Es ist eine Betrugsmasche, vor der die Landeskriminalämter schon seit Jahren warnten – auch hier im Blog gibt es Beiträge dazu: Betrügerische E-Mails, die Zahlungen (meist im Namen eines Chefs) oder über gefälschte Rechnungen mit geänderten Kontendaten fordern. Das Sozialministerium des Bundeslands Sachsen ist nach Medienberichten nun auf Internetbetrüger hereingefallen. Den Betrügern wurden 225.000 Euro auf Grund einer gefälschten Rechnung überwiesen – wie ein Ministeriumssprecher gegenüber Medien bestätigte.
Anzeige
Der Schweinepest-Zaum für 23 Millionen
Kern und Angelpunkt des Internetbetrugs war ein legales Unterfangen des Sozialministeriums Sachsen. Mit dem Ausbruch der Afrikanischen Schweinepest im Jahr 2020 wurden in Sachen mehr als 700 Kilometer Zaun zur Eindämmung der Tierseuche gebaut. Der Freistaat hat etwa 23 Millionen Euro für diese Zäune investiert.
Bis zu diesem Punkt ist alles in Ordnung. Die Forderungen der Firmen, die diese Zäune errichteten, gingen zur Bezahlung an das Land und wurden als Eigenmitteln des Freistaats beglichen. Der MDR hat aber in diesem Artikel nun einen Betrugsfall im Umfeld dieser Zaunbauaktivitäten aufgegriffen, der vom sächsischen Sozialministerium gegenüber dem Medium "Freie Presse" (Paywall) bestätigt wurde.
Rechnung abgefangen, Konto geändert
Internetbetrüger hatten, laut MDR-Bericht, die Rechnungs-E-Mail einer Firma (laut heise aus Niedersachsen) abgefangen, bei der das Ministerium Schutzzäune zur Eindämmung der Schweinepest gekauft hatte. Aus dieser Rechnung bastelten die Betrüger eine "täuschend echt wirkende" neue Rechnung, die sie per E-Mail an das Ministerium leiteten. Allerdings waren die Daten des Kontos, auf die der Rechnungsbetrag zu überweisen war, verändert und wich von den Kontendaten der fordernden Firma ab. Im Schreiben an das Ministerium wurde behauptet, dass sich das Konto geändert habe.
Vom sächsischen Sozialministerium wurden den Internetbetrügern auf Grund der fingierten Rechnung rund 225.000 Euro auf das angegebene Konto überwiesen. Laut heise sei die fingierte Rechnung vor der Zahlung unabhängig voneinander von zwei Personen im Ministerium überprüft worden. In dieser Rechnung seien die richtige Telefonnummer und E-Mail-Adresse aus der Signatur entfernt worden. Eine Überprüfung der Angaben hätte den Betrugsversuch aber auffliegen lassen.
Anzeige
Alte Betrugsmasche, LKA Sachsen warnte 2016
Diese Betrugsmasche ist lange bekannt und das LKA Sachen veröffentlichte im August 2016 die Warnung "Achtung – geänderte Bankverbindung!" – Betrug bei Rechnungsstellung per E-Mail. Dort wurde explizit davor gewarnt, dass sich in Deutschland und auch im Bundesland Sachsen einen neue Betrugsmasche verbreitet . Mails mit Schreiben mit dem Betreff "Wir haben unsere Bankverbindung geändert" – so oder so ähnlich heißt es in der E-Mail, erreichten die potentiell Geschädigten in Ihrer elektronischen Rechnungsstellung.
Abseits der Fälle, wo es wirklich eine solche Kontenänderung gibt, handelt es sich bei den gegenständlichen Mails um einen Internetbetrug. In Zeiten des elektronischen Zahlungsverkehrs werden Rechnungen in vielen Geschäftsbereichen nur noch elektronisch versandt. Kriminelle nutzen dies aus und schalten sich mit verschiedensten Methoden in den Nachrichtenaustausch zwischen Verkäufer/Dienstleister und Kunde. Letzterer überweist daraufhin den tatsächlich offenen Rechnungsbetrag auf das Konto der Betrüger, heißt es beim LKA.
Die Täter hacken sich dazu in die E-Mail-Server der Firmen, die Rechnungen stellen und besorgen sich so die benötigten Informationen. Gleichzeitig fangen sie die legitimen Rechnungen ab, so dass die Empfänger nicht misstrauisch werden. Selbst Fälle, wo diese Benachrichtigungen per Briefpost verschickt wurden, gab es. Das LKA Sachen forderte Firmen und Behörden auf, die Mitarbeiter auf diese Betrugsmasche hinzuwiesen und Rechnungen sorgfältig auf korrekte Absender, Schreibweisen etc. zu prüfen und ggf. bei den Rechnungsstellern nachzufassen.
An dieser Stelle ist es jetzt fehl am Platz, in Häme auszubrechen. Ich habe das Thema hier im Blog aufgegriffen, um erneut für das Thema zu sensibilisieren und an Internet-Betrugsmaschen zu erinnern. Danke an Volker W., der mich per Mail auf den Vorfall und den heise Artikel hingewiesen hat. In diesem Artikel wird allerdings vom Gesundheitsministerium in Sachsen (ist bei Schweinepest logischer) gesprochen, während MDR und Freie Presse das Sozialministerium nennen.
Anzeige
Zitat:
…Internetbetrüger hatten….. die Rechnungs-E-Mail einer Firma ….. abgefangen…… Aus dieser Rechnung bastelten die Betrüger eine "täuschend echt wirkende" neue Rechnung, die sie per E-Mail an das Ministerium leiteten………Vom sächsischen Sozialministerium wurden den Internetbetrügern auf Grund der fingierten Rechnung rund 225.000 Euro auf das angegebene Konto überwiesen….
Zitat Ende
Tja, eigentlich ein weiterer Fall der zum Schmunzeln anregen würde, wäre da nicht die bittere Pille der Realität…
Und wieder wird aufgezeigt, daß sogar in Ministerien Personen wirken, die scheinbar vollkommen losgelöst von allen Warnungen und weltweiten kriminellen Vorfällen, ebenso mitschuldige Opfer werden.
So langsam staune ich nicht mehr, sondern kratze mir nachdenklich den Kopf.
Aber es bestätigt mal wieder meine Vermutung:
Der Neuzeitmensch ist offenkundig absolut überfordert, Gefahren und kriminellen Machenschaften im Internet erfolgreich wachsam zu sein.
Dennoch galoppiert der vemeintliche Digitalisierungswahn voran, ohne Rücksicht auf Verluste, ohne Bedenken, ohne wirkliche Kenntnisse der Abwehr!
Wie die Sklaventreiber auf den alten Galeeren, peitscht der IT-ungebildete Mob die Digitalisierung voran!
Gemäß dem Motto: Vorwärts, Vorwärts, Vorwärts!
Bis zum Supergau!
… Die Digitalisierung könnte helfen, solche Prozesse sicher zu machen. Wer in einer Behörde gearbeitet hat, weiß, wie schwierig es ist, Fake von Wahrheit zu unterscheiden. Aufgrund Menge und Komplexität …
Guten Tag Dirk
Nein, die Digitalisierung hat weitere Gefahren zu bieten und ist unbedingt zu vermeiden, wo es geht. Auch kein Online Banking nutzen und sonstige Scherze.
Mitarbeiter besser schulen, mehr Mitarbeiter anstellen. Das wäre der richtige Weg für Banken.
Die Digitalisierung darf nur ganz langsam und sehr behutsam begangen werden und erst nach vielen Tests dürfen neue Verfahren auf den Kunden losgelassen werden, für die Kunden, die es meinen zu benötigen. Die Menschen, die auf Sicherheit achten, sollten alle Digitalisierungsmaßnahmen meiden. Ich tue das wo es geht. Genauso sollten Geschäftsvorgänge per Email abgesichert werden. MA sollten eben besser geschult werden und bei Bedarf auch ruhig einmal einen Telefonhörer in die Hand nehmen und ggf. nachfragen…
Und die Faulheit der Kundschaft sollte sich ändern.
Ja, richtige und vor allem grundsolide Digitalisierung wäre hilfreich. Leider findet aber genau das nicht statt. Da wird ein Gesetz verabschiedet, das dann einen Zeitpunkt beinhaltet, zu dem ein entsprechender Prozess abgeschlossen zu sein hat. Wie das aber funktionieren soll, da bleibt die einzelne Verwaltung einer Gemeinde, eines Landkreises oder einer Stzadt aber allein.
Es ist, nebenbei gesagt, ganz einfach Wahrheit von Betrug zu unterscheiden. Dabei ist es auch unerheblich, ob einzelne Abteilungen die für die jeweiligen Haushaltsstellen anfallenden Rechnungen selbst bearbeitet und Auszahlungsanordnungen erlässt, oder ob das gesammelt von einer Menge X an Mitarbeitern an einer Stelle getan wird. Bekomme ich zum Beispiel eine Rechnung in dei Finger, auf der der Hinweis zu einer geänderten Bankverbindung gegeben wird, rufe ich das entsprechende Unternehmen an. Allerdings über die in den entsprechenden gesicherten Bereichen hinterlegten Kontaktdaten und eben nicht über möglicherweise ebenfalls geänderte Kontaktdaten auf der aktuellen Rechnung. Es gibt zudem die Möglichkeit, im entsprechenden Finanzverwaltungssystem frühere Rechnungen aufzurufen (hier wirkt die von Frau Berger ständig verteufelte Digitalisierung Wunder) und sich direkt auf dem Bildschirm anzusehen, um so Vergleiche anstellen zu können.
Wichtig ist – und dabei ist es völlig unerheblich, ob privater Anwender, Mitarbeiter einer Behörde, Verwaltung oder eines Unternehmens – zu kontrollieren, was man tut. Sich ständig selbst zu sensibilisieren oder als Verwantwortlicher in dem Thema dafür zu sorgen, dass die Kollegen ständig sensibilisiert werden. Genügend Mittel und Methoden gibt es dafür nicht erst seit gestern und sind ein wichtiger Baustein in der Digitalisierung, der nicht vernachlässigt werden darf.
Meistens ist das neue Konto dann auf Malta/Zypern oder sonstwo ausserhalb der EU, wenn die Betrüger keinen Deppen gefunden haben der als "Money Transfer Agent" arbeiten möchte.
"In dieser Rechnung seien die richtige Telefonnummer und E-Mail-Adresse aus der Signatur entfernt worden."
Bei heise online wird dazu noch hingewiesen, dass ein Klick auf die Absenderadresse (E-Mail?) den Betrug hätte auffliegen lassen. Ich gehe daher davon aus, dass es sich um eine HTML-E-Mail gehandelt hat.
Wann lernen wir endlich, dass E-Mails im einfachen Textformat mit digitalen Signaturen und Ende-zu-Ende-Verschlüsselung dem angemessenen Stand der Technik heute entsprechen?
Ich möchte das noch ein wenig anders formulieren: Wann rufen wir uns endlich wieder ins Gedächtnis, dass Email schon immer ein reines Textmedium war? Weder RTF noch HTML oder gar Word als Editor mit Hintergründen und hübsche Signaturen mit Bildern haben etwas in Mail zu suchen.
Und nein, es gibt absolut kein Argument für etwas anderes als reinen Text in einer Email.
Das lässt sich auch ohne größeren technischen Aufwand als Betrugs-E-Mail identifizieren. Die MAs müssen darauf trainiert werden. Im Zweifel ein mindestens 4- Augen Prinzip ab Summe xy.
Was soll das nützen bei der hierzulande flächendeckend verbreiteten IT-Inkompetenz?
Der Punkt ist, in Behörden wird (auch immer noch) zu arg- und sorglos mit Finanzmitteln umgegangen und zusätzlich sind die MA auch einfach zu ungebildet für die Internet-Risiken! 🤷♂️
@User007
Was hat das mit "IT-Sicherheit" zu tun? Das war kein IT-, sondern ein Prozessmanko.
Danke, dass Du diesen Punkt einmal ansprichst und die tatsächliche Verantwortlichkeit benennst.
Da haben 6 Augen darauf geschaut.
Und natürlich ist es üblich, das ein kleiner Sachbearbeiter keine 5 Stellingen Summm überweisen kann.
ich frag wie er diese Summe überhaupt hat freibekommen können ohne Gegenbuchung
Deine Vorschläge bringen keinen Sicherheitsvorteil bzw. sind unlogisch.
Es hilft nichts anderes als der Griff zum Telefonhörer und das telefonische Abgleichen des erhaltenen Kontos.
ich lach mich schlapp… so bescheuert kann auch nur eine Behörde sein – weltfremd eben!
Schade nur um die Steuergelder, die müssten das eigentlich aus eigener Tasche zurückzahlen – wer dafür ist, bitee die Hand heben! ;)
Es gibt keinen Grund auf den Opfern Rum zu hacken.
Oder gar Mutmaßungen zu deren IQ anzustellen.
Die Masche ist so perfekt gemacht, das es einfach nicht auffällt.
Diese Betrüger leben von Betrug und können das sehr gut.
Sonst würden sie das ja nicht machen, gell?
Darum ist z.B. Email Signierung sinnloses Schlangenöl, mit der sich mancher Konsultant gesund stoßen will.
Die Signaturen werden auch gefälscht.
Bei jeder Rechnung beim Gläubiger anrufen?
Geht ja wohl auch nicht.
Doch, das geht. Man kann auch bei jeder Rechnung beim Gläubiger anrufen. Wie Vergero schon richtig angemerkt hat, handelt es sich hier um ein Prozessmanko. Aus meiner Sicht kommt dazu, dass man sich an bestehende Vorschriften zum Umgang mit Rechnungen über solche Beträge wahrscheinlich nicht gehalten hat.
Du willst mir aber bitte einmal vorführen, wie Du wohl meine digitale Signatur fälschen willst. Fangen wir mit etwas so leichtem an wie GPG und schauen dann weiter, ja?
Du könntest damit anfangen, Deinen unqualifizierten Bullshit sein zu lassen, wenn Du nicht einmal im Ansatz weißt, wovon Du schreibst.
Wir hatten auch so eine Rechnung zu einem Ausschreibungsobjekt. Nur die Zahlungsinformationen geändert.
Ist in der Vergabestelle aufgefallen, weil "die Mail irgendwie komisch ist und der Absender nicht zum Auftragnehner passt".
Wir warten mal gespannt, was die Anzeige bringt, wo wir auch noch Unterlagen ausdrucken :) und nachreichen sollte.
Technisch betrachtet war die PDF (Jaja, so kommen Rechnungen per Mail) nicht zu beanstanden. Alle Unternehmensdaten waren korrekt. Wenn man nicht die richtige Bankverbindung schon hat (warum sollte man?) und die Rechnung einfach so speichert und zur Verarbeitung weiter gibt, geht das schnell durch.
Vor allem hing da noch die Original-Bestätigung für die Erbringung der Leistung dran.
Und natürlich weiß keiner der Beteiligten, wo die Unterlagen herkamen. Alles IT-Firmen, die mit der Rechnung sieht "IT-Sicherheit" als ijren Auftrag…
Wir haben in der Folge das Vorgehen angepasst, auch wenn nichts passiert ist. Es gibt jetzt bestimmte Banken (dazu sag ich mal nichts genaueres), bei denen vorher noch mal mit dem AN abgeglichen wird. Und die Absendemail ist mit der Unternehmensmailadresse zu vergleichen.
Mittelfristig fliegt PDF-Rechnung per Mail eh raus, geht Richtung Portal mit Unternehmensregistrierung.
Papierrechnungen sind genauso problematisch, muss man auch höllisch aufpassen. Das Problem an sich ist ja uralt und unserem allgemeinen Gedchäftsgebaheen geschuldet. Einfach zum Schluss eine Rechnung schicken und dann überweise mal.
Natürlich sind nur Text E-Mails sicherer. Dacore
Aber wie bekommt man so eine Text Email vernünftig gelocht und mit Firmenlogo?
I.d.R kommt die Rechnung daher als PDF.
Sieht dann gedruckt genauso aus als wäre sie per Schneckenpodt gekommen. Bei einer Buchprüfung fällt sie nicht auf.
Übrigens hatte das Finanzamt vor Jahren vorgeschrieben, das Rechnungen per E-Mail unbedingt mit einer qualifizierten Unterschrift zu versehen seien. Da das völlig úberzogen war und praxisfern (toll wenn Outlook in die signierte Email "Dieser Absender ist neu) oder alle Links auf einen Proxy umschreibtbund von daher die Signatur eh nie stimmt)
Was man machen könnte wäre eine Buchführung.
Der müsste aufgefallen sein, das es keinen Auftrag gab Oder dieser schon bezahltwsr.
Ich kann mir auch Unternehmen vorstellen, die vorsätzlich Doppelte Rechnungen schreiben.
Wenn hier 2 I.W. zwei weitere Unterschrift berechzigte zuged zugestimmt haben, wird das auch bei einer regulären Rechnung funktionieren…
.
"Die Täter hacken sich dazu in die E-Mail-Server der Firmen"
Das ist falsch. Die greifen nicht auf einen Mail-Server zu, sondern auf ein Mail-Konto. Und das nicht mit "Hacking", sondern mit Phishing.
Oder aber beim afrikanischen Partner hat ein Insider die falsche Mail nach Sachsen geschickt…
Geht beides – wenn ich an Exchange-Schwachstellen denke …
Hafnium wurde von chinesischen Geheimdiensten ausgenutzt, nicht von afrikanischen Betrügern. Oder gelangen letztere seit neuestem an 0-days?
Ich lege für jede Überweisung eine Vorlage an.
So fällt mir auf, wenn sich das Konto ändert.
Ich hätte eigentlich gedacht, das das Ämter genauso machen.
Aldo dass man das Ziel Konto nicht frei wählen kann
..
Ist auch so. Wenn allerdings ungeprüft eine Änderung der Bankdaten übernommen wird, dann steht zwar in der Hiistorie auch die vorhergehende Bankverbindung zur Auswahl, genommen wird aber eben nach Abgleich die, die man auch auf der Rechnung findet. Und schon geht das Geld per AO an die falsche Bank und ist damit weg.
Ich sach nur:
Elektronische Überweisungen genauso stornierbar machen wie Lastschrift Einzug.
Zumindest bei der ersten Überweisung.
Da will aber keiner ran.
Liegt daran, dass eine Überweisung eine Willenserklärung des Ausführenden ist, der gleichzeitig auch Besitzer oder Befugter der Mittel ist, über die er mit einer Überweisung verfügt. Durch die Kombinationen in der IBAN sind Zahlendreher nahezu ausgeschlossen. Bei einer Einziehung per Lastschrift oder Kreditkartenbelsatung ist es jedoch so, dass solche Vorgänge tatsächlich auch ohne Einverständnis des Besitzers oder Befugten der Mittel stattfinden kann. Deshalb auch die Möglichkeit des Widerspruchs und damit der Rückholung der Mittel.
Theoretisch wäre sowas auch per Post möglich gewesen.
Nicht nur theoretisch, sondern es wurde auch praktisch genutzt – steht aber auch genau so im Text ;-).
wieso wird eine Rechnung per 'Postkarte' verschickt? Wieso nicht wenigstens zip mit Passwort?
Damit dann nicht morgen irgendein Depp auf einen zip-Anhang klickt und damit die Seuche in den Rechner holt?
Zitat:
"Die Täter hacken sich dazu in die E-Mail-Server der Firmen, die Rechnungen stellen und besorgen sich so die benötigten Informationen. "
Also sind die Schuldigen bei den o.a. Firmen zu suchen. Ich frage mich da auch nur, wie leichtfertig man bei solchen Summen das handhabt. Trotz 4 Augen Prinzip.
Bei mir in der Firma kommt es auch ab und an vor, das Rechnungen etc. doppelt eintrudeln. Auch mit dem Hinweis, das beim Erstellen was schief gegangen ist. Leichtsinnsfehler, wie verkehrte Position usw. Aber da gibt es immer noch Telefon, wo man mal anrufen kann, ob das so passt.