Phishing
Die kriminelle Rechnung, bitte!
Rechnungen zu überweisen, die man erwartet hat und die seriös aussehen, ist normal. Aber auch hier gilt der Grundsatz: Lieber einmal zu viel checken als zu wenig. Denn ein Restrisiko bleibt, etwa durch heimlich eingeführte Weiterleitungsregeln.
Eine Notarrechnung hatte das ältere Ehepaar erwartet. Ihnen wurde mitgeteilt, dass sie diese innerhalb der nächsten 14 Tage in ihrem E-Mail-Postfach vorfinden würden. So war es dann auch. Die E-Mail enthielt Details zum Vorgang, den vereinbarten Betrag sowie das Impressum der Kanzlei. Selbstverständlich überwiesen sie das Geld.
Deshalb waren sie auch irritiert, als sie bald darauf eine Zahlungserinnerung der Kanzlei erhielten. Beim Abgleich der Kontodaten stellte sich heraus, dass sie das Geld auf ein falsches Konto überwiesen hatten. Dank der Unterstützung ihrer Bank gelang es, einen Teil des Verlustes wieder auszugleichen. Aber wie konnte es zu dieser Panne kommen?
Ein bekanntes Schema – auch gegen Unternehmen
Die kriminelle Methode hinter diesem Angriff wird vom FBI als „E-Mail Rule Vulnerability“ bezeichnet. Erhalten Cyberkriminelle Zugriff auf ein Postfach, sei es im Unternehmen oder wie hier privat, dann legen sie für den Nutzer unbemerkt zusätzliche Weiterleitungsregeln an. Vielen Menschen ist gar nicht bewusst, dass man mit Hilfe dieser Regeln E-Mails mit bestimmten Inhalten automatisiert weiterleiten oder auch löschen kann. Aber selbst Nutzer, die damit vertraut sind, sehen sich diese Regeln meist nur selten an. Im besagten Beispiel wurde später im Postfach der Opfer eine Weiterleitungs-Regel an eine unbekannte E-Mail-Adresse entdeckt.
Es ist anzunehmen, dass die Kriminellen zudem Automatismen verwenden, um lohnende Inhalte auszukundschaften. Die eingegangene Mail mit der Rechnung des Notars wurde innerhalb kürzester Zeit kopiert, mit neuen Kontodaten versehen erneut an die Opferverschickt und das Original aus der Inbox gelöscht. Der Vorgang dauerte nur wenige Minuten.
Im Unternehmensbereich werden ähnliche Techniken für so genannte Business E-Mail Compromise (BEC)-Angriffe verwendet. Ist man mit den richtigen E-Mail-Konten verbunden, können so Bankdaten und Summen im Sinne der Kriminellen angepasst werden.
Gefahr durch automatische E-Mail-Weiterleitung
- Der Diebstahl von Zugangsdaten für E-Mail-Postfächer passiert meist so, dass die Betroffenen nichts davon bemerken. Multifaktor-Authentifizierung mindert das daraus entstehende Risiko. Auch für Privatnutzer empfiehlt es sich deshalb, diese einzurichten.
- Ebenfalls sollte von Zeit zu Zeit das Passwort verdachtsunabhängig gewechselt werden. Spätestens allerdings, wenn man Opfer solcher Attacken wurde.
- Haben Sie den Verdacht, dass Ihr Account bereits übernommen wurde, sollten Sie die E-Mail-Regeln kontrollieren. Finden sich dort Einträge, die Sie nicht selbst eingerichtet haben, löschen Sie diese und folgen Sie zudem den weiteren Tipps.
- Wurden Sie Opfer eines solchen Angriffes, zeigen Sie diesen bei der Polizei an.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.