Spoofing-Angriffe auf Ford-Händler ermöglichte Betrug – Teil 1

Veröffentlicht am 31. Oktober 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Ein Blog-Leser hat mich zum 16. Oktober 2025 auf eine unschöne Geschichte hingewiesen. Es gab Spoofing-Angriffe auf einen Ford-Händler, die über das T-Systems Mail-Hosting-System erfolgten. Führte zur Überweisung eines größeren Betrags an Cyberkriminelle. Hier einige Informationen, die mit der Leser zur Verfügung gestellt hat.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Rückblick: Betrug durch manipulierte Rechnungen

Zum Einstieg ein kurzer Blick auf ein Sicherheitsthema, welches Unternehmen mehr und mehr bedroht. Unternehmen bekommen Rechnungen für legitime Bestellungen, in denen aber die IBAN für das Zielkonto von Cyberkriminellen manipuliert wurde. Zahlungen der Opfer gehen an die Kriminellen. Ursache sind gehackte Mail-Konten (meist beim Absender der Rechnung).

Mitte Juli 2025 hatte ich im Beitrag Neue Betrugsmasche mit manipulierten Rechnungen über den ersten Fall berichtet. Die per E-Mail verschickte Rechnung eines Landmaschinenhändlers an eine Landwirtin wurde auf dem Versandweg manipuliert. Die Rechnungsempfängerin überwies, trotz Nachfrage von der Bank, ob man dem Empfänger vertraut, auf das fremde Konto der Betrüger.

Im Blog-Beitrag Betrug mit manipulierten Rechnungen: Ein neuer Fall / ein neuer Trend hatte ich das Thema an einem weiteren Fall gespiegelt, wo ebenfalls auf dem Versandweg eine PDF-Rechnung durch gehackte E-Mail-Konten manipuliert wurde. Unternehmen sollten zwar eine Liste der Kreditoren samt IBAN haben, für die Rechnungen beglichen werden sollen. Aber nicht jedes Unternehmen ist so aufgestellt – insbesondere kleiner Firmen und Firmen mit häufig wechselnden Rechnungsstellern fallen da durch das Raster.

Die Fälle für solche Manipulationen könnten durch die seit Oktober 2025 in der EU geltende Pflicht zum Abgleich der Empfängerdaten über Überweisungen (Verification of Payee, VoP) abnehmen (siehe Ab Oktober 2025 gelten neue Überweisungsregeln bei Banken). Die Bank prüft dann IBAN und Empfängernamen ab und zeigt entsprechende Warnungen an. Aber Firmen können diese Prüfung bei Sammelüberweisungen abwählen (siehe).

Ein neuer Betrugsfall bei Ford-Autohändlern

Ein Blog-Leser begleitete als externer IT-Ansprechpartner ein von einem aktuellen Betrugsfall betroffenes Unternehmen. Durch eine Spoofing-E-Mail mit gefälschtem Absender (vermeintlich vom Geschäftsführer) wurde der Kunde dazu verleitet, eine hohe Summe auf ein Konto in Polen zu überweisen.

In der Folge dieses Betrugs wurde ein Ermittlungsverfahren durch die polnische Polizei eingeleitet. In einer E-Mail vom 16. Oktober 2025 teilte mir der Leser dann mit, dass er bei der Ursachenanalyse auf ein potenziell größeres Sicherheitsproblem gestoßen sei. In einer ersten Analyse vermutete er, dass der Mail-Provider des betroffenen Unternehmens keine Möglichkeit bietet, SPF-, DKIM- oder DMARC-Einträge zu setzen. Dadurch können die Identität der absendenden Domain nicht wirksam geschützt werden, was Spoofing-Angriffe massiv erleichtert. Bei diesem Mail-Provider handelt es sich laut Leser um T-Systems/Itenos (abcpartner.de, fsoc.de).

Der Leser schrieb, dass T-Systems diese Hosting-Lösung offenbar für eine große Zahl von Autohäusern – insbesondere Ford-Händler – betreibt. Der Zugang zum Automotive-Netz (Volvo, Ford, Jaguar, Land Rover) beinhalte E-Mail Adressen in dem Format firmenname.fsoc.de. Ein Subdomain-Scan der Domain fsoc.de zeige alle potenziell gefährdete Kunden, merkt der Leser an.

Neue Informationen zum System

In einer Nachtragsmail schrieb mir der Leser, dass er in der Zwischenzeit versucht habe, weitere Informationen über die polnische Polizei zu erhalten. Nach erneuter Prüfung hat sich herausgestellt, dass der anfängliche Verdacht auf eine Sicherheitslücke bei Itenos bzw. ABCPartner nur teilweise zutrifft.

Ursprünglich vermutete der Leser, dass die Phishing-Mails auf fehlende Sicherheitsmaßnahmen (SPF/DKIM/DMARC) bei Itenos/ABCPartner zurückzuführen seien und es sich um einen gezielten Angriff handelt. Der Leser gibt aber an, dass ein Administrator von ABCPartner ihm vor einiger Zeit mitgeteilt habe, dass im ABC-Partner-Portal sämtliche Passwörter im Klartext in einer Datenbank gespeichert werden. Das Portal selbst wirkt auf den Leser veraltet und scheint seit längerer Zeit nicht mehr aktiv gepflegt zu werden. Änderungen müssen dort größtenteils noch über PDF-Formulare beantragt werden.

Der Leser schloss seine Nachtrags-Mail mit der Aussage: Nach aktuellem Stand handelt es sich jedoch nicht um einen gezielten Angriff im Zusammenhang mit ABCPartner. Wie bei ähnlichen Phishing-Angriffen üblich, wurde vermutlich eine Datenbank mit E-Mail-Adressen kompromittiert. Der Kunde war demnach lediglich ein Zufallsopfer. Der Leser schrieb aber in seiner ersten Mail, dass sich einige weitere Betroffene bereits bei ihm gemeldet haben. Er schließt eine größere Welle an solchen Betrugs-Mails deren Adressen durch Spoofing ermittelt wurden, nicht aus.

Der Leser schrieb: "Da ich die Kunden nicht alle individuell erreichen kann, wollte ich Sie fragen, ob Sie dieses Thema auf Ihrem Blog aufgreifen würden – als Warnung und Aufklärung für die betroffenen Unternehmen. Ich bin überzeugt, dass eine Veröffentlichung dabei helfen könnte, Schaden zu begrenzen und Aufmerksamkeit auf diese kritische Lücke zu lenken."

Artikelreihe:
Spoofing-Angriffe auf Ford-Händler ermöglichte Betrug – Teil 1
Cyberangriff auf move XM; Dienstleister für alle VW- / Audi-Händler – Teil 2
Virenversand über Mobile.de Nachrichten – Teil 3

Ähnliche Artikel:
Neue Betrugsmasche mit manipulierten Rechnungen
Betrugsfall mit falschem SEPA-Mandat über sevdesk
Betrug mit manipulierten Rechnungen: Ein neuer Fall / ein neuer Trend
Vorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?

Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Spoofing-Angriffe auf Ford-Händler ermöglichte Betrug – Teil 1

  1. MaxM sagt:
    31. Oktober 2025 um 08:36 Uhr

    Wir versuchen schon länger, einen generellen DMARC-Check bei eingehenden, externen Emails einzurichten, scheitern aber in der Praxis an folgenden Gründen:

    1. Große Provider signieren nicht per DKIM z.B. t-online.de
    2. MS365-Exchange-Online-Kunden DKIM-signieren häufig falsch: Im Default signiert MS mit der Domain <>.onmicrosoft.com. Wird das vom Kunden nicht geändert, aligned die Header-From d=firma.de nicht mit der DKIM-Signatur d=tenantname…
    3. Beim Weiterleiten werden die von der DKIM-Signatur umfassten Felder wie Subject oder Body geändert. Damit bricht die DKIM-Signatur.
    4. DMARC bricht bei Weiterleitungen ohne SRS, wenn der Original-Absender nicht dkim-signiert, aber einen DMARC-Record hat (z.B. T-online.de) und der Weiterleiter (hier: web.de) kein SRS macht.

    Ich könnte endlos weiteraufzählen.

    @Alle:
    Setzt jemand erfolgreich DMARC-Checks an seinem Mailgateway für eingehende, externe Emails ein?
    Wie sind die Erfahrungen?

    Antworten
    • MaxM sagt:
      31. Oktober 2025 um 09:05 Uhr

      Um technisch genau zu sein, muss ich noch ergänzen, dass alle obigen Fälle voraussetzen, dass das SPF-alignment (das DMARC ja mit einer ODER-Verknüpfung prüft) auch auf fail geht. Das ist aber z.B. bei Out-of-Office-Meldungen oder Non-delivery-Reports immer der Fall, da dort der Envelope-From leer ist.
      Oder Envelope-From ist ungleich Header-From. Auch dann ist SPF-align=fail.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.