Last updated on 21. Februar 2022
So lange noch, bis das Haus kommt...
Ich habe etwas mehr als 3.200 € an Betrüger_innen überwiesen! Kein Witz. Wirklich nicht. Wie es dazu gekommen ist lest ihr in diesem Post über Cyber Crime beim Hausbau. Es wird auch updates geben, sobald sie rein kommen.
Ihr habt vielleicht den Teaser gelesen und euch gewundert was hier los ist und wie so etwas passieren konnte. Tatsächlich habe ich dreitausendzweihundert (!!!) Euro an Betrüger_innen überwiesen. Ich muss vielleicht noch dazu sagen, dass ich „vom Fach“ bin. Zu meinen Aufgaben gehört es für sichere IT und Unternehmen zu sorgen. In der Rolle halte ich z.B. auch Schulungen, damit die lieben Kolleg_innen nicht auf Scams und Phishing herein fallen.
Und jetzt hat es mich getroffen…
Achtung… dieser Post ist länger geworden.
Updates findet ihr hier: Cyber Crime beim Hausbau
Was ist passiert
Der Kran verfolgt uns ja schon etwas länger: Die Baustellenzufahrt und der Kranstellplatz. Jetzt wird es noch spannender, wo Cyber Crime ins Spiel kommt: Alles begann mit dem Umstand, dass ich als Privatperson eine Anzahlung in Höhe von 2 Tagen plus aller möglicher zusätzlicher Kosten für den Kran leisten muss. Das ist leider so, wenn ich als Privatperson bestelle. Fullwood vermittelt die Kran-Firma zwar, der eigentliche Vertrag kommt aber direkt zwischen mir und der Kran-Firma zustande.
Montag
Ich habe also das Kran Angebot für den vier-achsigen Kran in der Kalenderwoche 6/2022 unterschrieben. Was noch fehlte, war die Rechnung für die Vorauszahlung. Am Montag, 14. Februar 2022, kam dann die Rechnung über ca. 3200 € (ein tolles Valentinstagsgeschenk 😁). Die Kranfirma verwendet interessanterweise eine AOL E-Mail-Adresse. Im privaten Umfeld habe ich sowas schon seit den frühen zweitausendern nicht mehr gesehen. Im Handwerk sehe ich oft @t-online.de, @gmx.de oder auch @web.de. Eigene Domains, wie @handwerk-abc.de sind immer noch eher die Seltenheit.
Die Mail mit der PDF-Rechnung im Anhang sah jedenfalls ganz normal aus: ordentlicher Text, sie kam auch von der richtigen Mail-Adresse.
Mittwoch
Am Mittwoch bekam ich dann den PDF-Anhang noch einmal kommentarlos weitergeleitet. Fand ich schon etwas komisch für eine Firma. Aber kann ja mal passieren. Ich überwies also das Geld an die in der Fußzeile der Rechnung genannte IBAN. Es war ein Konto bei der Deutscchen Bank (sic!) – mit einer DE44 IBAN – also ein deutsches Bankkonto. Dann antwortete ich, dass ich das Geld überwiesen habe.
Donnerstag
Am Donnerstag, 16. Februar 2022, bekam ich eine Mail, die wirklich nach Phishing klang 🚩🚩🚩. Kam aber wieder von der richtigen @aol.com Adresse – und ich weiß wie E-Mail Header geprüft werden. Aber lest selbst…
Guten Morgen, Sehr geehrter [mein Name], Danke für deine Nachricht. Bitte bestätigen Sie den Erhalt dieser Kopie dieser Zahlung zur sicheren Aufbewahrung. Ich erwarte deine Antwort.
E-Mail vom 17.02.2022
Mit freundlichen Grüßen
Ich wollte also bei der Firma anrufen und nahm die Nummer in der Signatur der Mail. Komisch „Die von Ihnen gewählte Nummer ist uns nicht bekannt“. Versuchen wir die direkte Nummer der Buchhalterin, die mir die Mail geschickt hatte. Gleiche Ansage. Something is really phishy here.
Bei Google nach der Telefonnummer gesucht und angerufen. Gefühlt die gleiche Nummer – aber diesmal kam ich durch. Wie ich später feststellen sollte, waren einfach in allen Telefonnummern kleine Zahlendreher drin. 🚩🚩🚩🚩🚩🚩
Telefonisch wurde mir dann gesagt, dass ich die Mail gleich löschen soll und die sicher nicht von denen kommt: „Da wurdene wir wohl wieder gehackt“ (hervorhebung durch mich). Die Person am Telefon schaute dann gleich im Mail Account nach und konnte eine Anmeldung aus Nigeria feststellen. Misstrauisch bin ich aber für meine Zahlung noch nicht geworden. Dass sie das Passwort gleich ändern würden, wurde mir gesagt.
Freitag
Ich bekam wieder eine Mail, die nach 🚩🚩🚩🚩 klang.
Guten Morgen, Sehr geehrter [mein Name], bitte teilen Sie mir die Kontoverbindung, auf die die Zahlung geleistet wurde, und den Eingang dieser Kopie dieser Zahlung mit. Da ich keine Zahlung auf meinem Bankkonto erhalten habe, warte ich auf Ihre Antwort.
Mail vom 18.02.2022
Überweisungen in Deutschland sind an sich spätestens am Folgetag da, wenn sie bei meiner Bank vor 14 Uhr rausgehen. Also komisch, dass das Geld noch nicht angekommen sein soll. Wieder bei der Kran-Firma angerufen: Ich solle die Mail wieder löschen – Spam.
Als ich mit der Buchhalterin sprach, platze die Bombe: es gab gar kein Konto bei der Deutschen Bank! 🤯 Und selbst beim Tochterunternehmen, wo es zwar ein Deutsche Bank Konto gibt, gab es nicht DIESES Deutsche Bank Konto, auf das ich überwiesen hatte. Was nun… was tun?
Die Rennerei geht los – Passierschein A38 lässt grüßen
Die Kranfirma kann leider nichts machen, da sie mit der eigentlich Transaktion ja erst mal nichts zu tun hat: Weder mit dem Konto, auf das das Geld ging, noch mit meinem Konto.
Ich muss also Polizei, Deutsche Bank und meine Bank kontaktieren.
Deutsche Bank sagte „Wir können nichts tun – Datenschutz! Das muss von Ihrer Bank kommen“. Ich liebe es einfach, wenn Datenschutz vorgeschoben wird, warum irgendwelche Dinge nicht gemacht werden können. Bei einem Punkt ist es natürlich klar und der ist auch nachvollziehbar: Das Problem nennt sich Denial of Service. Wenn ich bei der Bank anrufen könnte, irgendeine IBAN nenne und die dann gesperrt wird, könnte das ganz leicht missbraucht werden. So könnte ich einer unliebsamen Person das Konto sperren und sie somit vom Bankverkehr ausschließen. Daher: die Person bekommt keinen „Service“ mehr. Häufiger wird der Begriff im Internet verwendet, wenn es darum geht, dass so viele Anfragen an Server geschickt werden, dass die darunter zusammenbrechen und nicht mehr erreichbar sind – auch hier: kein Service unter dieser Nummer. Ein ganz typisches Thema mit dem sich Menschen aus dem Bereich Information Security (Informationssicherheit) auseinander setzen müssen.
Jetzt zu meiner Bank (DKB): sie ist telefonisch quasi nicht zu erreichen gewesen. Es gibt keinen Punkt im telefonischen Auswahl-Menü für Betrugsmeldungen. Also Option 4 gewählt und „Betrug“ als Stichwort genannt. Manchmal passierte nach meiner Aussage „Betrug“ einfach gar nix. Mal wurde mir vom Band gesagt, dass leider alle Leitungen belegt sind und ich es später versuchen sollte oder eben online. Manchmal hing ich auch in einer Warteschlange und flog dann mit gleicher Ansage einfach raus.
Ich schrieb dann über das Kontaktformular eine Anfrage, die (sehr schnell) beantwortet wurde – allerdings mit einer Standardantwort; Ich könnte die Rückholung der Überweisung beauftragen. Wenn das Geld allerdings schon vebucht sei, ich dies nur mit Zustimmung der Kontoinhaber_in wiederbekommen könnte. 🤣 10 € soll der Spaß kosten.
1, 2, Polizei
Lieber erst mal bei der Polizei eine Formalie erledigen: Eine Anzeige erstellen über die Internetwache. Davon erwarte ich mir allerdings nichts. Aus beruflicher Praxis weiß ich, dass manchmal erst nach einem halben Jahr bei den beteiligten Banken oder Online Händlern erste Anfragen von der Polizei eintreffen – das geht aber manchmal auch schneller.
Betrugsfälle im Internet sind leider keine Seltenheit und verursachen einen großen Rückstau an Fällen.
Mit dieser Anzeige habe ich dann die Anfrage an die DKB geschickt. Gehört habe ich aber von denen noch nichts…
Hinter den Kulissen
Wenn ich jetzt mal einen Tipp abgeben sollte, was hier auf Seiten der Hacker_innen passiert ist, dann diesen folgenden. Genau genommen sind es mehrere Methoden der Cyber Kriminalität, die tagtäglich tausendfach angewendet werden. Für sich genommen sind sie schon unangenehm oder gefährlich, aber in Kombination werden sie erst wirklich perfide. In der Hoffnung, dass ich euch hier vielleicht vor Schaden bewahren und ein bisschen die Sinne schärfen kann, gehen wir etwas ins Detail. Einige Aspekte werde ich aber bewusst verkürzen. Wer mehr wissen will, kann gerne in den Kommentaren nachfragen.
Phishing
Beim Phishing (augesprochen: Fisching) versenden Unbekannte Mails im Namen von z.B. der Chefin, der Bank, Bewerber_innen oder Verwandten und Bekannten. Dahinter steckt meist das Ziel durch geschickte Ausnutzung psychologischer Schwächen, die wir alle haben, uns dazu zu bringen Zugangsdaten preiszugeben, Kreditkartendaten herauszugeben, oder auch einfach kleine Informationen (z.B. „Erstes Haustier“, „Geburtsname der Mutter“) über euch zu erhalten.
Genutzt werden dafür meist diese Muster:
- Druck:
- „Du musst XY tun, ich bin immerhin [authoritätsperson oder organisation]“,
- „Handeln Sie jetzt, sonst verlieren sie den Zugang zu [Daten, Konto, you name it]“,
- „Es hat schlimme folgen für dich, wenn du nicht jetzt XY tust“,
- Zeitkritikalität:
- „Es ist ganz eilig“,
- „Ich sitze gerade in einem Meeting“
- „Morgen sperren wir Ihren Account, wenn Sie nicht bis in X Stunden diesen Link anklicken“.
In unserem konkreten Fall wurde mindestens zwei bis drei mal an verschiedenen Stellen gephisht, vielleicht sogar auch Schadsoftware eingesetzt:
- Person A erhält eine Mail von der „Bank“: „Ändere jetzt deine Kontodaten, weil wir ein neues Sicherheitssystem eingeführt haben, sonst verlierst du den Zugang zu deinem Konto. Klicke einfach auf diesen Link: deutschebank.de.is“ Die Mail-Adresse prüfen leider die wenigsten genau.
- Person A meldet sich auf der Seite mit den Zugangsdaten an, da sie nur geschaut hat, dass der Link deutschebank.de enthält und die Anmeldeseite aussieht wie immer. (Domain Namen immer von hinten lesen: hinter dem .de steht noch ein .is… es ist also nur eine Domain, die so aussehen will wie die echte deutschebank-Domain.
- Die Phishende Person hat jetzt Zugangsdaten zum Online Banking.
- Etwas ähnliches passiert bei der Kranfirma: auch dort kommt eine Mail rein. „Melden Sie sich hier in ihrem AOL-Konto an: LINK“. (es kann aber auch sein, dass hier Schadsoftware in einer Mail mit „unwiderstehlichem“ Anhang, z.B. „Gehaltsliste_alle_MA_2022.xlsm“, „Beförderungen_2022.doc“, „Fotos Firmenfeier.doc“ oder vielleicht auch „STRENG_GEHEIM_Geschäftsführung.doc“, enthalten war)
- Bei der Kran-Firma meldet sich dort jemand an und gibt damit den Betrüger_innen Zugang zum Mail Account.
- Wenn die Seite der Betrüger_innen gut gemacht ist, dann kann ich sogar Mails über diese falsche Seite versenden… nur dass sie tatsächlich nicht verschickt werden, sondern im Postausgang liegen bleiben.
- Die Betrüger_innen überwachen das Mail-Konto und fangen die Mail aus dem Postausgang ab.
- Die PDF und die Mail wird so manipuliert, dass die Kontodaten der Person A statt der legitimen Kontodaten der Kran-Firma angegeben werden.
- Die Mail wird dann verschickt – in meinem Fall lagen zwischen dem offiziellen Versand der Kran-Firma und der Zeit, wann ich sie bekommen habe ca. 6-9 Stunden. Mehr als genug Zeit zur Manipulation der Daten.
- Ich komme hier ins Spiel: Ich erhalte die an sich inhaltlich korrekte Rechnung auf die auch auch schon gewartet hatte von der Ansprechperson, von der ich es erwartet hatte. (Wenn ihr einen Inhalt nicht erwartet oder die Absender_in nicht kennt, seid immer misstrauisch)
- Ich überweise das Geld an die in der Fußzeile der PDF genannte IBAN
- Die Betrüger_innen transferieren das Geld an Western Union oder andere Anbieter über die sich Geld verschicken lässt.
Dass die Person A nichts davon mitbekommt kann durchaus sein. Ich gehe nicht davon aus, dass Person A am eigentlichen Betrug beteiligt ist.
Was nun?
Für mich heißt es nun erst mal bangen und Fragen über Fragen: Bekomme ich das Geld zurück? Wurde das Bankkonto bei der Deutschen Bank vielleicht sogar schon gesperrt? (weiß irgendwer wie lange das dauert, bis eine Überweisung zurück kommt?) Bekomme ich trotz fehlender Anzahlung den Kran? (Das wurde mir zwar zugesagt, aber schauen wir mal – wenn nicht, wäre das der Super-GAU), weil… [hier sollte ein Countdown bis zur Hausaufstellung erscheinen]
So lange noch, bis das Haus kommt...
Es geht weiter mit Fragen, die ich mir stelle: Warum nutzt ein Unternehmen im Jahr 2022 immer noch AOL? Warum nutzen sie immer noch Webmail (ließ sich aus dem header der E-Mail ablesen)? Warum nutzt die Kran-Firma keine Software, die plumpe Phishing-Angriffe verhindern kann? Kann ich der Kran-Firma vielleicht einen lukrativen Informationssicherheitsberatungsvertrag anbieten 😅 (Spaß! Oder doch nicht? Angebote und Anfragen über unser Kontaktformular. 😎). Wer haftet jetzt eigentlich wenn das Geld wirklich weg ist? Muss ich die Kran-Firma noch mal bezahlen, oder muss die Kran Firma leisten und bleibt selbst auf dem Schaden sitzen?
Ich hatte bei der Buchhalterin noch mal angeregt, dass sie bitte auch noch mal die anderen Menschen kontaktieren soll, denen sie Rechnungen geschickt hat zu Beginn der Woche – nur dass denen dieser Stress vielleicht erspart bleibt.
So viele Fragen – auf einige davon habe ich vielleicht Ideen im Kopf, wie es sein könnte, auf andere nicht.
Updates
Montag 21.02.2022
Ich habe eine Mail von der DKB bekommen, dass meine Anfrage an die Deutsche Bank weitergeleitet wurde… auch schon. Ich will ja nicht ungeduldig sein, aber ist es in solchen Fällen nicht so, dass jede Stunde, die ein kompromittiertes Konto online ist damit noch weit mehr Schindluder getrieben werden kann. Aber wer weiß… Für eine Bank sind 3200 € halt nur Peanuts (wem Hilmar Kopper von der Deutschen Bank noch was sagt).
Wir haben inzwischen auch nach einem längeren Telefonat mit der Kran Firma eine Mail bekommen, in der sie uns bestätigen, dass der Kran am Stelltermin auch wirklich kommt. ✨
Fazit
Wenn es Updates zum Cyber Crime beim Hausbau gibt, werde ich sie hier ergänzen – oder einen neuen Post erstellen… mal sehen.
Sorry, liebe Leser_innen, dass es etwas länger geworden ist. Ich vermute mal, dass das runterschreiben dieser Geschichte ein bisschen Coping Mechanismus aber auch als Warnung gelten soll.
Eins ist mir wichtig: wenn ihr größere Summen überweisen sollt, dann stellt sicher, dass die Kontonummer richtig ist. Ruft an! Schaut auf alten Rechnungen (wenn es schon welche gibt)!
Wenn ihr euch fragt, was es damit auf sich hat: 🚩🚩🚩🚩 –> das sind „red flags“ also eindeutige Warnzeichen.
Wenn ihr euch selbst mal testen wollt, wie gut ihr im Erkennen von Phishing seid macht dieses Quiz von Google. Seid ehrlich? Alles richtig gehabt, lasst es uns in den Kommentaren wissen.
Und zuguter letzt… bevor ihr irgendwelche Links anklickt: einmal mit der Maus über den Link fahren (ohne zu klicken) und die Adresse prüfen wo sie hin führt. Ist es wirklich die Adresse, die ihr erwartet? Passt der Link beim drauf zeigen zum Text des Links? Wenn nicht: 🚩🚩🚩🚩
Wow, da hat sich echt jemand Mühe gemacht und euch vom erwischt. Auch wenn ich bezweifle, dass ihr das Geld zurück bekommt, wünsche ich euch viel Erfolg dabei. Auf der anderen Seite überrascht es mich absolut nicht, dass so etwas passiert. In der Baubranche scheint ordentliche Email Kommunikation nicht die Regel zu sein. Mein GU verschickt gerne Emails ohne Betreff… Weiterlesen »