier vielleicht vor Schaden bewahren und ein bisschen die Sinne schĂ€rfen kann, gehen wir etwas ins Detail. Einige Aspekte werde ich aber bewusst verkĂŒrzen. Wer mehr wissen will, kann gerne in den Kommentaren nachfragen.

Phishing

Beim Phishing (augesprochen: Fisching) versenden Unbekannte Mails im Namen von z.B. der Chefin, der Bank, Bewerber_innen oder Verwandten und Bekannten. Dahinter steckt meist das Ziel durch geschickte Ausnutzung psychologischer SchwĂ€chen, die wir alle haben, uns dazu zu bringen Zugangsdaten preiszugeben, Kreditkartendaten herauszugeben, oder auch einfach kleine Informationen (z.B. „Erstes Haustier“, „Geburtsname der Mutter“) ĂŒber euch zu erhalten.

Genutzt werden dafĂŒr meist diese Muster:

  • Druck:
    • „Du musst XY tun, ich bin immerhin [authoritĂ€tsperson oder organisation]“,
    • „Handeln Sie jetzt, sonst verlieren sie den Zugang zu [Daten, Konto, you name it]“,
    • „Es hat schlimme folgen fĂŒr dich, wenn du nicht jetzt XY tust“,
  • ZeitkritikalitĂ€t:
    • „Es ist ganz eilig“,
    • „Ich sitze gerade in einem Meeting“
    • „Morgen sperren wir Ihren Account, wenn Sie nicht bis in X Stunden diesen Link anklicken“.

In unserem konkreten Fall wurde mindestens zwei bis drei mal an verschiedenen Stellen gephisht, vielleicht sogar auch Schadsoftware eingesetzt:

  1. Person A erhĂ€lt eine Mail von der „Bank“: „Ändere jetzt deine Kontodaten, weil wir ein neues Sicherheitssystem eingefĂŒhrt haben, sonst verlierst du den Zugang zu deinem Konto. Klicke einfach auf diesen Link: deutschebank.de.is“ Die Mail-Adresse prĂŒfen leider die wenigsten genau.
  2. Person A meldet sich auf der Seite mit den Zugangsdaten an, da sie nur geschaut hat, dass der Link deutschebank.de enthĂ€lt und die Anmeldeseite aussieht wie immer. (Domain Namen immer von hinten lesen: hinter dem .de steht noch ein .is… es ist also nur eine Domain, die so aussehen will wie die echte deutschebank-Domain.
  3. Die Phishende Person hat jetzt Zugangsdaten zum Online Banking.
  4. Etwas Ă€hnliches passiert bei der Kranfirma: auch dort kommt eine Mail rein. „Melden Sie sich hier in ihrem AOL-Konto an: LINK“. (es kann aber auch sein, dass hier Schadsoftware in einer Mail mit „unwiderstehlichem“ Anhang, z.B. „Gehaltsliste_alle_MA_2022.xlsm“, „Beförderungen_2022.doc“, „Fotos Firmenfeier.doc“ oder vielleicht auch „STRENG_GEHEIM_GeschĂ€ftsfĂŒhrung.doc“, enthalten war)
  5. Bei der Kran-Firma meldet sich dort jemand an und gibt damit den BetrĂŒger_innen Zugang zum Mail Account.
  6. Wenn die Seite der BetrĂŒger_innen gut gemacht ist, dann kann ich sogar Mails ĂŒber diese falsche Seite versenden… nur dass sie tatsĂ€chlich nicht verschickt werden, sondern im Postausgang liegen bleiben.
  7. Die BetrĂŒger_innen ĂŒberwachen das Mail-Konto und fangen die Mail aus dem Postausgang ab.
  8. Die PDF und die Mail wird so manipuliert, dass die Kontodaten der Person A statt der legitimen Kontodaten der Kran-Firma angegeben werden.
  9. Die Mail wird dann verschickt – in meinem Fall lagen zwischen dem offiziellen Versand der Kran-Firma und der Zeit, wann ich sie bekommen habe ca. 6-9 Stunden. Mehr als genug Zeit zur Manipulation der Daten.
  10. Ich komme hier ins Spiel: Ich erhalte die an sich inhaltlich korrekte Rechnung auf die auch auch schon gewartet hatte von der Ansprechperson, von der ich es erwartet hatte. (Wenn ihr einen Inhalt nicht erwartet oder die Absender_in nicht kennt, seid immer misstrauisch)
  11. Ich ĂŒberweise das Geld an die in der Fußzeile der PDF genannte IBAN
  12. Die BetrĂŒger_innen transferieren das Geld an Western Union oder andere Anbieter ĂŒber die sich Geld verschicken lĂ€sst.

Dass die Person A nichts davon mitbekommt kann durchaus sein. Ich gehe nicht davon aus, dass Person A am eigentlichen Betrug beteiligt ist.

Was nun?

FĂŒr mich heißt es nun erst mal bangen und Fragen ĂŒber Fragen: Bekomme ich das Geld zurĂŒck? Wurde das Bankkonto bei der Deutschen Bank vielleicht sogar schon gesperrt? (weiß irgendwer wie lange das dauert, bis eine Überweisung zurĂŒck kommt?) Bekomme ich trotz fehlender Anzahlung den Kran? (Das wurde mir zwar zugesagt, aber schauen wir mal – wenn nicht, wĂ€re das der Super-GAU), weil… [hier sollte ein Countdown bis zur Hausaufstellung erscheinen]

So lange noch, bis das Haus kommt...

Es geht weiter mit Fragen, die ich mir stelle: Warum nutzt ein Unternehmen im Jahr 2022 immer noch AOL? Warum nutzen sie immer noch Webmail (ließ sich aus dem header der E-Mail ablesen)? Warum nutzt die Kran-Firma keine Software, die plumpe Phishing-Angriffe verhindern kann? Kann ich der Kran-Firma vielleicht einen lukrativen Informationssicherheitsberatungsvertrag anbieten 😅 (Spaß! Oder doch nicht? Angebote und Anfragen ĂŒber unser Kontaktformular. 😎). Wer haftet jetzt eigentlich wenn das Geld wirklich weg ist? Muss ich die Kran-Firma noch mal bezahlen, oder muss die Kran Firma leisten und bleibt selbst auf dem Schaden sitzen?

Ich hatte bei der Buchhalterin noch mal angeregt, dass sie bitte auch noch mal die anderen Menschen kontaktieren soll, denen sie Rechnungen geschickt hat zu Beginn der Woche – nur dass denen dieser Stress vielleicht erspart bleibt.

So viele Fragen – auf einige davon habe ich vielleicht Ideen im Kopf, wie es sein könnte, auf andere nicht.

Updates

Montag 21.02.2022

Ich habe eine Mail von der DKB bekommen, dass meine Anfrage an die Deutsche Bank weitergeleitet wurde… auch schon. Ich will ja nicht ungeduldig sein, aber ist es in solchen FĂ€llen nicht so, dass jede Stunde, die ein kompromittiertes Konto online ist damit noch weit mehr Schindluder getrieben werden kann. Aber wer weiß… FĂŒr eine Bank sind 3200 € halt nur Peanuts (wem Hilmar Kopper von der Deutschen Bank noch was sagt).

Wir haben inzwischen auch nach einem lĂ€ngeren Telefonat mit der Kran Firma eine Mail bekommen, in der sie uns bestĂ€tigen, dass der Kran am Stelltermin auch wirklich kommt. ✹

Fazit

Wenn es Updates zum Cyber Crime beim Hausbau gibt, werde ich sie hier ergĂ€nzen – oder einen neuen Post erstellen… mal sehen.

Sorry, liebe Leser_innen, dass es etwas lÀnger geworden ist. Ich vermute mal, dass das runterschreiben dieser Geschichte ein bisschen Coping Mechanismus aber auch als Warnung gelten soll.

Eins ist mir wichtig: wenn ihr grĂ¶ĂŸere Summen ĂŒberweisen sollt, dann stellt sicher, dass die Kontonummer richtig ist. Ruft an! Schaut auf alten Rechnungen (wenn es schon welche gibt)!

Wenn ihr euch fragt, was es damit auf sich hat: đŸš©đŸš©đŸš©đŸš© –> das sind „red flags“ also eindeutige Warnzeichen.

Wenn ihr euch selbst mal testen wollt, wie gut ihr im Erkennen von Phishing seid macht dieses Quiz von Google. Seid ehrlich? Alles richtig gehabt, lasst es uns in den Kommentaren wissen.

Und zuguter letzt… bevor ihr irgendwelche Links anklickt: einmal mit der Maus ĂŒber den Link fahren (ohne zu klicken) und die Adresse prĂŒfen wo sie hin fĂŒhrt. Ist es wirklich die Adresse, die ihr erwartet? Passt der Link beim drauf zeigen zum Text des Links? Wenn nicht: đŸš©đŸš©đŸš©đŸš©

0 0 votes
Article Rating
Published inAllgemeinesKnow-How
0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei

2 Kommentare
Inline Feedback
Alle Kommentare anschauen
JĂŒrgen
Gast
20. Februar 2022 09:53

Wow, da hat sich echt jemand MĂŒhe gemacht und euch vom erwischt. Auch wenn ich bezweifle, dass ihr das Geld zurĂŒck bekommt, wĂŒnsche ich euch viel Erfolg dabei. Auf der anderen Seite ĂŒberrascht es mich absolut nicht, dass so etwas passiert. In der Baubranche scheint ordentliche Email Kommunikation nicht die Regel zu sein. Mein GU verschickt gerne Emails ohne Betreff… Weiterlesen »

2
0
Lass uns doch einen Kommentar oder deine Fragen da!x
%d Bloggern gefÀllt das: