Mir ist eine merkwürdige Information zu einer neuen Betrugsmasche zugegangen. Ein Verkäufer und ein Käufer vereinbaren einen Handel. Der Verkäufer schickt eine Rechnung, die der Käufer auch bezahlt. Das Geld landet aber auf einem fremden Konto, weil die Rechnung auf dem Versandweg manipuliert wurde.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Ich stelle mal eine Fundstelle in Form eines Blog-Beitrags zur Diskussion, auf die ich mir keinen wirklichen Reim machen kann. Ein Blog-Leser, der als IT-Dienstleister arbeitet, hat mich auf den Sachverhalt aufmerksam gemacht, weil er auch mit einem ähnlichen Vorfall befasst ist.
Der Sachverhalt
Eine Landwirtin kauft bei einem Landmaschinen-Händler im Bodenseekreis einen Traktor im Wert von 25.000 Euro, wie Die Schwäische berichtet.
So weit so normal, passiert täglich millionenfach. In diesem Fall sollte man noch erwähnen, dass beide Vertragsbeteiligten Kunden bei der Volksbank Bodensee-Oberschwaben sind.
Das Problem an dieser Geschichte: Der Verkäufer schickt der Käuferin – in diesem Fall eine Landwirtin – eine Rechnung mit der Bitte um Begleichung, damit diese den Traktor übernehmen kann. Die Käuferin überweist auch die Rechnungsbetrag auf das im Dokument angegebene Bankkonto.
Die Käuferin scheint nicht häufig beim Landmaschinenhandel zu kaufen, oder kennt sich mit IBANs nicht so aus. Jedenfalls rief die Volksbank Bodensee-Oberschwaben bei der Landwirtin an und fragte, ob sie dem auf der Überweisung angegebenen Empfänger vertraue.
Hier hätten bereits alle Alarmglocken läuten müssen – aber die Käuferin beschied der Bank, dass sie den Verkäufer kenne – heißt es im Zeitungsbericht. Leider geht aus dem Bericht nicht hervor, was die Bank misstrauisch machte und ob die Kundin da genauer auf den Sachverhalt hingewiesen wurde.
Vermutlich ahnt jeder Leser und jede Leserin, was jetzt kommt: Der überwiesene Betrag traf nie auf den Konten des Landmaschinenhändlers ein, sondern landete auf einem falschen Konto.
Betrugsmasche mit "unklarer Lage"
Der Fall trug sich vor Ostern zu, und nach den Feiertagen meldete sich der Verkäufer und monierte, dass der Rechnungsbetrag bisher nicht auf dem Konto eingegangen war. Beim Vergleich der Rechnungsdaten fiel auf, dass der Betrag von der Käuferin auf ein "falsches Konto mit einer anderen IBAN als die des Verkäufers" überwiesen worden war.
Dem Zeitungsbericht entnehme ich, dass die E-Mail mit der Rechnung des Verkäufers auf dem Weg zur Käuferin abgefangen und manipuliert wurde. In journalistischer Prosa wurde zwar sehr viel Lokal-Colorit in den Artikel eingepflegt, aber präzise Angaben gingen verloren.
So ist mir unklar, ob die IBAN des Zielkontos in der E-Mail oder in einer anhängenden PDF- Rechnung stand – oder ob die E-Mail bereits als Rechnung galt. Jedenfalls heißt es, die Kriminellen hätten die Mail mutmaßlich abgefangen und die Kontonummer verändert.
Die Geschädigte erstattete Anzeige bei der Polizei und meldete den Betrug bei ihrer Volksbank sowie der Zielbank für die Überweisung. Es handle sich um eine niederländische Bank, die einen Sitz in Deutschland hat und daher Konten mit deutscher IBAN anbietet.
Nach Bekanntwerden des Betrugs verschickte der Landmaschinenhändler eine weitere Rechnungsmail an Käuferin. Diese ging auch rund eine Viertelstunde später bei der Landwirtin ein, allerdings wieder mit einer geänderten IBAN, diesmal von einer anderen Bank.
Kein Einzelfall; Mail-Konto gehackt?
Die Industrie- und Handelskammer (IHK) Bodensee-Oberschwaben vermutet, dass eines der E-Mail-Konten der Beteiligten gehackt wurde und die Cyberkriminellen so die IBAN in der Rechnung manipulieren konnten.
Melanie Riether, Referentin für Industrie, Technologie und Innovation der IHK merkt an, dass Betrugsfälle oder Cyberangriffe stets nach einem komplexen und oft hochindividuellen Muster erfolgen. Angreifer würden teilweise erheblichen Aufwand in mehrstufige Angriffe investieren.
Diese Art Angriffe treffen Unternehmen aller Branchen und Größenordnungen. Inzwischen geraten vermehrt kleine und mittlere Unternehmen in den Fokus der Cyberkriminellen.
Im Zeitungsbericht steht, dass ein Kunde eines Apparatebauers in Oberteuringen Opfer der gleichen Betrugsmasche geworden ist. Auch dort war die IBAN einer Rechnung auf dem Weg zum Kunden manipuliert worden. Der Schaden betrug dort 50.000 Euro.
Die Polizei teilt auf dem Medium auf Anfrage mit, dass die Ermittlungen zu dem Fall laufen. Der Blog-Leser, der mir den Hinweis gab und als IT-Dienstleister arbeitet, merkt an, dass er kürzlich so einen Fall hatte. Dort wurde die PDF-Datei während des Versands der Original-E-Mail manipuliert. Er seit gerade dabei, den Vorgang mit der Polizei, dem Provider, der Konzern-IT und den beteiligten Banken zu recherchieren. Details liegen mir noch nicht vor.
In diesem Kontext fällt mir ein Leserhinweis ein, der mich vor einigen Tagen erreichte. Der Leser wies auf einen manipulierter TOC in einer ZIP-Datei hin, der verschiedene Einträge anzeigt – je nach verwendeter Software. Das Ganze ist im Artikel Yet another ZIP trick aus dem Jahr 2021 beschrieben. Dort weist der Verfasser drauf hin, dass dies die Möglichkeit eröffne, in IT und Buchhaltung ggf. zwei verschiedene Varianten einer Rechnung anzuzeigen. Ist also auch ein Fundsplitter, den die IT mit auf dem Radar haben muss.
Hier lobe ich mir noch die Papierrechnung, die per Post kommt (obwohl auch diese gefälscht sein könnte). Der Fall zeigt, dass man in dieser Hinsicht nicht genügend aufmerksam sein kann. Bleibt die Frage, was bei der flächendeckenden Einführung der eRechnung für ein Missbrauchspotential mitkommt?
MVP: 2013 – 2016
Interessant wäre zu wissen ob die E-Mail tatsächlich vom Absender kommt oder von einem anderen Mailserver. Das könnte je nach konstellation über die Header einer E-Mail ausfindig gemacht werden.
Ich frage mich, ob eine DMARC/SPF Policy hier allenfalls eine solche falsche Rechnung abgefangen hätte.
Aber klar, falls das Konto des Absender gehackt wurde, ist es sehr wahrscheinlich, dass auch von diesem Account aus die E-Mail versendet wurde.
Wäre in einem solchen Fall die Firma des Absenders haftbar?
Und – Da stellt sich mir die Frage wie dann die ausgehende E-Mail technisch abgefangen wird.
Falls der eingehende Account gehackt wurde, könnten eingehende E-Mails mittels einer Regel abgefangen werden und somit am Benutzer vorbeigeschleust/gelöscht/weitergeleitet werden.
Dann stellt sich aber genau die oben erwähnte frage, woher die neue Rechnung stammt und ob Anti-SPAM Filter diese abgefangen hätten.
Dennoch natürlich vorstellbar, dass in so einem Fall eine andere/ähnliche Domain vom Absender genutzt wird, welche über „korrekte" SPF/DMARC Einträge verfügt und allenfalls auch nicht über negative Reputation verfügt, da diese Domain vielleicht noch nie verwendet wurde.
Wie man sich wohl gegen solche Maschen technisch schützen könnte? Unser E-Banking oder Buchhaltungsoftware gibt keine Meldung bei einer neuen IBAN aus… schade.
viel einfacher:
– IMAP Zugangsdaten verschaffen
– das IMAP Postfach rund um die Uhr im Auge behalten (Dank IMAP Idle kein großer Datenverkehr)
– wenn eine Rechnung kommt, diese sofort aus dem Posteingang rauslöschen
– abändern und die geänderte Mail in den Posteingang hochladen
hinterlässt keine Spuren, ist im Header nicht erkennbar, benötigt keine Filterregel oder sonst was, womit das auffallen könnte, und außer digitaler Signatur zB per S/MIME gibt es nix, was dagegen hilft (SPF, DKIM, DMARC, … alles keine Chance, das zu erkennen), lediglich der Provider hat halt eine weitere IMAP Connection, die auffallen könnte (wenn die über einer kompromittierte Zwischenstation mit deutscher IP läuft, wird der nicht stutzig)
Technisch möglich wäre es schon sowas zu verhindern. Man verschickt die Rechnungen altmodisch per Briefpost.
*** Kopfschüttel ***
Jein.
Auch Briefpost lässt sich abfangen und manipulieren.
Und Briefpost ist keine dauerhafte Lösung.
– Ab 1.1.2025 müssen alle Unternehmen eRechnungen empfangen und verarbeiten können.
– Bis 31.12.2026 kann man Rechnungen noch per Papier oder z.B. PDF versenden, aber nur, wenn der Empfänger dem zustimmt.
– Für Unternehmen mit einem Jahresumsatz von max. 800.000 € verlängert sich das bis 31.12.2027.
Ab 1.1.2028 ist die eRechnung für alle Unternehmen Pflicht.
Ab 1.1.2028 dürfen Unternehmen Papierrechnungen oder Rechnungen per PDF nicht mehr akzeptieren.
Ausnahme davon sind nur Kleinrechnungen bis 250,- € und Rechnungen für steuerfreie Leistungen.
Eine Rechnung per PDF ist übrigens keine eRechnung!
Eine eRechnung ist eine XRechnung (XML-Format) oder eine Rechnung im ZUGFeRD-Format (PDF mit eingebetteter XML). Bei einer Rechnung im ZUGFeRD-Format ist die eingebettete XML rechtlich bindend, nicht der PDF-Teil!
Das gilt derzeit nur in Deutschland, aber es wird EU-weit kommen.
Schon heute sind die Formvorschriften zwischen Deutschland (XRechnung, ZUGFeRD) und Frankreich (facturX) harmonisiert, d.h. sind exakt gleich.
Und andere Länder sind inzwischen auch schon dabei, ihre eRechnungsformate dem anzupassen.
Und wenn alles verpflichtend eingeführt wurde, kommen Trojaner, die im Hintergrund hin und wieder die Kontodaten im XML der eRechnungen ändern…
Ja richtig Briefpost läßt sich abfangen… erfodert aber ein "vor Ort" sein was ein Hacker meistens nicht ist.
Und per Post gibt es keinen Betrug? Ich erinnere nur an die "Handelsregister-Masche": Bei Neugründungen oder Veränderungen im HR werden per Post Gebührenbescheide an die jeweilige Firma geschickt, und das so schnell, dass diese vor dem echten Gebührenbescheid ankommen. Die Schreiben sind teilweise echt gut gemacht. Nur an der IBAN kann das auffallen – aber bei einem kleinen oder mittelständischen Unternehmen sind die Chancen gut, dass das durchgeht.
Oder die Mail digital signieren 🦊
@ich: Digitale Signatur reicht gemäß diesem Urteil nicht:
https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708
Es wird eine digitale Verschlüsselung gefordert: "Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten" Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl."
Eine Transportverschlüsselung findet im Allgemeinen statt, Sie ist aber nur zwischen zwei eMail Servern wirksam und ist keine Authentifizierung, welche hier gefragt ist. Eine Signatur ist das, zumindest wenn es eine qualifizierte Signatur ist. Ich kann nicht verstehen, warum Unternehmen nicht generell für jeden Mitarbeiter eine entsprechende Signatur bereitstellen.
@mw: Klar könnte jede ausgehende Email mit dem öffentlichen Schlüssel des Absenders signiert werden. Das ist technisch nicht besonders aufwändig.
Beachte aber, dass im Urteil von Verschlüsselung (nicht Signatur) gesprochen wird. Zu einer Verschlüsselung benötigt man aber den öffentlichen Schlüssel des Empfängers! Und diesen öffentlichen Schlüssel stellen wahrscheinlich unter 1 Promille der Empfänger bereit.
leider wird nirgends erwähnt, dass eine Signatur auf der Rechnung (PDF?) oder auch schon auf der Email hätte erkennen lassen, dass da etwas manipuliert wurde.
War denn die Rechnung im Postausgang / Gesendete auch schon manipuliert?
Fragen über Fragen, die nirgends beantwortet werden.
Neulich wurde von einem Gerichtsurteil berichtet, das die Schuld an der falschen Überweisung dem Kunden eines Handwerkers aufgebürdet hat. Auch da gab es keine weiteren Details wie das stattgefunden haben könnte.
Eine Signatur gibt es nicht!
Und die ist auch nicht vorgeschrieben.
> Eine Signatur gibt es nicht! Und die ist auch nicht vorgeschrieben. <
Jein! Beachte § 14 UStG, Abs. 3, Nr. 1 und 2 (1):
"Die Echtheit der Herkunft der Rechnung, die Unversehrtheit ihres Inhalts und ihre Lesbarkeit müssen gewährleistet werden. … Unbeschadet anderer zulässiger Verfahren gelten bei einer elektronischen Rechnung die Echtheit der Herkunft und die Unversehrtheit des Inhalts als gewährleistet durch … eine qualifizierte elektronische Signatur oder …"
(1) https://www.gesetze-im-internet.de/ustg_1980/__14.html
> Neulich wurde von einem Gerichtsurteil berichtet, das die Schuld an der falschen Überweisung dem Kunden eines Handwerkers aufgebürdet hat. <
Am Rande: Falls Sie (1) meinen: Dieses Urteil wurde durch Urteil (2) geändert, die Klage wurde abgewiesen. Heisst: "Die Klägerin [der Handwerker] hat keinen Anspruch auf (erneute) Zahlung des vereinbarten Werklohns …" (2).
_
(1) Urteil des Landgerichts Kiel vom 29.12.2023, Az. 9 O 110/23:
https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001601282
(2) Urteil Schleswig-Holsteinisches Oberlandesgericht vom 18.12.2024, Az. 12 U 9/24):
https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708
@Alle: Ich habe mir das Urteil aus (2) durchgelesen. Die dortige Forderung nach einer Ende-zu-Ende-Verschlüsselung durch den Absender ist schon massiv:
Das bedeutet doch technisch, dass ich mich als Absender darum kümmern muss, dass mein Empfänger mir seinen öffentlichen Schlüssel (egal ob SMIME oder PGP) zur Verfügung stellen muss. Nur so kann ich eine Ende-zu-Ende-Verschlüsselung durchführen.
Wenn nun der Empfänger keinen solchen Schlüssel hat, muss ich ihn auch noch beraten oder technische Anleitung geben, wie er einen solchen einzurichten und mir zu übermitteln hat?
Das wäre IMHO ein Aufwand, der z.B. in unserem Unternehmen tausende Rechnungsempfänger betreffen würde.
Wie seht Ihr das?
Tja, ist eben einfach falsch gedacht systemische Bürokratie von Fachfremden nur um der bürokratischen Methodik Willen "verfügt".
@User007: "Fachfremde" Richter sagen natürlich leicht: "Mach dies, mach das", ohne die Konsequenzen beurteilen zu können.
Darum interessiert mich ja von anderen Fach-Kollegen zu hören, wie sie das Urteil auffassen.
Ich bin zwar nicht "fachfremd", aber eben auch weder Richter noch finaler (Unternehmens-)Entscheider.
Ich kann nur dazu sagen, man wird's einfach auf gut Glück drauf ankommen lassen (müssen) und hoffen, dass nicht ein "auffliegender" Fall durch evtl. Regresskonsequenzen die Existenz ruiniert, weil's praktisch einfach so nicht leistbar ist.
@Peter Vorstatt: Ich finde beim nochmaligen Lesen, dass das Urteil des OLG der "Hammer" ist. Dieses Urteil wird – wenn es denn bestehen bleibt – große Änderungen beim Rechnungsversand per Email bringen. Hier nochmal die entscheidenden Passagen:
> Zwar ist eine Transportverschlüsselung einer unverschlüsselten Kommunikation vorzuziehen, doch gerade bei sensiblen oder persönlichen Inhalten empfiehlt es sich, auf den Einsatz einer Ende-zu-Ende-Verschlüsselung Wert zu legen. Bisher gestaltete sich der Einsatz dieser Kryptografietechnik noch als mühsam. Anwenderinnen und Anwender müssen bei der Ende-zu-Ende-Verschlüsselung oft selbst aktiv werden und zusätzliche Plugins in den meisten E-Mail-Clients aktivieren, um die Technologie nutzen zu können. Eine weitere Hürde ist der Austausch der öffentlichen Schlüssel.
> Der Senat verkennt dabei nicht, dass die hier für einen Email-Versand mit angehängter Rechnung verlangte End-to-End-Verschlüsselung für ein Unternehmen wie die Klägerin einen gewissen technischen Aufwand erfordert, der sich möglicherweise nicht darauf beschränkt, in dem benutzten Standard-Email-Programm lediglich eine Aktivierung vorzunehmen. Vielmehr dürfte hier vielfach eine technische Beratung und der Einsatz von gesonderten Programmen erforderlich sein. <
Das ist aber schon alt dieses Thema. Erste Berichte über diese Betrugsmasche gab es schon bestimmt vor 2-3 Jahren. Bei großen Summen (was für jemanden groß ist, soll bitte jeder anhand seiner eigenen finanziellen Situation selbst festlegen) – ist es daher schon länger sinnvoll die Bankdaten auf einem zweiten Weg (Telefon) zu prüfen.
Speziell wenn man den Rechnungssteller kennt und die Bankverbindung eine andere ist, als die man sonst verwendet.
Leider ist wohl wirklich nicht viel bekannt über diesen Fall. Wenn beide Unternehmen bei der selben Bank ihr Konto haben, dann hätte auch die Bank sicher mehr tun können.
Einen ähnlicher Fall wurde vor einigen Wochen bei xy ungelöst vorgestellt. Da ist es aber rechtzeitig aufgefallen und es war ein Deutsches Unternehmen mit einem japanischen Handelspartner. Dem Japaner wurde das Konto gehakt und auf diesem Weg die Dokumente manipuliert. Tatsächlich spielte hier ein drittes Mailkonto mit fast identischer aber eben nicht gänzlich identischer Mailadresse eine Rolle.
Also immer schön aufpassen – ich weiß schon warum ich Versuche Rechnungen auf Mailversand umzustellen immer ablehne. Aber ja auch Briefpost wird mittlerweile immer öfter manipuliert. Weil die Menschen Online Vorsichtiger geworden sind.
In meiner Firma wird für die Zahlung die IBAN genommen, die in der Buchhaltungssoftware hinterlegt wurde und nicht die, die auf der Rechnung steht.
Ändert ein Zahlungsempfänger seine Bankverbindung, so muß er das uns separat mitteilen. Erst dann wird die IBAN in der Buchhaltungssoftware geändert.
Manipulierte IBANs können sich daher nicht bei Bestandslieferanten auswirken.
Und bei neuen Lieferanten wird das abgeglichen.
Sehr oft geben nämlich die Firmen ihre Bankverbindung auch z.B. im Impressum ihrer Homepage bekannt.
Gibts Abweichungen zwischen Angabe auf der Rechnung und Angabe auf der Homepage, wird telefonisch nachgefragt.
Erst dann wird die IBAN in der Buchhaltungssoftware hinterlegt.
In dem verlinkten "Yet another ZIP trick"-Artikel ist ein Test-ZIP enthalten (offset_or_size.zip).
"WinRAR 7.12" und "Double Commander 1.1.26" zeigen nur eine der beiden Dateien an und zwar unterschiedliche.
"WinRAR 7.12" zeigt diese Datei: "size_of_central_directory.txt"
"Double Commander 1.1.26" zeigt diese Datei: "offset_of_start.txt"
"PeaZip 9.7.1" zeigt beim Öffnen des ZIP gar keine Dateien an. Es gibt eine "Fatal Error"-Fehlermeldung beim auspacken.
Diese Programme zeigen beide Dateien im Zip an:
"Total Commander"
"Multi Commander 15.5 Build 3102"
"7-Zip 25.00"
Der Windows-Explorer (7 oder 10) zeigt ebenfalls nur die „size_of_central_directory.txt"
macos builtin unzip bringt fehlermeldung und zeigt gar nichts an
Ich gehe davon aus das da nix "Neues" am Werk ist, sondern einer der beiden Konten gehackt ist und eine Malware da automatisiert IBAN austauscht. Wäre keine Neue Masche… ändert sich ja aber nun, da ja die Banken seit neuestem Verpflichtet sind (ab Oktober 2025) ein IBAN – Kontoinhaber Abgleich durchzuführen.
Allerdings verstehe ich nicht wie man da, wenn die Bank sich schon meldet, ohne weitere Kontrolle einfach JA sagt! Sorry, aber das bestätigt nur das Vorurteil der "dummen Kartoffel" ;-P
Im Geschäft handel ich das so: da kennt man die Daten der Geschäftspartner … Änderungen (und größere Summen) werden immer telefonsich bestätigt/abgefragt… und es werden keine Rechnungen direkt bezahlt für die es keine interne Bestellungen/Abruf gibt!
Die Banken sind ab Oktober verpflichtet, diese Funktion "IBAN – Kontoinhaber Abgleich" anzubieten, aber diese Funktion ist nicht unbedingt sofort automatisch aktiviert, sondern man muss diese entweder anhaken oder auf einen Button klicken, damit dieser Abgleich durchgeführt wird.
Das stimmt so nicht. Jede Bank ist zum Abgleich verpflichtet, darf höchstens 10 Sekunden dauern. Schlägt der Abgleich fehl, erscheint ein entsprechender Hinweis, fährt der Kunde fort, liegt die Haftung bei ihm.
Nein die Banken sind verpflichtet den Abgleich durchzuführen, da sie sonst auch extra haften, werden die das schon aus Eigeninteresse tun…
Die ausgehenden Rechnungen eines verkaufenden Unternehmens werden immer ziemlich gleich aussehen. Da lässt sich die Manipulation wahrscheinlich recht gut automatisieren. Eingehende Rechnungen bei einem Kunden, der bei verschiedenen Firmen kauft, sehen sicher immer ziemlich unterschiedlich aus. Wäre interessant zu wissen, ob das bei diesem Verkäufer ein Einzelfall war, oder ob es mehrere gab.
Egal wie es technisch manipuliert werden würde.
Wenn Deine Bank Dich anruft und fragt ob ein sehr hoher Betrag wirklich auf ein bestimmtes Konto überwiesen werden soll , da muss ich doch handeln und prüfen ob alles passt. Wenn man das einfach blindlings macht, dann leider selbst schuld und sehr bitteres teures Lehrgeld bezahlt.
Dann ist das heutzutage ein Scammer.
Mehr dazu: https://de.wikipedia.org/wiki/Scam
bei online Banken ohne Service sicher…
Banken mit ordentlichem Service dagegen bekommst du schon mal Kontakt mit der Bank, nur sind da die "Serviec" Nummern bekannt und meistens hast du auch einen dir zugewiesenen persönlichen Berater und nicht irgendwen…
Wie genau denkst du dir das? Die Bank kann doch nur die manipulierte IBAN durchgeben, die die Käuferin mit Ihrer manipulierten Rechnung abgleicht.
Wie genau soll man dabei den Betrug entdecken?
Danke für diese Infos. Da denkt man, dass man relativ sicher alles hinterfragt, aber das mit den "manipulierten" Zip-Files wusste ich noch nicht.
Was die E-Rechnung angeht:
Da nimmt man dann idealerweise das ZUGFeRD-Format.
Da ist dann die IBAN 2 mal drin, einmal im PDF-Teil und einmal im XML-Teil.
Und die beiden müssen übereinstimmen.
Die Akteure müssten also an 2 Stellen die IBAN manipulieren.
Was das "Abfangen" einer Email angeht:
Das kann doch nur funktionieren, wenn man z.B. das Absendepostfach selbst gehackt hat oder einen Proxy vor den Mailserver des Senders oder Empfängers gesetzt hat.
Was den Fall angeht:
Schon die Dauer, den die Mail brauchte, hätte mich mistrausisch gemacht.
Eine Email braucht keine 15 Minuten!
Und wenn beide Handelspartner ihre Konten bei der gleichen Bank haben, dann ist ein Teil der IBAN identisch, nämlich der Teil, der die Bankleitzahl repräsentiert.
In Deutschland setzt sich die IBAN wie folgt zusammen:
Länderkennzeichen DE, 2-stellige Prüfziffer, 8-stellige Bankleitzahl, 10-stellige Kontonummer (kürzere Kontonummern erhalten führende Nullen).
Es war ja wohl auf der Rechnung eine völlig andere Bank genannt. Der Empfänger muss nicht wissen wo der Absender seine Bank hat. Was will man da in der IBAN Vergleichen? Die Bank selbst hätte höchstens mal denken können, huch wieso ist unser Kunde jetzt plötzlich bei einer anderen Bank? Aber der Sachbearbeiter dieser Sache wird nicht wissen das Absender rein zufällig sein Konto auch bei der "gleichen" Bank hat. Das wüsste vielleicht der zuständige Bankberater, der aber vmtl. nichts mit der Prüfung von Überweisungen zu tun hat.
Und selbstverständlich können e-Mails spielend länger als 15 Minuten unterwegs sein. Das ist sogar zunehmend der Fall wenn Absender und Empfänger tausend Dienstleister zwischenschalten die Mails auf schädlichen Inhalt prüfen oder irgendwer noch Greylisting nutzt – dann sind 15 Minuten sogar die Mindestlaufzeit.
Und was soll das ZUGFeRD nutzen? Wenn man den Inhalt an einer Stelle manipulieren kann, geht das auch an zwei Stellen. Beim ZUGFeRD Format womöglich sogar noch eleganter als ohne.
Nein, der Fehler ist an unterschiedlichen Stellen passiert:
– Bei hohen Beträgen prüft man die IBAN durch Anruf auf Richtigkeit
– Empfänger oder Absender haben sich ihren PC oder Mailaccount haken lassen
– IT suggeriert eine Sicherheit, die es nicht gibt und wovon normale Anwender vollkommen überrascht werden. Wenn – wie es schon passiert ist – ein gefälschter GEZ Brief im Briefkasten liegt – wer kontrolliert ob bei einem GEZ Schreiben die Bankverbindung korrekt ist? Ein normaler Mensch tut nicht damit rechnen, ein gefälschtes GEZ Schreiben vor sich liegen zu haben. Ob es seine Pflicht ist damit zu rechnen wäre eine andere Frage. Dann sind wir aber schnell bei der Frage ob alle Bürger noch als mündige Bürger gelten können, also Vorsicht.
>>>> Das kann doch nur funktionieren, wenn man z.B. das Absendepostfach selbst gehackt hat oder einen Proxy vor den Mailserver des Senders oder Empfängers gesetzt hat.
Genau das ist doch der Hintergrund – genau DAS ist der Fall. Wieso wird das hier im Kommentar wieder in Zweifel? Genau das ist die Masche um die es hier geht.
Beim Zugferd interessiert der sichtbare Teil überhaupt nicht, relevant ist nur der xml teil.
Warum sollte man noch den XML Teil gegen den PDF Teil prüfen? und das evtl. noch manuell?
ABER:
Ein ordentlich eingerichteter Rechnungsprüfungsprozess sollte gegen die Stammdaten prüfen.
Und da sollte eine abweichende IBAN auffallen.
Wahrscheinlich auf Hack des E-Mail-Kontos zurückzuführen: https://www.scamwatch.gov.au/protect-yourself/real-life-stories/scam-victims-tell-us-their-stories/business-email-compromise-our-business-lost-190-000-when-our-suppliers-email-was-hacked
Wenn entweder beim Absender oder Empfänger bösartiges VBA im Outlook-Client läuft, können Mails beliebig manipuliert werden.
IBAN's können per RegEx gut erkannt werden und VBA kann, im Gegensatz zu manuellen Versuchen, den Text einer Mail ohne Spuren ändern.
Wenn VBA in einer Email aktiv werden kann, dann ist Outlook schlicht falsch konfiguriert.
Dieser Fall zeigt doch wieder einmal exemplarisch, wie einfach es auch im Jahr 2025 ist, Windows Rechner zu hacken, an die e-Mail Daten zu gelangen und dann in aller Ruhe so einen Betrug durchzuführen. Viel zu viele Leute vertrauen immer noch in die "allwissenden allmächtigen" Antiviren "Schutz?" Programme.
Und so werden eben auch heutzutage noch Mails mit eigentlich verdächtigem Anhang geöffnet und dann hat man den Salat.
Und gerade bei Kleinselbständigen wie Landwirten und vielen Anderen ist der Arbeitsstress enorm hoch und da ist dann eben keine Zeit für gute EDV Sicherheits-Schulung oder andere Maßnahmen. Ganz abgesehen davon können sich Kleinselbständige auch keine guten EDV Fachleute leisten.
Und die Polizei ist bei der Aufklärung dann ebenfalls überfordert. Den Beteiligten zu raten, erst mal alle Mailpasswörter zu ändern und den eigenen PC mit einem bootbaren Antivirenstick (u.a. Kaspersky) auf Befall zu prüfen scheint hier wohl niemandem eingefallen zu sein.
Obwohl auch das seine Tücken hat: denn wenn der Hacker das eigentlich problematische Pishing Programm bereits entfernt und durch eine allseits akzeptierte unscheinbare Überwachungssoftware ersetzt hat wird da auch ein Kaspersky nix mehr finden. Alles schon passiert!
Als Schlusspunkt dazu muss man dann leider sagen: das gute alte Faxgerät zur sicheren Übermittlung von Rechnungen hat wohl doch noch nicht ausgedient.
Prost Mahlzeit!
Ergänzung: der einfachste Hack, um Mails zum Beispiel des Absenders dauerhaft umzuleiten ist ein Eintrag in der hosts Datei von Windows oder irgendwo in der Registry. Dann werden alle Mails des Absenders an einen anderen Mailserver der Hacker umgeleitet, dort bearbeitet und mit falschem Etikett und falscher Rechnung weiterverschickt. Ein Standard Virenscanner merkt von so einer Manipulation gar nichts! Oder man kennt das Mailprogramm des Absenders (Mailheader!) und ändert dort in den Einstellungen des Programms direkt die Daten. Geht ganz unauffällig. Und der Absender der Mails merkt es erst, wenn der Schaden bereits entstanden ist.
Ob die Experten, die die Rechner untersucht haben, solche alten Methoden noch auf dem Schirm hatten weiß ich natürlich nicht. ;-)
Die hosts-Datei kann man aber nur ändern, wenn man Admin-Rechte hat.
Und deshalb wird immer wieder empfohlen, NICHT mit Adminrechten auf dem Rechner zu arbeiten.
Auf den allermeisten Privatrechnern und in Kleinunternehmen ist aber genau das der Fall, was Schädlingen Tür und Tor öffnet.
Oft wird sogar der Rechner so konfiguriert, das keine Passworteingabe beim Start des Rechners nötig ist. Noch ein weiteres erhebliches Sicherheitsloch.
Das ist doch längst obsolet… Malware braucht heute keine Adminrechte mehr oder ist in der Lage die sich zu einfach zu nehmen.
Kommst du ertsmal aufs System sind Adminrechte nur noch ne Fleissaufgabe…
Zweite Ergänzung:
Der ganze Fall scheint wohl schon etwas älter zu sein.
(Die Schwäbische: Veröffentlicht:24.04.2024, 12:00)
Und die geschädigte Landwirtin hat wohl einen Teil des Geldes schon zurück erhalten:
https://www.schwaebische.de/regional/bodensee/friedrichshafen/ueberraschende-wendung-im-traktor-betrugsfall-2763020
Ist aber an der falsche Ecke gegraben, da die Masche – ausweislich der Mitteilung des Blog-Lesers – kürzlich in ähnlicher Weise bei einem anderen Opfer durchgeführt worde.
Danke für den Hinweis!
Jap, ganz miese Masche. Sowas landet bei in der Firma auch immer mal wieder. Sei es von einer Deutschen Unfallversicherung, Rechnung mit IBAN in Spanien, oder Rechnung von itenga, mit einer Rechnung im .svg Format im Anhang. Wo sich dann beim Öffnen im Browser, eine Animation zum Download vom Adobe Reader abläuft und am Ende ein Button mit "Öffnen Sie Ihre Datei" erscheint.
Gegen solcher Art Crap kann man imho schlecht was ausrichten. Selbst wenn da DKIM, DMARC etc. pp. aktiv ist. Zumal auch die Herkunftsdomain/Mail, nicht als verdächtig erscheint. Kannst dann im Endeffekt nur genau drauf schauen und manuell aussortieren.
Bei mir in der Firma werden Emails mit Rechnungen drin, die nicht an die Emailadresse der Buchhaltung gehen, kommentarlos und ungelesen gelöscht.
Und es ist strengstens verboten, Links in Emails anzuklicken.
etc.
Alle Mitarbeiter wurden im Umgang mit Emails und der Erkennung von Schademails geschult.
Und ein Großteil der Schademails wird schon vom Mailproxy ausgefiltert.
So sollte es auch im Normalfall sein. Zum Glück sind wir nur zu dritt und allesamt IT fit, was das anbelangt. Zumal wir in der Branche tätig sind.
Aber ich denke da an viele andere Firmen, welche nur rudimentäre Kenntnisse in der Sache haben und froh sind, wenn "der blöde PC aus ist" und man sich nicht damit befassen muss.
Und die Buchhaltung ist fit genug, gefälschte Rechnungen zu erkennen, bevor sie automatisiert gescannt und in einen Buchungsbeleg umgewandelt werden? Ich sehe es nicht unbedingt als meine Aufgabe im folgenden Workflow den Buchungsbeleg vor der Freigabe auf die korrekte Kontonummer zu prüfen. Und der nachfolgende Kostenstellenverantwortliche wird das auch nicht tun. Wo soll da ein Sicherheitsgewinn sein?
Seit Anfang des Jahres sind im Geschäftsverkehr E-Rechnungen (eine XML, wahlweise mit einer PDF ergänzt und signiert) vorgeschrieben. Zum Prüfungsprozeß gehört auch die Überprüfung der Signatur auf Gültigkeit.
Ich kann mir nur vorstellen, daß die Landwirtin als Privatperson gekauft hat (unüblich aufgrund der hohen Summe und steuerlicher Nachteile, aber denkbar). Dann wäre sie von der Pflicht zur E-Rechnung ausgenommen.
"Im Westen nix Neues": siehe beispielsweise https://dejure.org/dienste/vernetzung/rechtsprechung?Text=19%20U%2083/22 und https://dejure.org/dienste/vernetzung/rechtsprechung?Text=12%20U%209/24
Sie sind aber knapp heute. Der Langtext des von Ihnen mittelbar zitierten Urteils (1) hat es in sich, Zitat:
"Nach Ansicht des Senats ist danach eine reine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten" Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.
Ein Schlag ins Kontor jeden eMail-Administrators!
_
(1) https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708
selbst ne End to End Verschlüsselung nützt nix wenn das Gerät kompromitiert ist… dann werden die Daten eben nach dem Entschlüsseln abgegriffen… denn entschlüselt müssen sie ja mal werden.
Beweist nur wie wichtig es ist seine System sauber zu halten… und dazu reicht halt klicki Bunti wischen nicht mehr aus.
Sorry, aber nicht "nicht mehr", sondern noch NIE – das ist ja der leider überall durch Propagierung im unstillbaren Drang nach endloser Bequemlichkeit gern angenommene Irrtum! 🤷♂️
> ne End to End Verschlüsselung nützt nix <
In Fachkreisen hat sich Ihre Vermutung noch nicht herumgesprochen, oder wie erklären Sie sich die Existenz von (1)?
Umgekehrt wird ein Schuh daraus: Der Verzicht auf eine Ende-zu-Ende-Verschlüsselung erhöht Haftungsrisiken!
_
(1) https://attack.mitre.org/techniques/T1557/
Du hast "wenn das Gerät kompromitiert ist" beim Lesen übersehen.
Nein. Vielmehr ist in der Informationssicherheit 'nützt nix wenn …" blanker Defätismus und die hässliche Schwester von 'hätte, hätte, Fahrradkette'. In Luzifers Beitrag schwingt mit, 'egal was Du machst, bringt eh nichts'. Das ist keine der Herausforderung angemessene Haltung und widerspricht anerkannten Defense in Depth (1) Ansätzen.
_
(1) https://www.datto.com/blog/defense-in-depth/:
"Defense in Depth is a multilayered approach to security that ensures that if one layer fails, others will still be in place to thwart an attack."
Ich weiß nicht, wo das Problem nun ist, die IBAN lässt mittels IBAN Checker überprüfen und feststellen, es gibt schon seit Jahren so ulkige Zeitgenossen, die behaupten, sie hätten ihren Jahresbeitrag schon längst Überwiesen, obwohl dieser nie bei uns eingegangen ist, weil sie sich das Geld sparen wollen oder sie keins haben.
Das verzögert dann den Rechtsanspruch immer weiter in die Länge, was die Sache am Ende so kompliziert macht, irgendwie an das Geld zu kommen.
Wir hatten sogar Fälle, wo am Ende plötzlich noch eine fristgerechte Kündigung nachgereicht wurde, wodurch es noch komplizierter wurde.
Die Banken und Versicherungen werden schon einen weg finden, wie sie uns das Geld wieder abnehmen werden.
Die Masche wurde, gar nicht solange her, bei einem Aktenzeichen XY Spezial im Fernseh gezeigt:
https://www.zdfheute.de/panorama/kriminalitaet/aktenzeichen-xy-betrug-hacker-cyberangriff-unternehmen-100.html
Gruß
Trotz aller technischen Schutzmaßnahmen benötigt man am Ende immer noch Menschen mit ausreichender „CPU" zwischen den Ohren.
Personen, die in der Verantwortung stehen, solche Vorgänge abzuwickeln, sollten ein gewisses Bewusstsein für die heutigen Betrugsmaschen besitzen.
Dieses spreche ich inzwischen einigen Menschen ab, auch in gehobenen Positionen.
Ich habe selbst erlebt, dass die Bank anruft und fragt, ob eine Überweisung mit einem hohen sechsstelligen Betrag wirklich ausgeführt werden soll (das Gespräch wurde zum Beweis und mit Einwilligung aufgezeichnet), und die Ausführung der Überweisung wurde bestätigt.
Oder auch, dass eine gebrochene S/MIME-Signatur und eine andere Bankverbindung auf der angehängten Rechnung nicht dazu führten, sich klarzumachen, dass hier etwas faul sein könnte, ganz abgesehen davon, dass im Unternehmen entsprechende Richtlinien zur Bezahlung vorhanden sind, welche hier ebenfalls hätten berücksichtigt werden müssen und die Überweisung verhindert hätten.
Solange dieses Bewusstsein fehlt und keine Verantwortung übernommen wird, wirst du mit technischen Möglichkeiten nicht gewinnen können.
> Hier lobe ich mir noch die Papierrechnung, die per Post kommt <
S. a. (1) mit sinngemässer Wiedergabe aus der OLG-Urteilsbegründung:
"Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, wertet das OLG als Risiko, das dem Versand von Rechnungen per E-Mail immanent ist, und fordert deshalb eine entsprechende Voraussicht und ein proaktives Handeln der Unternehmen. Den dafür erforderlichen technischen und finanziellen Aufwand müsse auch ein mittelständischer Handwerksbetrieb auf sich nehmen – oder die Rechnungen eben wie früher per Post verschicken."
Ich vermute, dass nach Logik des Schleswiger Urteils die Landwirtin aus dem Süden Anspruch auf Aushändigkung des Traktors hätte.
_
(1) https://rsw.beck.de/aktuell/daily/meldung/detail/olg-schleswig-12u924-rechnung-mail-manipulation-haftung
Das war mal wieder ein Paradebeispiel für Leichtsinn und Unwissenheit,und Gleichgültigkeit+Faulheit.STIMMT DIE KORREKTE IBAN ?????(Rückfrage Kunde)
Wenn die Bank schon nachfragt ob diese Überweisung klar geht,MUSS Misstrauen
entstehen.Bei Geld hört bekanntlich die Freundschaft auf.
Bei mir läuft ALLES über 2FA.
Unlängst war mein Kartenleser defekt.Ich war bei der Bank,habe das Problem dargestellt,der Service kam mit der freundlichen Ansprache doch auf PUSH-TAN umzustellen.Da klingeln bei mir eh die Alarmglocken! Nein:Chip TAN bleibt !!!,gleich 2 neue Geräte für je 26,00€ angeschafft!(Redundanz!)
Da hat mein ein leichtes Gerät zur TAN-Generierung in der Hand.Ausserdem läuft sämtliches Online-Banking bei mir am grossen HAUPTRECHNER.(schon zwecks Tastatur!)Ferner 4 IBAN-Kontrollrechner,zum Testen ob o.k,Ergebniss mit Adresse der betreffenden Bank+nochmalige Kontrolle der Aktion vor Freigabe!!!
Wenn ich die Leute an der Supermarkt-Kasse beobachte,wirds mir manchmal komisch.
Die halten lustig Ihr Handy per NFC ans Terminal,oder push-tan-en ratz/fatz.Noch nicht mal eine Security-App auf dem Handy.Alles wird angeklickt,inkl.email-Anhänge.
Wenn ich die Wege der Datenpakete analysiere,ergeben sich etliche "verwinkelte" Wege,gerade bei emails+Plausibilität.
Nun ja welcher Normal-User versteht einen email-Header.
Gerade jetzt wenn die e-Rechnung kommen soll via email!!!
Das wird ein wunderbares Szenario bei den Banken.Hoffentlich führen diese die
Identität des IBAN-Kontoinhabers als Prüfung ein.UND NOCHMALIGER PRÜFUNG
DURCH DEN KUNDEN !!!
Dann ist eh niemanden zu helfen.Herr Born hat hier den Fall aus Dresden geschildert
mit den 50000€.Gut das soll ein älterer Herr gewesen sein.
Überhaupt meide ich Online-Banking am Handy,nur im ÄUSSERSTEN Notfall,eben
wegen der "verschlungenen"Datenwege.
Die Leute müssten halt an diesem ganzen Trash-Kram geschult werden.
Speziell die manchmal hilflosen Senioren.
Und irgenwann wird diese "schöne digitale Welt"aufgrund solcher Fakten kollabieren!,
Die Banken selbst sollten vielleicht Seminare für ihre Kunden anbieten ???
Wäre doch ein neues Geschäftsmodell,anstatt sich mit Rekonstruktion von Problemfällen zu befassen???
Ist mit meiner Rechnung schon vor einigen Jahren passiert, der Empfänger rief aber an ob das richtig ist das meine Bank nun bei Stuttgart ist, denn wir sind in der Bremer Gegend.
Sein web.de Konto war gehackt, und in meinem Rechnungskopf nur die Bankverbindung geändert, mit dem Hinweis auf die neue Bankverbindung in der Mail von mir, an der meine Rechnung angehängt war.
Also nochmal gut gegangen, ist aber schon mehrere Jahre her…
Mit S/MIME, das es schon seit 20 Jahren gibt, wäre E-Mail zu 99 Prozent sicher.
Damit hätte "Digitalisierung" begonnen – beginnen müssen.
Leider hat man den EU-Bürgern nicht gegönnt, mit dem Neuen Personalausweis auch ein kostenloses S/MIME-Zertifikat beantragen zu können. Ein Schelm, wer böses vermutet.
Hallelujah! *Tiefe Verbeugung* Das habe ich in meinem früheren Job (IT'ler in der Justiz) jahrelang jedem, egal ob er es hören wollte oder nicht, erzählt, ggf. mehrfach und in voller Lautstärke.
Hätte man jedem Bürger mit dem Personalausweis anstelle einiger halbherziger elektronischer Funktionen ein Zertifikat für eine qualifizierte elektronische Signatur nach eIDAS zur Verfügung gestellt, so hätte das die Digitalisierung in Deutschland extrem beschleunigt.
Der Koalitionsvertrag der aktuellen Regierung sieht das verpflichtend vor:
> Der Koalitionsvertrag<
Welcher Koalitionsvertrag?. Im Ernst: Vergleiche (1) Zeile 956 ff. mit (2) und Du weisst was von dem Papier zu halten ist.
_
(1) https://www.cdu.de/app/uploads/2025/04/KoaV-2025-Gesamt-final-0424.pdf (nicht autoritativ):
"Wir wollen … Verbraucher in Deutschland dauerhaft um mindestens fünf Cent kWh mit einem Maßnahmenpaket entlasten. "
(2) https://www.welt.de/politik/deutschland/article256307770/Streit-um-Stromsteuer-Wuest-warnt-vor-Bruch-des-Koalitionsvertrags.html:
"Union und SPD hatten eine Stromsteuersenkung für alle versprochen. Doch im Haushaltsentwurf 2026 fehlt davon jede Spur."
Welcher Koalitionsvertrag? Dieser Koalitionsvertrag:
https://www.bundesregierung.de/breg-de/aktuelles/koalitionsvertrag-2025-2340970 verlinkt auf https://www.koalitionsvertrag2025.de/ verlinkt auf https://www.koalitionsvertrag2025.de/sites/www.koalitionsvertrag2025.de/files/koav_2025.pdf und dort siehe Seite 56, Zeilen 1804-1807.
""Union und SPD hatten eine Stromsteuersenkung für alle versprochen."
Genau – war aber doch auch schon von der letzten "Regierung" – zwar in abgewandelter Form – "versprochen" worden. Vom "Klimageld" ist ja auch keine Rede mehr.
Bin grad' gestern von meinem Stromanbieter über eine zu September erfolgende Kostenanpassung zu meinen Lasten informiert worden – also nach einem Jahr wieder mal wechseln, weil das bürgerliche Konsumschaf ja auch sonst nix anderes mit seinem Leben anzufangen weiß. 🤪
Jein. je nachdem, um was für ein Zertifikat es sich handelt. Die einfache elektronische Signatur bestätigte eben nur, ob Du Zugriff auf die angebene Mailadresse hast. Das trifft bei einem gehackten Account natürlich zu. Es ist mindestens eine fortgeschrittene elektrinische Signatur erforderlich, besser natürlich eine qualifizierte. Beides ist aber mit Aufwand und Kosten verbunden. Die Laufzeit der Signaturen wurde kürzlich auf 2 Jahre verkürzt. Und weil auch dort der Rückruf nicht funktioniert, ist das durchaus auch nur halbgar.
Absolut nichts neues. Ein ehemaliger Kunde ist bereits vor drei Jahren auf solch einen Betrug hereingefallen. Eine Außenstelle, die sich in einem anderen Land befand und sich anderweitig unter IT-Betreuung befand, erhielt eine "modifizierte" Rechnung eines Auftraggebers. Die Angreifer hatte sich im E-Mail-System des Auftraggebers eingeklinkt, jede ausgehende E-Mail an ein anderes Ziel umgeleitet, dort modifiziert und an den ehemaligen Kunden weitergeleitet. Lange Rede kurzer Sinn, um die 40.000 $ wurden ausgeleitet, trotz dessen, dass die Rechnung noch zur Prüfung und Freigabe nach Deutschland weitergeleitet wurde.
Bei uns wird jede ausgehende E-Mail sowie Anlage (Angebote, Auftragsbestätigungen, Rechnungen usw.) signiert.
Moin,
das ist an sich nicht neu.
Als IT-Dienstleister hatte ich mit solch einer Masche schon vor rund vier Jahren zu tun.
Damals war bei einem Kunden der M365-Account heimliche CH übernommen worden, so das man jederzeit mitlesen und E-Mails ausleiten könnte.
Dann hat man eine frappierend ähnliche Domain (also z.B. Domain.de > D0main.de) erstellt und darüber die veränderte Rechnung an den internen Zahlungsbeauftragten gesendet.
Dieser hat dann auch fleissig, nach etwas hin & her, die geforderten 180.000 Euro zu einer deutschen Bank überwiesen.
Sagen wir es so, die Bank von der es kam – aus den USA – hatte keinen Bock das zu stoppen.
Die Deutsche Bank schaltete direkt das LKA mit ein.
und ich selbst hatte, zeitweilig ohne es zu wissen, mit dem "Hacker" E-Mails ausgetauscht.
war auch Mal ne andere Erfahrung, als ich das raus fand.^^
Schlussendlich weiß ich nur, dass das Geld gerettet werden konnte.
Mit freundlichen Grüßen
aus Hessen
Phishing -> Mail-"Hack" -> Mail-Betrug -> Geldüberweisung an Betrüger.
Ich kann dazu berichten, dass auch bei uns seit ein paar Wochen verstärkt gefälschte Rechnungen eintreffen und auch bei unseren Kunden (welche bei uns nachfragen und uns die Mails zukommen lassen)
Dabei ließ sich aber bisher keine einzige manipulierte Mail feststellen. Vielmehr war es billiger Massenspam von gehackten (gephishten) Exchange Online Mailboxen. Ich glaube einfach da konnte jemand eine Massenmail nicht von einer echten unterscheiden und der Zeitpunkt war rein zufällig mit einem Kauf übereinstimmend.
Ich erwarte mit großer Spannung die E-Rechnung: Das Zugferd-Format hat keinen Mechanismus, um sicherzustellen, dass die enthaltene X-Rechnung und der PDF-Anteil inhaltlich identisch sind. Man sieht die PDF-Rechnung mit 50 Euro und die X-Rechnung bucht 50.000 um. X-Rechnung raus, XML manipulieren, X-Rechnung wieder rein. Das ist noch einfacher als PDF zu manipulieren.
Deswegen drängt die EU so sehr auf das Peppol-Netzwerk, dass die Manipulation durch geschützte Übertragungswege sichern soll – aber zumindest in Deutschland wird der Versand (per ungeschützter Mail) noch eine Weile erlaubt sein und praktiziert werden.
In dem Zusammenhang interessierte mich, wie die IBAN in der Rechnung kodiert war – als Text oder (Hintergrund-)Grafik…. wie bei vielen Dienstleistern. Das ist nicht perfekt als Schutz aber doch noch mal eine Hürde gegenüber der einfachen Manipulation von Text.
Die E-Rechnung ist längst da.
90% unserer eingehenden Rechnungen sind inzwischen E-Rechnungen.
Zugferdrechnungen können bei falscher Auswertung irreführend sein.
Wenn man es richtig macht verwendet man allerdings eine Software welche den XMl Teil der Rechnung auswertet und der Genehmiger genehmigt diesen XML Teil. Der Rest ist nur optisches Beiwerk, das man bei Bedarf zusätzlich betrachten kann.
Wer eine Zugferd Rechnung nach dem PDF Teil also optisch auswertet macht einen prinzipiellen Fehler. Trotzdem lässt sich das ganze mit X-Rechnung besser vermeiden, weswegen dieses Format inzwischen allgemein bevorzugt wird.
Das haben viele Buchhaltungsabteilungen von Ihrer IT inzwischen gelernt und sehen das auch oft genauso.
Zugferd war nur deswegen vorübergehend ein Thema, weil die Angst vor XML so groß war. Denn das ist ja "nur" maschinenlesbar.
@a a: Danke für die Hintergrundinformation.
Ist eine solche Zugferd-Datei "irgendwie" signiert oder kann man den Inhalt (PDF- und/oder XML-Teil) problemlos manipulieren?
Kennen ich genauso. Ist allerdings schon >1,5 Jahr her. Branche war hier übrigens der Holzhandel. Hier war es defintiv so, dass sich die Angreifer Zugriff auf das Endgerät des Kunden verschafft haben. Dann wurde dort ein Keylogger installiert, der schön mitgeschnitten hat, wenn der Nutzer sich bei outlook.com in seine @outlook.com Mailadresse eingeloggt hat. Natürlich wurde dort alles über den Browser gemacht und Virenschutz war gleich null. Auf jeden Fall hat der Angreifer abgewartet, bis es sich "gelohnt" hat. Sprich immer mitgelesen, das mein Kunde (Händler) und sein Kunde (Käufer) miteinander geschrieben haben und eine Rechnung angekündigt wurde. Als diese dann kam, wurde die Mail kurzerhand "weitergeleitet" und die angehängte PDF beim Angreifer verändert. Die "neue" Rechnung wurde dann nur in der IBAN/Bankverbindung geändert. War eigentlich auch zu sehen, wenn man sich das Dokument angeschaut hat. Die Schriftart war "etwas" anders. Auf jeden Fall hat der Käufer dann den Betrag 100.000,00€+ angewiesen. Und da dies auch vom Verkäufer ein Termingeschäft war, natürlich per Echtzeitüberweisung. Leider hat der Käufer erst ca. einen Tag nach Überweisung beim Verkäufer nachgefragt, ob das Geld angekommen sei. Natürlich nicht. Das Ende vom Lied war, dass das Geld weg war und der Käufer (weil er die Ware selbst schon veräu0ßert hatte und auch schon Geld dafür erhalten hatte) ein zweites Mal dafür bezahlt hat. War auch das erste Mal, dass ich Kontakt mit dem LKA hatte und ich war sehr, sehr froh, dass ich über die Logs von Microsoft 365 nachweisen konnte, dass die Mail bei meinem Kunden korrekt versandt wurde und es auch keinen Fremdzugriff auf deren Systeme gab. Der Beamte hatte aber schon das Endgerät des Käufers untersucht und eine "Vielzahl an unerwünschten Besuchern", so seine Anmerkung, auf dem Gerät des Kunden gefunden.