Jeder kennt sie und jeder meint, er fällt nicht drauf rein – die Phishing Mail. Fischen nach Passwörtern durch manipulative E-Mails: das hört sich harmloser an, als es in der Realität ist. Denn Phishing-Mails tarnen sich meist als legitime Nachrichten von Banken oder anderen vertrauenswürdigen Absendern. Die Absender werden dabei immer kreativer und sorgfältiger: Sie vermeiden offensichtliche Tippfehler, formulieren wie ihre Vorbilder, passen das Design perfekt an – und kombinieren das mit zusätzlichem Wissen über ihre Opfer. Damit lassen sie sich kaum noch als Werk von Cyberkriminellen erkennen.
Erst vor kurzem wäre beinahe ein Kunde der IT Works AG durch eine ausgefuchste Phishing-Attacke finanziell geschädigt worden. Die Angreifer sendeten im ersten Schritt einer sehr überzeugenden Aufforderung, das Outlook-Passwort zu ändern – also eine klassische Phishing-Mail. Damit gelangten sie an die Anmeldedaten des Users und hatten nun ungehindert Einblick in das komplette Postfach, ohne dass der User hiervon etwas mitbekommen hat.
Vor gut einer Woche fand der User dann eine Rechnung über 29.000,00 Euro von einem seiner langjährigen Lieferanten im Postfach. Es ist üblich, dass von diesem Lieferanten Rechnungen mit fünfstelligen Beträgen kommen. Auch die einzelnen Rechnungsposten waren völlig plausibel, mit Bestellnummer, Ansprechpartner, Lieferanten-, Debitoren- und Steuernummer.
Der Trick mit der Bankverbindung
Auffällig war jedoch, dass auf der Rechnung eine Bankverbindung der deutschen Neobank N26 angedruckt war statt der sonst genutzten VR Bank. Aufgrund der langjährigen Geschäftsbeziehung zum Lieferanten war so viel Vertrauen da, dass der Kunde die Rechnung entsprechend zur Überweisung angewiesen hatte. In letzter Sekunde konnte der Geschäftsführer den Vorgang bei der Bank stoppen. Dieser witterte Betrug, da es aktuell keinen Auftrag für das in Rechnung gestellte Material gab – es wurde bereits geliefert und bezahlt.
Die Angreifer hatten ein älteres Rechnungs-PDF aus dem Postfach des Kunden als Vorlage verwendet und nur die Bankverbindung geändert. Logos, Ansprechpartner und Artikelnummer waren unverändert. Als (gefälschte) Absender-Adresse der E-Mail, die die Rechnung enthielt, war ein real existierender Mitarbeiter des Lieferanten angegeben. Bei näherer Analyse fielen dann doch noch zwei Schlampereien des Angreifers auf: sowohl in der kleingedruckten Absenderzeile im Adressfeld des PDFs, als auch in der Fußzeile der E-Mail, war eine andere Firma angegeben, die nichts mit dem Lieferanten oder dem Kunden zu tun hat.
Im Dunkeln
Im Nachgang lässt sich kaum nachvollziehen, was die Kriminellen noch alles im Postfach getrieben haben. Sobald so ein Vorfall bekannt wird, muss als erstes das Passwort geändert werden. Außerdem sollte man immer die Polizei hinzuziehen und den Fall zur Anzeige bringen, sowie eine eventuell vorhandene Cyberversicherung einschalten. Auch empfiehlt sich eine weitere Analyse, ob die Kriminellen Zugang zu anderen Systemen hatten. Der Kunde in diesem konkreten Fall hatte Glück: Er konnte die Überweisung in letzter Minute stoppen, und die Analyse zeigte keine weiteren böswilligen Aktionen. Die Ermittlungen der Polizei laufen noch.
Damit es erst gar nicht so weit kommt, empfiehlt die IT Works AG eine regelmäßige Teilnahme an Awareness-Trainings. Das IT-Works-Vertriebsteam berät Sie gerne individuell zu diesem Thema.