Hallo Leute, wir erleben hier gerade unschöne Dinge mit einer Betrugsmasche, bei der ich den "Anfang" nicht finde. Einer unserer Kunden ist um 28k€ geprellt worden (wir haben zwar keinen Schaden, aber wir sind beteiligt an dem Vorfall). Folgendes ist passiert: Wir haben per Email mit einem Kunden in Japan über den Kauf eines Produktes diskutiert. Ab ca. dem 29.09.23 hat ein Hacker es geschafft sich in die Email Kommunikation einzuschleichen. Dazu hat er Mail-Adressen benutzt, die ganz leicht von der korrekten Mailadresse abweichen. Unser Kunde hat also Mails von "mausiklausi@PetrePanKram.com" erhalten und dort hin geantwortet. Die korrekte email lautet aber "mausiklausi@PeterPanKram.com". Wir haben anschließend auch an die falsche email geschrieben: "KundeBullerbue@m-uni-c-k.com" statt der korrekten Email "KundeBullerbue@m.uni.c.k.com". Alle Emails mit technischen Fragen Antworten Details wurden vom Hacker korrekt weitergeleitet und jeweils logisch (dann vom echten Kunden) beantwortet. Nur als es um die Übersendung der Bankinformationen ging, hat er eine polnische IBAN angegeben auf einer ansonsten perfekt gefälschten Rechnung, ausgestellt angeblich von uns. Interessanterweise wissen wir vom Kunden (diese Mails haben wir nie gesehen), dass der Hacker um zügige Zahlung gebeten hat, weil die IBANs speziell "für jede Rechnung neu generiert werden", und nur 7 Tage Gültigkeit haben. Der Käufer in Japan hat bezahlt und einen erheblichen Schaden (ich denke, die Kohle sieht er nicht wieder, byebye Forschungsgelder...), wir haben noch nichts versendet und keinen finanziellen Schaden. Die gefakte Domain die für die Emailadressen genutzt wurde ist auf jemanden in Südafrika ausgestellt. Der Domainhändler (publicdomainregistry.com) wurde informiert. Anzeige bei der Polizei wurde per Fax aufgegeben (kleiner Schwerz, die haben wider Erwarten doch schon E-mail!). Die gefälschten IBANs (drei stehen in der gefälschten Rechnung) gehören zu einer polnischen Bank in Gdansk. Wir wissen nicht wie der Hacker es geschafft hat sich in diese Kommunikation einzuschleusen. Alle unsere Email Accounts und Google Accounts haben wir jetzt mit neuen Passwörtern versehen. Dennoch wissen wir nicht an welcher Stelle und wann der Hacker es geschafft hat die Emailadressen zu modifizieren. Hat jemand von euch schon von dieser Betrugsmasche gehört? Wahrscheinlich kommen die doch immer auf die gleiche Art in die Kommunikationskette. Aber wie? Email Account gehackt? Trojaner auf dem PC? Nachtrag: Sorry, was ich nicht erwähnt habe: Kürzlich ist etwas ähnliches bei einem Kunden in Israel passiert: Dort wurde aber eine falsche Emailadresse bemerkt (weil die vor der Bezahlung bei uns angerufen haben).
:
Bearbeitet durch User
Ich fürchte, dass hier gar nicht technisch gehackt wurde, sondern sich jemand mit Insider-Wissen in die Kommunikation eingeklinkt hat. Es könnte einer eurer Mitarbeiter sein, oder Personal beim Kunden.
Steve van de Grens schrieb: > Ich fürchte, dass hier gar nicht technisch gehackt wurde, sondern sich > jemand mit Insider-Wissen in die Kommunikation eingeklinkt hat. Es > könnte einer eurer Mitarbeiter sein, oder Personal beim Kunden. Danke für deinen Input! Wir sind nur 4 Leute... Das ist bei uns ziemlich sicher ausgeschlossen... Sorry, was ich nicht erwähnt habe: Kürzlich ist etwas ähnliches bei einem Kunden in Israel passiert: Dort wurde aber eine falsche Emailadresse bemerkt (weil die vor der Bezahlung bei uns angerufen haben).
weiterer möglicher Weg: Euer Firmen-Rechner wurde gehackt und von da hat er sich die Informationen über Eure internen Email-Adressen geholt. Oder habt Ihr gar einen eigenen Mailserver, dann wurde evtl der gehackt. Lasst da mal einen IT-Forensiker ran. Die ganze Chose kann auch beim Kunden passiert sein.
:
Bearbeitet durch User
Stephan S. schrieb: > Oder habt Ihr gar einen eigenen Mailserver, dann wurde evtl der gehackt. Unser Mailserver ist bei hostpoint.ch Virenscanner lassen wir momentan überall durchlaufen, obwohl ich von dem Microsoft Defender bisher keinen schlechten Eindruck hatte...
William .. schrieb: > Hat jemand von euch schon von dieser Betrugsmasche gehört? > Wahrscheinlich kommen die doch immer auf die gleiche Art in die > Kommunikationskette. Aber wie? Email Account gehackt? Trojaner auf dem > PC? Das kommt (oder kam) häufiger vor. Bei einem mir bekannten Fall (vor ~5 Jahren) der nach dem selben Schema abgelaufen ist hat sich dann nachher bei einer genaueren Prüfung rausgestellt das die Täter mittels eines präparierten Office-Dokumentes das per Mail (Quasi Bewerbungsschreiben wenn ich das noch richtig im Kopf habe) zugesendet wurde sich eine Hintertür im Buchhaltungs-PC (in diesem Fall der zahlenden Seite) verschafft haben. Das hat natürlich nur funktioniert weil sowohl die Office Versionen (2003) wie auch die gesamte IT Infrastruktur hoffnungslos veraltet waren. Einer der zwei PC-Softwareentwickler (die nebenbei IT machen mussten) hatte zwar schon mehrfach vor so etwas gewarnt und eine Modernisierung angeregt, aber das hätte ja Ausgaben bedeutet. Eine minimale Schmälerung der tatsächlich reichlichen Gewinne... Ablauf war ähnlich wie hier beschrieben, Schadenssumme war aber sechsstellig.
vergleicht Eure Passwörter mal mit der Rockyou-Liste, die es mit Kali-Linux gibt, da sind gut 14 Millionen PW drin. Kali Live runterladen und starten, im Verzeichnis /usr/share/wordlists/ ist die Datei rockyou.txt.gz (und viele weitere), diese kopieren und entpacken.
Stephan S. schrieb: > Die ganze Chose kann auch beim Kunden passiert sein. Bei zwei unterschiedlichen Kunden in Israel und Japan? Kaum denkbar.
Nun würde ich blitzschnell die Logfiles woanders gut sichern und den Serverbetreiber informieren. Evtl. hat sich dort einer eingeschlichen?
William .. schrieb: > Virenscanner lassen wir momentan überall durchlaufen, obwohl ich von dem > Microsoft Defender bisher keinen schlechten Eindruck hatte... Kann nicht schaden. Wenn der Angreifer aber gut ist, dann hat er seine Spuren entweder schon verwischt oder die Virenscanner werden maskiert, sodass die nichts finden. Besorgt Euch mal von der c't die desinfec't-Software, die fährt ein Linux hoch und scannt dann nach Windows-Schädlingen. Weil Windows nicht läuft, sondern Linux, können die Scanner nicht maskiert werden. Hilft aber nicht, wenn der seine Spuren schon beseitigt hat.
William .. schrieb: > Hat jemand von euch schon von dieser Betrugsmasche gehört? > Wahrscheinlich kommen die doch immer auf die gleiche Art in die > Kommunikationskette. Die Masche an sich ("invoice interception") gibt es in diversen Varianten - bei den Summen, um die es da meistens geht, muss es nicht massentauglich sein. Da sehr viel Phishing-Scam der Sorte "Dein Mailpostfach ist voll, klick hier drauf und gib Deine Zugangsdaten ein" kursiert, denke ich, dass das der erste Ansatzpunkt ist, aber auch Malware-Befall ist denkbar. William .. schrieb: > Kürzlich ist etwas > ähnliches bei einem Kunden in Israel passiert: Dort wurde aber eine > falsche > Emailadresse bemerkt (weil die vor der Bezahlung bei uns angerufen > haben). Also hat derjenige wohl schon länger und weiterhin Zugriff. Am besten sofort mit dem Mail-Hoster sprechen, damit er seine Logfiles auf Auffälligkeiten prüfen kann.
William .. schrieb: > dass der Hacker um zügige Zahlung gebeten hat, weil die IBANs speziell > "für jede Rechnung neu generiert werden", und nur 7 Tage Gültigkeit > haben. Für sowas muß man schon extrem dämlich sein.
Abdul K. schrieb: > William .. schrieb: >> dass der Hacker um zügige Zahlung gebeten hat, weil die IBANs speziell >> "für jede Rechnung neu generiert werden", und nur 7 Tage Gültigkeit >> haben. > > Für sowas muß man schon extrem dämlich sein. Full ACK
Ich lese hier das die komplette Kommunikation (inkl. Rechnung und Bankverbindungen) völlig ohne Verschlüsselung und völlig ohne Validierung stattgefunden hat. Insofern ist es doch noch verhältnismäßig glimpflich ausgegangen!
Stephan S. schrieb: >> Für sowas muß man schon extrem dämlich sein. > Full ACK So schlau bist auch Du erst später. Jetzt heißt es Serverbetreiber informieren und Spuren sichern! Bank informieren! Polizei hat er schon. Außerdem sind die Mails mit Kunden aus fremden Ländern nicht immer einfach. Wenn ich der freundliche Japaner gewesen wäre, der mit einer 2-Mann-Firma korrespondiert, wäre ich jetzt sehr traurig. Wahrscheinlich würde ich den Kunden jetzt über einen anderen Weg und anderen PC informieren, was los ist.
Lu O. schrieb: > Wahrscheinlich > würde ich den Kunden jetzt über einen anderen Weg und anderen PC > informieren, was los ist. Ich glaube auch, dass das schwierig zu erkennen ist... Wir haben ja auch die Mailadressen nicht erkannt, weil niemals ein Verdacht bestand, dass irgendetwas falsch läuft. Dann übersieht man soetwas einfach. Der Kunde ist natürlich informiert und seinerseits auf dem Weg zur Polizei. Hilft aber auch in Japan wahrscheinlich wenig. Mir tun die Leute sehr leid, für den Verantwortlichen dort wahrscheinlich katastrophal.
Ihr müsst auf alle Fälle Eure IT von einem Profi testen lassen: ist Euer Router durchlässig und die Firmware up-to-date, ist Eure zusätzliche Firewall von draussen her durchlässig und up-to-date, habt Ihr Zugriff für Eure Mitarbeiter von draussen - ggf per VPN, habt Ihr ggf eine IT mit Active Directory (das ist DAS Einfallstor, um Windows-Netzwerke zu übernehmen), oder ein Citrix-VPN (auch immer wieder auffällig), etc. Das kostet natürlich Geld, aber wenn Ihr das nicht macht, lauft Ihr Gefahr erneut Besuch zu bekommen oder Ihr hab ihn immer noch drin.
William .. schrieb: > Der Käufer in Japan hat bezahlt und einen erheblichen Schaden (ich > denke, die Kohle sieht er nicht wieder, byebye Forschungsgelder...), wir > haben noch nichts versendet und keinen finanziellen Schaden. Und ihr glaubt noch keinen Schaden selber zu haben? Die Ware ist wohl was in der Vorratskammer oder von der Stange u. der Kunde bezahlt die noch mal? Von der geschäftl. Seite aus wird der Kunde mit euch wohl keine weiteren Geschäfte mehr machen. Wirklich materielle Schäden sehen meist erst später als solche so aus. Im EMail-Header steht doch die IP-Adresse vom Absender mit drin, dabei hätte das schon auffallen müssen, auf beiden Seiten. Und Bank-Daten unverschlüsselt oder die Re auch noch, wo jeder im Netz an einem Knoten den IP-Verkehr abhören kann.
:
Bearbeitet durch User
Unwichtig schrieb: > Und ihr glaubt noch keinen Schaden selber zu haben? Die Ware ist wohl > was in der Vorratskammer oder von der Stange u. der Kunde bezahlt die > noch mal? Ihr seid eine 4-Mann-Firma, die Dinge nach Japan verkauft, d.h. diese Dinge gibt es in Japan nicht (oder zu wesentlich höheren Preisen bzw. anderen Parametern). Das gleiche mit Eurem Kunden in Israel. Das spricht doch sehr dafür, dass der Fehler bei Euch liegt. Wenn das die Japaner rauskriegen ... Woher wisst Ihr, dass da nicht Know-How abgeflossen ist, das im Darknet verhökert wird? Oder eure Unterlagen manipuliert werden?
William .. schrieb: > Dennoch wissen wir nicht an welcher Stelle und wann der Hacker es > geschafft hat die Emailadressen zu modifizieren. Ab einem gewissen Zeitpunkt sind entweder eure Mails an die Fakeadresse gegangen oder ihr habt Mails von der Fakeadresse bekommen. Der Zeitpunkt und was zuerst kam sollte sich doch nachvollziehen lassen.
Unwichtig schrieb: > Im EMail-Header steht doch die IP-Adresse vom Absender mit drin, dabei > hätte das schon auffallen müssen, auf beiden Seiten. Woher weiß man, mal so eben, wem welche IP grade so zugeteilt wurde? Wer schaut sich den Header ohne Grund an? > Und Bank-Daten unverschlüsselt oder die Re auch noch, wo jeder im Netz > an einem Knoten den IP-Verkehr abhören kann. Die IBAN und die Rechnung kann man auf einen Bierdeckel schreiben oder auch trommeln. Es obliegt dem Schuldner die Mäuse dem richtigen Gläubiger zukommen zu lassen. Ja, ist dumm gelaufen. Uwe
Uwe B. schrieb: > Woher weiß man, mal so eben, wem welche IP grade so zugeteilt wurde? Da ändert sich nichts. Der Mailflow von Unternehmen ist üblicherweise mit statischen Adressen eingerichtet.
:
Bearbeitet durch User
Uwe B. schrieb: > Die IBAN und die Rechnung kann man auf einen Bierdeckel schreiben oder > auch trommeln. Es obliegt dem Schuldner die Mäuse dem richtigen > Gläubiger zukommen zu lassen. Zumindest moralisch würde ich dem TE eine hohe Teilschuld zurechnen. Als festgestellt wurde, dass dem israelischem Käufer eine lediglich verfälschte Rechnung statt dem Original mittels einer minimal verfälschen Mailaddy zuging, hätten beim TE sämtliche Alarglocken läuten und die Möglichkeit einer Kompromitierung seiner EDV als hochwahrscheinlich in den Sinn gekommen sein müssen. Und spätestens ab da hätte er Massnahmen ergreifen müssen, die seinen Japankunden geschützt hätten, ggf. also auf diese Gefahr hinweisen müssen. Augenscheinlich hat er das unterlassen. Warum auch immer.
in unserer Firma hat sich eine Führungskraft mit Admin Rechten angeblich den Brave Browser installiert. 50Mio!
Es gibt Sicherheitsfirmen, die daraus ein legales Geschäft machen. Sie werden von Unternehmen gebucht und senden immer wieder mehr oder weniger gut klingende Fakemails zum draufklicken an die Mitarbeiter. Absender ist dann sowas wie @mikrocontro11er.net, extra als Domain registriert. Da kommt dann aber kein Schädling, sondern bloß sowas wie der Clown aus der Kiste und ein schöner Bericht zum schämen. Es hält die Mitarbeiter auf Dauer wach.
:
Bearbeitet durch User
Christian M. schrieb: > Führungskraft mit Admin Rechten Wozu benötigt eine Führungskraft Admin-Recht? Also mal angenommen, es ist kein Kleinunternehmen, was bei 50 Mio unwahrscheinlich ist.
:
Bearbeitet durch User
William .. schrieb: > Aber wie? Es reicht dafuer auch ein gehackter Router. In dem Falle haben die geaenderten Passwoerter nichts gebracht. Bei 4 Personen duerfte da nicht viel IT im Hause vorhanden sein.
William .. schrieb: > unser Mailserver ist bei hostpoint.ch Werden dabei die eingehenden Mailinhalte kontrolliert? Sowas wie Blockierung von aktiven Inhalten, einschließlich Office-Files mit Makros. Das bringt mehr als ein Virenscanner auf dem Anwender-PC.
Dieter D. schrieb: > Bei 4 Personen duerfte da nicht viel IT im Hause vorhanden sein. Doch schon. Nur das Teuerste und das Beste. Aber eben kein Sachverstand. :) Das der TE denkt, er sei aus dem sprichwoertlichem Schneider, koennte sich schnell als Trugschluss erweisen. Wenn es naemlich "seine" IT war, die schadhaft/gehackt/kompromittiert war. Und der Verlust massgeblich auf diesen Umstand beruht.
William .. schrieb: > Hallo Leute, wir erleben hier gerade unschöne Dinge mit einer > Betrugsmasche, bei der ich den "Anfang" nicht finde. Nunja, im Wesentlichen gibt es dort drei Angriffsoberflächen: - Euch - Euren Kunden - einen Man-in-the-Middle (einen Mailserverbetreiber zum Beispiel) Zunächst würde ich die komplette Kommunikationskette untersuchen, also: bis wann wurden die korrekten E-Mail-Domains genutzt, ab wann die kaputten? Wer hat zuerst von einer dieser Maildomains geschickt -- bei dem ist womöglich entweder eine Malware oder ein böser Mailprovider am Werk. Zweitens würde ich alle Beweise sammeln; Staatsanwaltschaften und Polizeien haben zwar mittlerweile gemerkt, daß es dieses "Internet" gibt, aber leider sind noch nicht alle so richtig fit damit. Also solltet Ihr und der "Kunde" erstens selbst die E-Mails, Logdateien und alles Weitere sichern (ideal ist vermutlich, einfach Festplatten-Images der an der Kommunikation beteiligten Rechner anzufertigen, so schnell wie möglich) und zudem Eure Mailanbieter um Unterstützung, vor allem um die Sicherung ihrer Logs zu bitten. Dieses Gdansk liegt in Polen. Polen ist ein Mitgliedsstaat der Europäischen Union und ist insofern in die Rechtsrahmen eingebunden, die die EU vorgibt. Nach meiner persönlichen Erfahrung sind polnische (und auch estnische und litauische) Behörden bei Amtshilfeersuchen aus Deutschland ausgesprochen rührig und sehr um Unterstützung bemüht. Wenn Staatsanwaltschaft und / oder Polizei überfordert sind oder aus anderen Gründen keine Lust haben, Euch zu helfen, empfehle ich die Einschaltung eines versierten Fachanwalts wie Jens Ferner [1] oder Udo Vetter [2]. Also, wenn Ihr Euren Kunden dabei unterstützen wollt, vielleicht wenigstens einen Teil seines Geldes zurück zu bekommen oder zumindest die Täter zu belangen. Nebenbei bemerkt, ist das Signieren oder, noch besser, das Verschlüsseln von E-Mails kein Teufelswerk (auch wenn DE-Mail gescheitert ist). Mit PGP (Pretty Good Privacy), GPG (GNU Privacy Guard) oder eventuell S/MIME können E-Mails vom Absender kryptografisch signiert oder -- wenn beide Kommunikationspartner ihre öffentlichen Schlüssel ausgetauscht haben -- sogar stark verschlüsselt werden. Durch eine Verschlüsselung kann kein Man-in-the-Middle mehr die Mails mitlesen, durch eine Signatur immerhin nicht mehr manipulieren. Viel Glück und Erfolg! [1] https://www.ferner-alsdorf.de/ [2] https://vetter-mertens.de/
William .. schrieb: > Sorry, was ich nicht erwähnt habe: Kürzlich ist etwas ähnliches bei > einem Kunden in Israel passiert: Dort wurde aber eine falsche > Emailadresse bemerkt (weil die vor der Bezahlung bei uns angerufen > haben). Das ist Euch jetzt schon zum zweiten Mal passiert? Dann ist es doch ziemlich wahrscheinlich, daß das Problem auf Eurer Seite liegt: ein kompromittierter Computer (Server?) in Eurem Netzwerk, Euer Mailprovider oder, das ist sicher der häufigste Fall: ein Angriff von innen, also durch einen Mitarbeiter oder jemand anderen, der unerkannt in Eurem Netz herumfuhrwerken kann. Davor sind übrigens auch kleine Teams nicht gefeit... Andererseits "spezialisieren" sich organisierte Angreifer mit ökonomischen Interessen gerne auf bestimmte Branchen, in denen sie sich dann auskennen und dadurch bessere "social hacks" anwenden können. Trotzdem, mein Fokus wäre zunächst auf der eigenen Infrastruktur. Und wenn es nur wäre, um Forderungen nach Schadenersatz begegnen zu können. :-)
Eigentlich hat er noch Glück, dass die Polizei seine PCs noch nicht zur Diagnose abgeholt hat. Ein Bekannter stand recht lange ohne PC da. Das war dem Geschäft nicht förderlich!
Carsten S. schrieb: > Bei einem mir bekannten Fall (vor ~5 Jahren) der nach dem selben Schema > abgelaufen ist hat sich dann nachher bei einer genaueren Prüfung > rausgestellt das die Täter mittels eines präparierten Office-Dokumentes > das per Mail (Quasi Bewerbungsschreiben wenn ich das noch richtig im > Kopf habe) zugesendet wurde sich eine Hintertür im Buchhaltungs-PC (in > diesem Fall der zahlenden Seite) verschafft haben. Wow, daß Ihr das Doc noch gefunden habt... Respekt! :-) > Das hat natürlich nur funktioniert weil sowohl die Office Versionen > (2003) wie auch die gesamte IT Infrastruktur hoffnungslos veraltet > waren. > Einer der zwei PC-Softwareentwickler (die nebenbei IT machen mussten) > hatte zwar schon mehrfach vor so etwas gewarnt und eine Modernisierung > angeregt, aber das hätte ja Ausgaben bedeutet. Eine minimale Schmälerung > der tatsächlich reichlichen Gewinne... Für den Betriebswirt als solchen ist es mitunter unverständlich, warum sowas eine besch...eidene Idee ist. :-)
Abdul K. schrieb: > William .. schrieb: >> dass der Hacker um zügige Zahlung gebeten hat, weil die IBANs speziell >> "für jede Rechnung neu generiert werden", und nur 7 Tage Gültigkeit >> haben. > > Für sowas muß man schon extrem dämlich sein. Ach Abdul, weißte... Du weißt, daß IBANs im Kern die frühere Bankleitzahl und die frühere Kontonummer beinhalten und insofern meistens ihre Gültigkeit auch dauerhaft behalten. Aber was weißt Du eigentlich über die Bezahlsysteme in, sagen wir mal, Japan, Israel, Vietnam oder Korea? Kolumbien, Brasilien, Peru? Kennst Du Dich dort wirklich so gut aus, daß Du so eine Aussage sofort als falsch erkennst?
Stephan S. schrieb: > Ihr seid eine 4-Mann-Firma, die Dinge nach Japan verkauft, d.h. diese > Dinge gibt es in Japan nicht (oder zu wesentlich höheren Preisen bzw. > anderen Parametern). Das gleiche mit Eurem Kunden in Israel. Das spricht > doch sehr dafür, dass der Fehler bei Euch liegt. Wenn das die Japaner > rauskriegen ... Klugscheißen und Geschädigte verhöhnen, wow. Du bist echt ein toller Hecht.
Der ganze Vorgang kann doch auch völlig ohne Hacken abgelaufen sein. Wenn auf beiden Seiten immer nur auf "Reply" gedrückt wird, muss der Angreifer doch nur eure Kommunikation belauscht haben. Und konnte sich dann durch simple Emails als man-in-the-middle installieren. Ohne jeden Angriff auf IT, nur mit täuschenden Absenderadressen. Oder verstehe ich den Vorgang falsch? LG, Sebastian
Sebastian W. schrieb: > Der ganze Vorgang kann doch auch völlig ohne Hacken abgelaufen sein. > Wenn auf beiden Seiten immer nur auf "Reply" gedrückt wird, muss der > Angreifer doch nur eure Kommunikation belauscht haben. Und konnte sich > dann durch simple Emails als man-in-the-middle installieren. Ohne jeden > Angriff auf IT, nur mit täuschenden Absenderadressen. Oder verstehe ich > den Vorgang falsch? Er müsste als man-in-the-middle dann aber nicht nur alles gelesen haben, sondern auch die Zustellang an den jeweiligen eigentlichen Empfänger blockiert haben. Und das dürfte nur funktionieren, wenn er Zugriff auf den Server des Mailproviders des TE erlangt hat oder in der letzten Meile zum TE sitzt.
Sebastian W. schrieb: > Der ganze Vorgang kann doch auch völlig ohne Hacken abgelaufen sein. > Wenn auf beiden Seiten immer nur auf "Reply" gedrückt wird, muss der > Angreifer doch nur eure Kommunikation belauscht haben. Und konnte sich > dann durch simple Emails als man-in-the-middle installieren. Wie möchtest Du "Kommunikation belauschen" und "man-in-the-middle" machen, ohne meinen Mailprovider zu hacken?
Manfred P. schrieb: > Wie möchtest Du "Kommunikation belauschen" und "man-in-the-middle" > machen, ohne meinen Mailprovider zu hacken? Das geht bei manchen alten Mailprotokollen schon recht einfach in dem Mann den Router hax0rt, der das transportiert. Also z.B. die "gerne" und "oft" verwendete "Muellbox". :) Edith: P.S.: Bevor "WLAN Client Isolation" ein Thema war, konnte man in deutschen Hotels geschaeftlich genutzte POP3 Accounts im Dutzend "abgreifen". Einfach so.
:
Bearbeitet durch User
Ralf X. schrieb: > die Zustellang an den jeweiligen eigentlichen Empfänger blockiert haben Nö, eben nicht, das ist ja mein Gedanke. An irgendeinem Punkt der Kommunikation fängt der Angreifer an und schickt beiden Seiten eine Email, so mit dem Inhalt "Was ist der Stand bei euch?". Die Antworten gehen an den Angreifer, und werden dann vielleicht, leicht überarbeitet, an die andere Seite geschickt. Für die jeweiligen Seiten benutzt der Angreifer immer eine Absenderadresse, die der jeweils anderen Seite sehr ähnelt. Wird dies nicht bemerkt, und arbeiten danach beide Seiten immer nur mit Reply auf die letzte Email, dann ist der Angreifer ohne jedes Hacken MitM geworden. Aber das sollte William ja aufklären können. Also, ob nach der Einschleusung der Emailadresse des Angreifers überhaupt noch Emails an die richtige Adresse verschickt wurden, und ob diese dann abgefangen wurden oder nicht. LG, Sebastian
:
Bearbeitet durch User
Es könne schon zumindest etwas helfen, kritische Infos als Mailanhänge z.B. als passwortgeschützte zip-Files zu schicken. Dass solche PW dann nicht nur "anna" ... "otto" oder "1234" sein sollten ist auch klar. Kommunikation der PW auf einem anderen Kanal.
Das wichtigste waere erst mal, dass der TO zusichert, dass weder er, noch jemand in der Arbeit, diesen Thread ueber den Arbeitsplatzrechner bisher aufgerufen hat oder aufrufen wird. Ansonsten besteht nur die Gefahr oder Chance fuer Euch, dass sich der Hacker beim Mitlesen zu Tode lacht.
William .. schrieb: > Virenscanner lassen wir momentan überall durchlaufen, obwohl ich von dem > Microsoft Defender bisher keinen schlechten Eindruck hatte... Wieso liest man bei solchen Sachen immer Microsoft?
Ralf X. schrieb: > Augenscheinlich hat er das unterlassen. Das weißt du doch gar nicht. Er hat den Vorgang sicher nicht mit allen details beschrieben, sonst würde das ein Buch ergeben, das niemand liest. Seid nicht so voreilig mit Vorwürfen!
Manfred P. schrieb: > Wie möchtest Du "Kommunikation belauschen" und "man-in-the-middle" > machen, ohne meinen Mailprovider zu hacken? Das steht doch im Eröffnungsbeitrag. Indem Mails manipuliert und über andere ähnliche Domains verschickt wurden. Und zwar in beide Richtungen. Niemand muss sich technisch irgendwo einklinken, weil die richtigen Mail Adressen von da an (unbemerkt) nicht mehr benutzt wurde. Der Bösewicht hat einfach beide Kommunikationspartner auf seine fake Mailkonten gelockt.
Steve van de Grens schrieb: > Niemand muss sich technisch irgendwo einklinken, Aber woher weiß der man-in-the-middle denn, dass wir mit diesem Kunden sprechen...? Er muss ja irgendwie davon Wind bekommen haben. P.S.: Es sollte in diesem Thread nicht um Abklärung von Schuldfragen gehen (denn das interessiert mich hier nicht die Bohne, außerdem hat niemand außer mir die dafür nötigen Informationen), sondern um Aufklärung der Mechanismen. Ich danke aber allen guten Ratschlägen und Tipps, das bringt mich alles weiter in diesem (für mich etwas komplizierten) Fall.
Wer einen Hoster für sein Webspace hat und ein Hacker kommt da drauf, dann kann er sich dort drin eine zusätzliche E-Mail Adresse mit Weiterleitung auf sich selbst einrichten. Er muss dazu nicht einmal sich in eure Firma ein hacken. Weiter leiten auf Wegwerf E-Mail Adressen irgendwo und es braucht für das aholen der E-Mails nicht einmal einen POP/IMAP Zugang. Kontrolliert immer wieder eure E-Mail Acounts und deren Konfiguration bei eurem Web Hoster. Könnte helfen. Für der ersten Kontakt über die neue Mail Adresse müsste man dem Kunde nur eine Fake-Frage stellen, die er dann beantwortet und schon ist die Mail Adresse getauscht weil in der Regel immer auf Mail einfach nur geantwortet ist. Wenn bei Mail Korrespondez auf einmal unten die ewig lange Historie fehlt dann am besten nochmal genauer die kontrollieren warum das gekürzt wurde. Als Kommunikation mit dem Kunde sollte man mehrere Kanäle nutzen, z.B. diverse Chat Programme oder auch mal Online-Sitzungen machen. Mehrere Kommunikationswege machen es Hackern schwerer.
Fred F. schrieb: > Wieso liest man bei solchen Sachen immer Microsoft? Weil der Defender von Microsoft ist und nicht von Telefunken.
Hallo William, angesichts der in Deiner Angelegenheit verursachten Schadenshöhe und der Möglichkeit von Wiederholungen empfehle ich Dir 3 Kontaktadressen: 1. BSi https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Unternehmen/unternehmen_node.html 2. Das Landeskriminalamt Deines Bundeslandes, die haben typischerweise auch Cyberspezialisten unter Vertrag 3. Private Sicherheitsdienstleister, die auch Forensikdienstleistungen erbringen Die großen Wirtschaftsprüfungsgesellschaften bieten auch Forensik-Dienstleistungen an, beispielsweise auch KPMG und Deloitte. Hier in Hannover gibt es auch noch https://www.ciphron.de Viel Erfolg!
:
Bearbeitet durch User
Auch wenn Euer Ansprechpartner beim Kunden bisher noch nett zu Euch ist: seine Rechtsabteilung wird irgendwann auf die Idee kommen, Euch Fahrlässigkeit zu unterstellen und Euch in Regress zu nehmen. Das bedeutet nicht, dass sie mit so einer Klage durchkommen, aber seid auch darauf vorbereitet.
William .. schrieb: > Aber woher weiß der man-in-the-middle denn, dass wir mit diesem Kunden > sprechen...? Wie ich bereits schrieb könnte es ein Angestellter der Betroffenen Firmen sein.
William .. schrieb: > Unser Kunde hat also Mails von "mausiklausi@PetrePanKram.com" erhalten > und dort hin geantwortet. Die korrekte email lautet aber > "mausiklausi@PeterPanKram.com". Ein ähnliches Ding aus der Praxis: Ich habe noch eine .de Domäne aus einem alten Projekt aktiv, wird aber nicht mehr genutzt. Mails an beliebige User dieser Domäne kommen per Weiterleitung bei mir an. Nun gibt es eine Firma welche den gleichen Domänennamen nutzt, Top Level aber .events. Ich bekomme regelmäßig Mail welche eigentlich an die .events - Firma gerichtet ist. Weil, Firma ist ja in Deutschland, also .de. Ich könnte nun, wenn eine Rechnung dabei ist diese bezüglich der IBAN pimpen und dem eigentlichen Empfänger weiterleiten. Absender faken ist nun nicht wirklich das Problem. Jedenfalls nicht wenn der Empfänger nicht ganz genau hinschaut. Die Räuber müssen also nur Domänen sichern welche ähnlich die großer Firmen sind. Wo viel Mail passiert, sich entsprechend viele Sender vertippen. Z.B. japanischesinstitut.com statt japanischesinstitut.yp. Rechnungen im B2B-Geschäft werden heute fast ausschließlich als Mailanhang verschickt. Als PDF, meist mit XML Daten für automatische Verarbeitung drin eingebettet. (ZUGfERD) Ohne verschlüsselt. Es obliegt dem gesunden Menschenverstand des Schuldners (oder (s)einer Software) zu überprüfen ob die Rechnung, auch die IBAN, korrekt ist. Das war eigentlich schon immer so. Auch auf Papier und im Briefumschlag. Üblicherweise hat man als Firma auch die korrekten Stammdaten des Lieferanten im ERP-System abgelegt. Was den Banditen die "Arbeit" leider erleichtert ist daß die Zugehörigkeit von Kontoinhaber und IBAN von den Banken nicht mehr überprüft wird. Uwe
Uwe B. schrieb: > Was den Banditen die "Arbeit" leider erleichtert ist daß die > Zugehörigkeit von Kontoinhaber und IBAN von den Banken nicht mehr > überprüft wird. Kommt. Termin ist aber noch offen.
William .. schrieb: > Aber woher weiß der man-in-the-middle denn, dass wir mit diesem Kunden > sprechen...? Er muss ja irgendwie davon Wind bekommen haben. Ausdruck einer Email im Altpapier? Toplevel-Routing von DE nach JP von einem Drittstaat umgebogen? Oder irgend etwas dazwischen ... LG, Sebastian
Uwe B. schrieb: > Was den Banditen die "Arbeit" leider erleichtert ist daß die > Zugehörigkeit von Kontoinhaber und IBAN von den Banken nicht mehr > überprüft wird. Danke, dass Du das auch schreibst. Noch vor nicht all zu langer Zeit wurde mir das als Verbreitung von Fake angekreidet. Motopick schrieb: > Das der TE denkt, er sei aus dem sprichwoertlichem Schneider, > koennte sich schnell als Trugschluss erweisen. Das kann zutreffen, weil das ein Verkauf nach HGB und nicht nach BGB war. Es spielt dabei auch eine Rolle, ob das als fahrlässig oder grob fahrlässig eingestuft wird. Peter M. schrieb: > empfehle ich Dir 3 Kontaktadressen: Angezeigt hat es die Firma vom TO schon mal. William .. schrieb: > Anzeige bei der Polizei wurde per Fax aufgegeben (kleiner Schwerz, > die haben wider Erwarten doch schon E-mail!). Wenn der Täter bei Euch noch im System sein sollte, kann er diese Email auch abgefangen haben, Euch eine Antwort geschickt haben, die Euch glauben läßt das hätte funktioniert. Nach den schlauen Fragen hier im Forum liegt die Vermutung nahe, dass Ihr nicht das Infopaket, was Ihr tun sollt bekommen habt, oder Ihr gehört zu den vielen, die des Lesens von solchen Schriftstücken nicht mehr mächtig sind.
Steve van de Grens schrieb: > oder Personal beim Kunden. ... oder der Admin, der die google-Adressen und accounts veraltet. Man hört so hintenrum, dass Google - aber auch viele andere amerikanische Firmen - ihre IT nach Indien ausgelagert haben oder preiswert arbeitende Firmen von dort beschäftigen. Da sind dann immer wieder mal ein paar faule Eier dabei, weil nicht überprüf- und auch nicht greifbar. Von jedem Inder gibt es vorneweg 100 Personen mit identischem Namen. Da nutzen viele eine andere Identität, um sich einen Job in der IT zu beschaffen. Das Freischalten von Berechtigungen und Anlegen von accounts kriegen auch Ungelernte hin. Selbst wenn eine IT-Firma in Indien seriös ist, kann sie nicht garantieren, dass nicht ein faker dazwischen sitzt, der sich einfach Daten kopiert. Was die Insider dazu berichten, ist, daß die meisten fake-Inder sich so einfach einen Job besorgen, um sich einzuarbeiten und keinen echten Schaden anrichten. Sie fangen als einfache IT-Fachkraft mit Abschluss an, bieten das billig genug an, um den Job zu bekommen und eigenen sich dann das Wissen an. Nach 2 Jahren im Job wird der AG gewechselt. So arbeiten sie sich so langsam rein. Die machen das, weil sie so die Kasten überspringen können und auch Leute aus armen Verhältnissen eine Chance haben, die nicht studieren konnte. Solche Beispiele gibt es da immer wieder, oft auch unter Ärzten! Sogar in DE klappt das ja mit den gefakten Diplomen und einer arbeitet jahrlang als Arzt! Wenn du das dann nachpüfen willst, findest du den "Martin Müller" als Absolvent der Hochschule. Entlarven geht nur über ein Bild. Bei den Indern ist es aber besonders einfach, weil viele völlig identische Namen haben und sich auch noch ähnlich genug sehen. Die meisten haben auch 2-3 Vornamen und können da gut jonglieren. Wie gesagt nutzen die meisten das nicht in krimineller Absicht. Sie wollen einfach nur ihre Chancen nutzen. Aber es gibt eben einige schwarze Schafe, die den Zugang zu sensiblen Daten gezielt nutzen.
Uwe B. schrieb: > Was den Banditen die "Arbeit" leider erleichtert ist daß die > Zugehörigkeit von Kontoinhaber und IBAN von den Banken nicht mehr > überprüft wird. Ich hatte auch mal Post von der Sparkasse bekommen, daß sie eine Überweisung abgelehnt haben, weil der Name nicht stimmte. Das war eine fremde Handschrift, aber meine Kontonummer. Ich hab nicht schlecht gestaunt. Ist aber schon Jahre her. Man konnte damals quasi nackt in seine Filiale gehen und eine Auszahlung ausfüllen. Dann wurde die Unterschrift verglichen und man bekam das Geld.
:
Bearbeitet durch User
Peter D. schrieb: > Ich hatte auch mal Post von der Sparkasse bekommen, daß sie eine > Überweisung abgelehnt haben, weil der Name nicht stimmte. Das dürfte im letzten Jahrhundert gewesen sein als die Belege noch händisch am VT100 abgetippt wurden und die Angestellten der örtlichen Sparkasse ihre Kunden persönlich kannten. Diese goldenen Zeiten sind lange vorbei, die Paläste welche sich die Sparkassen noch im letzten Dorf geleistet haben sind verhökert oder stehen leer. (Im besten Fall hat das Dorf jetzt ein schickes Rathaus) Die nächste Postbankfiliale ist über 30 Kilometer entfernt... Ja, geht alles Online. Fast jedenfalls :-( Uwe
Gehackter Mail-Provider, Sicherheitslücken im Router, indische Admins ... das kann alles sein, aber besonders wahscheinlich ist es nicht. Die mit Abstand wahscheinlichste (weil naheliegendste und einfachste) Option ist IMO, dass der Angreifer auf euer Mail-Postfach Zugriff hat, weil er das Passwort hat. Zumindest ist der Angriff mit den leicht falschen Reply-Adressen der, den ich mit diesem Zugriff machen würde. Hätte ich z.B. Malware auf den Clients, dann gäbe es bessere Optionen, die schwieriger zu bemerken sind. Um zu überlegen, wie es dazu kommt, wäre also wichtig zu wissen: - Wo und wie ist euer Mail-Postfach gehostet? - Wer hat Zugriff darauf? Wie ist dieser Zugriff gesichert? Gibt es Zwei-Faktor-Authentifizierung? Wie sicher ist das Passwort? Habt ihr das Passwort nach dem ersten Zwischenfall zumindest geändert? - Könnt ihr euch evtl. an einen Zwischenfall (Phishing etc) erinnern, bei dem die Zugangsdaten verloren gegangen sein könnten? Off-Topic verstehe ich nicht ganz, wie du darauf kommst, dass dir hier kein Schaden entstanden ist, ihr habt ja das Geld nicht bekommen und werdet es auch nicht kriegen. Vom Image-Verlust ganz abgesehen. Ich würde mich ja schon ziemlich verantwortlich fühlen das aufzuklären.
:
Bearbeitet durch User
Sven B. schrieb: > Die mit Abstand wahscheinlichste Option ist IMO, Wenn der japanische Kunde ein Forschungsinstitut ist, dann ist IMO die wahrscheinlichste Option ein Leak dort, und nicht in der Vier-Mann-Klitsche hier. LG, Sebastian
Sebastian W. schrieb: > Sven B. schrieb: >> Die mit Abstand wahscheinlichste Option ist IMO, > > Wenn der japanische Kunde ein Forschungsinstitut ist, dann ist IMO die > wahrscheinlichste Option ein Leak dort, und nicht in der > Vier-Mann-Klitsche hier. Aber der TO hat ja zweimal dasselbe Problem mit zwei verschiedenen Kunden gehabt, das macht das schon massiv unwahrscheinlicher.
Uwe B. schrieb: > Die nächste Postbankfiliale ist über 30 Kilometer entfernt... > Ja, geht alles Online. Fast jedenfalls :-( Hier für eine 60k-Einwohnerstadt haben die einen neuen Postpalast gebaut und nicht einen Parkplatz davor. Aber rumgerollt haben die, wie schön zentral das in der Innenstadt liegt. Und trotzdem stirbt selbige aus :D
:
Bearbeitet durch User
●DesIntegrator ●. schrieb: > Und trotzdem stirbt selbige aus :D liegt aber weniger an den Banken, sondern den verschwindenden Kaufhäusern. Grund ist freilich derselbe.
Du hast doch die eMail Adresse vom Betrüger - schreib ihm.
Sheeva P. schrieb: > Aber was weißt Du eigentlich über die Bezahlsysteme in, sagen wir mal, > Japan, Israel, Vietnam oder Korea? Kolumbien, Brasilien, Peru? Kennst Du > Dich dort wirklich so gut aus, daß Du so eine Aussage sofort als falsch > erkennst? Im Prinzip hast du damit recht, ich weiß wenig über Banksysteme außerhalb der EU. Das ist mir eigentlich auch egal. Ich interpretiere die Fremdtexte schlicht nach typischen Betrugsmaschen. Eine davon ist das Gegenüber unter Druck zu setzen mit supernahen Pseudoablaufterminen. Man ist gut beraten, dafür sensible Leute zu beauftragen bzw. drüber gucken zu lassen.
Abdul K. schrieb: > supernahen Pseudoablaufterminen. Wenn wie oben dargestellt, die "IBAN abläuft" , muss eigentlich jeder sofort kapieren, dass das faul ist. Die Kontennummern werden im EU-RAUM einheitlich über das SEPA gemanaged und sind zentral gespeichert. Sowohl die Transaktionen von Firmen als auch Privatleuten sind 10 Jahre nachvollziehbar! Kontostände von Personen und Firmen werden auch zentral gesammelt und sind für Behörden einsehbar - allen voran dem Finanzamt. Pro Jahr werden inzwischen über 1 Mio Kontenabfragen vorgenommen, um Betrüger aufzufinden - davon rund 1/4 vom Finanzamt, 15% von den Sozialbehörden und ebensoviele vom Zoll! Für jeden Bürger und Firma, Geschäftsführer ist gespeichert, welche Konten er hat und HATTE! Man kann also auch nach 10 Jahren noch prüfen, woher die Kohle gekommen ist. Konkret geht das komplett seit 2008, Konteneinsicht gab es schon vorher! Daher DÜRFEN IBANs gar nicht ablaufen! Es kann nach einer Kontenlöschung eine Kontonummer auch erst nach einer Wartezeit wieder neu vergeben werden. Die Banken haben durch das IBAN-System ausreichend viele Nummern, um jedem Anleger 20 Konten verpassen zu können, inklusive der Sparbriefe, die er temporär anlegt. Ich komme auf derzeit 15 und es wären noch mehr, wenn nicht die Diba auf 5 limitieren würde. Es gibt also keinen Grund, dass eine IBAN "abläuft". Im Gegenteil: Man kann selbst nach Kontoschließung noch dorthin überweisen und das Geld kommt an, bzw geht nicht verloren. Wer natürlich nicht auf DE überweist, und das nicht merkt, dem ist nicht zu helfen.
Bernie schrieb: > Wenn wie oben dargestellt, die "IBAN abläuft" , muss eigentlich jeder > sofort kapieren, dass das faul ist. Ja. Bernie schrieb: > Kontostände von Personen und Firmen werden auch zentral gesammelt und > sind für Behörden einsehbar Nein, die Daten liegen dezentral, und es sind nur Stammdaten, also Kontonummern und die Daten der Inhaber und Verfügungsberechtigten. Keine Salden, keine Transaktionen. Erst wenn ein konkreter Verdacht besteht, können bei der Bank weitere Daten angefordert werden.
Bernie schrieb: > Sowohl die Transaktionen von Firmen als auch Privatleuten sind 10 Jahre > nachvollziehbar! Na dann steht ja der Ermittlung des Täters nichts im Wege.
Lies: Die arme Sau, aka Finanzagent, die ihr Konto dafür zur Verfügung stellte, ist leicht ermittelbar, und hat nun weitere Mäuse auf dem Schuldkonto. Aber zu holen ist da nichts.
:
Bearbeitet durch User
●DesIntegrator ●. schrieb: > Postpalast gebaut und nicht einen Parkplatz davor. > [...] wie schön zentral das in der Innenstadt > liegt. Ähm sorry, mit der Karre in die Innenstadt...? Gruss Chregu
Christian M. schrieb: > ●DesIntegrator ●. schrieb: >> Postpalast gebaut und nicht einen Parkplatz davor. >> [...] wie schön zentral das in der Innenstadt >> liegt. > > Ähm sorry, mit der Karre in die Innenstadt...? Naja, den neuen 65 Zöller zu Fuss von der Postfiliale abzuholen ist nicht jedermanns Sache. 😉
Ralf X. schrieb: > Naja, den neuen 65 Zöller zu Fuss von der Postfiliale abzuholen ist > nicht jedermanns Sache. Wozu auch? DHL stellt zur Haustür zu. Christian M. schrieb: > Ähm sorry, mit der Karre in die Innenstadt...? So sehe ich das auch. Karren haben in der Innenstadt nix zu suchen.
Uwe B. schrieb: > Peter D. schrieb: >> Ich hatte auch mal Post von der Sparkasse bekommen, daß sie eine >> Überweisung abgelehnt haben, weil der Name nicht stimmte. > > Das dürfte im letzten Jahrhundert gewesen sein als die Belege noch > händisch am VT100 abgetippt wurden und die Angestellten der örtlichen > Sparkasse ihre Kunden persönlich kannten. Diese goldenen Zeiten sind > lange vorbei, Den Abgleich IBAN/Name machen viele Banken automatisch, und wenn das nicht passt, wird die Überweisung abgelehnt. Aktuell wird die Verpflichtung, daß das alle Banken machen müssen, gerade in EU-Recht gegossen. Oliver
Rainer Z. schrieb: > Ralf X. schrieb: >> Naja, den neuen 65 Zöller zu Fuss von der Postfiliale abzuholen ist >> nicht jedermanns Sache. > > Wozu auch? DHL stellt zur Haustür zu. Sorry, ich habe die DHL 24/7 Wunschzeitzustellung vergessen..
Oliver S. schrieb: > Den Abgleich IBAN/Name machen viele Banken automatisch, und wenn das > nicht passt, wird die Überweisung abgelehnt "Die erste Zahlungsdiensterichtlinie (PSD1) bescherte dem deutschen Zahlungsverkehr einen Paradigmenwechsel. Bis 2009 oblag es dem Zahlungsdienstleister (PSP) des Zahlungsempfängers zu prüfen, ob das vom Zahler angegebene Empfängerkonto tatsächlich auf den ebenfalls namentlich angegebenen Zahlungsempfänger lautete. In Zweifelsfällen war der Empfängername ausschlaggebend. Mit Überführung der PSD1 in deutsches Recht wurde die nummerische Kundenkennung, heute mithin die IBAN, allein maßgeblich. Die früher obligatorische Kontoanprüfung durch den PSP des Zahlungsempfängers, auch als Kontonummer-Namens-Abgleich bezeichnet, entfiel. Ziel war eine die Vollautomatisierung von Zahlungsvorgängen und deren beschleunigte Abwicklung." Soll wieder eingeführt werden wie schon erwähnt wurde Uwe
Christian M. schrieb: > ●DesIntegrator ●. schrieb: >> Postpalast gebaut und nicht einen Parkplatz davor. >> [...] wie schön zentral das in der Innenstadt >> liegt. > > Ähm sorry, mit der Karre in die Innenstadt...? > > Gruss Chregu Das wäre hier noch nicht mal das Problem. is' ja auch nicht Köln, Domstrasse. Es gibt hier so Gegenden, das MUSS man durch die Stadt, wenn man keine Feldwege fahren will.
:
Bearbeitet durch User
Oliver S. schrieb: > Uwe B. schrieb: >> Peter D. schrieb: >>> Ich hatte auch mal Post von der Sparkasse bekommen, daß sie eine >>> Überweisung abgelehnt haben, weil der Name nicht stimmte. >> >> Das dürfte im letzten Jahrhundert gewesen sein als die Belege noch >> händisch am VT100 abgetippt wurden und die Angestellten der örtlichen >> Sparkasse ihre Kunden persönlich kannten. Diese goldenen Zeiten sind >> lange vorbei, > > Den Abgleich IBAN/Name machen viele Banken automatisch, und wenn das > nicht passt, wird die Überweisung abgelehnt. Aktuell wird die > Verpflichtung, daß das alle Banken machen müssen, gerade in EU-Recht > gegossen. Nein, in "EU-Recht" soll gegossen werden, dass bei Nichtübereinstimmung von Empfängernamen und Namen des Kontoinhabers lt. IBAN dem Zahler eine Warnmeldung angezeigt werden muss, die aber vom Absender übergangen werden kann. Viele Firmenkonti haben einen Inhaber, für deren vollständigen rechtlichen Namen das Eingabefeld der Überweisung gar nicht ausreicht. Aber selbst bei kurzen Namen, privat oder gewerblich, verwenden Absender Abkürzungen und/oder frei gewählte Erweiterungen. Was passiert, wenn ein Betrüger als Zahlungsempfänger eine Kombination von Betrügerkontonamen und angeblichen Empfänger eintragen lässt? Was passiert bei Zahlungsanweisungen aus Ländern aus dem aussereuropäischen Raum wie Israel oder Japan?
Ralf X. schrieb: > Sorry, ich habe die DHL 24/7 Wunschzeitzustellung vergessen.. Man kann auch einen Ablage-Ort bestimmen. Wenn Du nicht zuhause, sondern mit Deinem 150k € Mercedes Cabrio unterwegs bist, ist in Deiner Doppelgarage reichlich Platz für das Paket.
Uwe B. schrieb: > Die früher obligatorische Kontoanprüfung durch den PSP des > Zahlungsempfängers, auch als Kontonummer-Namens-Abgleich bezeichnet, > entfiel. Auch wenn es die BaFin explizit nicht fordert, tun es einige Banken trotzdem, da kann ich Oliver aus eigener Erfahrung Recht geben. In den Fällen, die mir begegnet sind, aber nur bei grösseren (5stelligen) Beträgen.
Rainer Z. schrieb: > Ralf X. schrieb: >> Sorry, ich habe die DHL 24/7 Wunschzeitzustellung vergessen.. > > Man kann auch einen Ablage-Ort bestimmen. Wenn Du nicht zuhause, sondern > mit Deinem 150k € Mercedes Cabrio unterwegs bist, ist in Deiner > Doppelgarage reichlich Platz für das Paket. Wie schön, dass alle Menschen in DE über grossartige Wohnverhältnisse verfügen oder zumindest vertrauenswürdige und paketannahmebereite Nachbarn.. Übrigens können an Packstationen auch nur Pakete bis max. 75 x 60 x 40 cm zugestellt werden.
Uwe B. schrieb: > Oliver S. schrieb: >> Den Abgleich IBAN/Name machen viele Banken automatisch, und wenn das >> nicht passt, wird die Überweisung abgelehnt > > "Die erste Zahlungsdiensterichtlinie (PSD1) ... Ja, nur was genau hast du jetzt an meiner Aussage, daß viele Banken das automatisch machen, nicht verstanden? Die PSD zwingt sie nicht dazu, das ist richtig, machen tun die das trotzdem. Oliver
:
Bearbeitet durch User
Oliver S. schrieb: > Uwe B. schrieb: >> Oliver S. schrieb: >>> Den Abgleich IBAN/Name machen viele Banken automatisch, und wenn das >>> nicht passt, wird die Überweisung abgelehnt >> >> "Die erste Zahlungsdiensterichtlinie (PSD1) ... > > Ja, nur was genau hast du jetzt an meiner Aussage, daß viele Banken das > automatisch machen, nicht verstanden? Die PSD zwingt sie nicht dazu, das > ist richtig, machen tun die das trotzdem. Dein Aussage ist schlicht falsch Zitat BaFin: "Bei der Ausführung einer Überweisung haben die beteiligten Zahlungsdienstleister, also die Bank des Zahlenden und die Bank des Zahlungsempfängers, ausschließlich die Internationale Bankkontonummer (IBAN) und den Bank-Identifizierungs-Code (BIC), die sog. Kundenkennung zu beachten (§ 675r BGB). Der Name des Zahlungsempfängers gehört nicht dazu." Das Geldinstitut hat also die Knete zu buchen, auch wenn der Name des Kontoinhabers ihm nicht passt. Was Banken schon mal tun ist den Zahlenden zu kontaktieren wenn ungewöhnlich hohe Kontobewegungen passieren. Hatte ich mal. Uwe
●DesIntegrator ●. schrieb: > Hier für eine 60k-Einwohnerstadt haben die einen neuen Postpalast gebaut > und nicht einen Parkplatz davor. Im Kontext uninteressant weil es sicherlich in dem Palast keinen Postbankschalter geben wird. Die Post hat den Laden verkauft und möchte offensichtlich nichts mehr damit zu tun haben :-( Uwe
Uwe B. schrieb: > Das Geldinstitut hat also die Knete zu buchen, auch wenn der Name des > Kontoinhabers ihm nicht passt. Nein, sie dürfen (!) anhand der IBAN buchen, steht auch im genannten Par. 675r BGB: "Die beteiligten Zahlungsdienstleister sind berechtigt, einen Zahlungsvorgang ausschließlich anhand der von dem Zahlungsdienstnutzer angegebenen Kundenkennung auszuführen. Wird ein Zahlungsauftrag in Übereinstimmung mit dieser Kundenkennung ausgeführt, so gilt er im Hinblick auf den durch die Kundenkennung bezeichneten Zahlungsempfänger als ordnungsgemäß ausgeführt."
Rainer Z. schrieb: > Karren haben in der Innenstadt nix zu suchen. Und das gilt für sämtliche Innenstädte und sämtliche denkbaren Situationen. Und zwar Kategorisch! Merkt euch das gefälligst.
Uwe B. schrieb: > Der Name des Zahlungsempfängers gehört nicht dazu." Definiv ist das so. Das haben aber schon Personen ausgenutzt, die im Ausland Spenden unter dem Namen von bekannten Parteisymphatisanten in Deutschland überwiesen nach Deutschland. Oliver S. schrieb: > machen tun die das trotzdem. Machen tun sie es seit dem, weil dadurch etwas groesseres anbrannte. Weiteres hierzu liegt jenseits der Nutzungsbedingungen des Forums.
Rainer Z. schrieb: > Man kann auch einen Ablage-Ort bestimmen. Blöderweise kann man keine Adresse des Ablageorts angeben. Sonst könnte ich, wenn das Paket Samstags ankommen soll, von Firma auf zuhaus umleiten. So muß ich dann bis Montag warten. :(
Norbert schrieb: > Rainer Z. schrieb: >> Karren haben in der Innenstadt nix zu suchen. > > Und das gilt für sämtliche Innenstädte und sämtliche denkbaren > Situationen. > Und zwar Kategorisch! > Merkt euch das gefälligst. Was will man auch in einer Deutschen Innenstadt wollen. Die Kaufhäuser haben die vielfältigen, inhabergeführten, Geschäfte weitgehend plattgemacht, beschleunigt noch durch die "Shopping Malls", City Center und Co. Seit dem sind die Innenstädte trostlos und austauschbar. Überall das gleiche Angebot der großen Ketten und das gleiche Pflaster. Es ist nicht schade daß der Onlinehandel den Innenstädten mit dem 70er Jahre-Konzept den garaus macht. Wir könnten die Innenstädte wieder mit Leben füllen... Uwe
Peter N. schrieb: > Sonst könnte ich, wenn das Paket Samstags ankommen soll, von Firma auf > zuhaus umleiten. So muß ich dann bis Montag warten. :( Bei DHL (die anderen kommen Samstags eh nicht) kannst du es auf die nächste Packstation umleiten. Uwe
William .. schrieb: > wir > haben noch nichts versendet und keinen finanziellen Schaden. In der Summe ist Blauäugigkeit des Kunden und Sorglosigkeit des Anbieters die Ursache. Beide müssen sich auch vorwerfen lassen, daß sie keine Zwei-Faktor-Authentisierung benutzt haben. Daher wird man sich wohl den Schaden teilen müssen.
Das funktioniert aber nicht immer gut. Es ist mir schon mehrfach passiert, dass das Paket dann in einer anderen Packstation war die 5 km weg war, weil in der ursprünglichen kein Platz mehr war. Besser ist es dann, auf einen Paketshop umzuleiten. Wer allerdings nur nachts oder am Sonntag Pakete holen kann/will, kann das nicht.
Stephan S. schrieb: > Wer allerdings nur nachts oder am Sonntag Pakete holen kann/will, kann > das nicht. Das erinnert mich an eine Frau, die zu einer bestimmten Zeit bei Vollmond ihr Paket abholen kann, weil sonst das Paket ein boeses Ohmen mitbringt. (Kopfschuettel)
Hmmm schrieb: > Uwe B. schrieb: >> Das Geldinstitut hat also die Knete zu buchen, auch wenn der Name des >> Kontoinhabers ihm nicht passt. > > Nein, sie dürfen (!) anhand der IBAN buchen, steht auch im genannten > Par. 675r BGB: So ist es. Das BGB hält der Bank den Rücken frei, wenn die alleine auf Basis der IBAN bucht, aber es zwingt die nicht dazu, alle anderen denkbaren Identifikationsmöglichkeiten außer Acht zu lassen. Ich habe nach Einführung der IBAN schon Überweisungen zurückbekommen, wegen falschem Namen. Das gibt es, und Banken machen das. Oliver
Dieter D. schrieb: > Das erinnert mich an eine Frau, die zu einer bestimmten Zeit bei > Vollmond ihr Paket abholen kann, weil sonst das Paket ein boeses Ohmen > mitbringt. Immerhin kannte die Frau das entsprechende Ohmsche Gesetz. LG, Sebastian
Sebastian W. schrieb: > Dieter D. schrieb: >> … ein boeses Ohmen mitbringt … > > Immerhin kannte die Frau das entsprechende Ohmsche Gesetz. Schluck Kaffee --> Tastatur --> Danke! ;-)
Oh+Omen=Ohmen Auch Radiosendern passiert, dass diese gehackt werden: https://www.radioforen.de/threads/donau-3-fm-wurde-gehackt.49086/ https://www.augsburger-allgemeine.de/neu-ulm/hackerangriff-auf-donau3fm-in-ulm-jetzt-wird-musik-gemacht-wie-frueher-id69125176.html Welche Forderungen die Hacker stellen, wurde nicht genannt.
:
Bearbeitet durch User
Dieter D. schrieb: > Oh+Omen=Ohmen Sind O(h)men überhaupt zugangsbedürftig oder wirken die auch, wenn man sie nicht abholt?
(prx) A. K. schrieb: > Lies: Die arme Sau, aka Finanzagent, die ihr Konto dafür zur Verfügung > stellte, ist leicht ermittelbar, und hat nun weitere Mäuse auf dem > Schuldkonto. Aber zu holen ist da nichts. Esel, nicht Sau: "Money Mule"
Hallo William und Steve. Steve van de Grens schrieb: > Ich fürchte, dass hier gar nicht technisch gehackt wurde, sondern sich > jemand mit Insider-Wissen in die Kommunikation eingeklinkt hat. Ich glaube so etwas nennt man klassisch "Man in the Middle" William .. schrieb: >> Es >> könnte einer eurer Mitarbeiter sein, oder Personal beim Kunden. > Danke für deinen Input! Wir sind nur 4 Leute... Das ist bei uns ziemlich > sicher ausgeschlossen... Das muss nicht mit Absicht geschehen sein. Es gibt durchaus ausgefuchste Methoden, an solche Informationen zu kommen. Es gibt dabei verschiedene Methoden des "Social engeneering". Weit bekannt ist z.B. Phishing. Siehe: https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit) Es gibt aber noch viel grundlegendere Methoden, solche Informationen zu erschleichen, z.b. indem man mittels "Cold reading" Informationen errät, damit Insiderwissen vortäuscht und somit Glaubwürdigkeit gewinnt. Manchmal langt es, sich eine erratene Information indirekt bestätigen zu lassen. Siehe: https://de.wikipedia.org/wiki/Cold_Reading Am Rande: Ein Kopf-Problem ist bei Email die Verwendung von html statt plain Text. Hinter html lassen sich leicht komische Adressen verbergen. Weiter führt die Verwendung von zum Logos aus dem Corporate Design/Corporate Identity Bezug dazu, eine "Wiedererkennen" und "Vertrauensatmosphäre" zu schaffen (genau wie es die Werbung geplant hat), die dazu führt, das man nicht extra hinter die Fassade der angezeigten Links schaut. Mit "plain Text" lassen sich verdächtige und unpassende Links und Emailadressen schlechter verbergen*), und der nackte Text würde zu einer abstrakteren Herangehensweise führen, wo auch eigene Handlungen halt schneller einmal hinterfragt werden. *)Es geht immer noch, indem man Adressen verwendet, die den echten sehr ähnlich sind, z.B. Striche statt Punkte oder andere Schreibweisen oder leicht passierende Rechtschreibfehler enthalten und hofft, dass das nicht bemerkt wird. Mit freundlichem Gruß: Bernd Wiebus alias dl1eic
:
Bearbeitet durch User
Hallo Peter. Peter D. schrieb: > In der Summe ist Blauäugigkeit des Kunden und Sorglosigkeit des > Anbieters die Ursache. Beide müssen sich auch vorwerfen lassen, daß sie > keine Zwei-Faktor-Authentisierung benutzt haben. Daher wird man sich > wohl den Schaden teilen müssen. Wenn einmal einer in der Mitte mitliest und schreibt, ist eine Zwei-Faktor-Authentisierunge auch nur halb so wirksam wie gehofft. Mit freundlichem Gruß: Bernd Wiebus alias dl1eic
Bernd W. schrieb: > Hallo Peter. > > Peter D. schrieb: > >> In der Summe ist Blauäugigkeit des Kunden und Sorglosigkeit des >> Anbieters die Ursache. Beide müssen sich auch vorwerfen lassen, daß sie >> keine Zwei-Faktor-Authentisierung benutzt haben. Daher wird man sich >> wohl den Schaden teilen müssen. > > Wenn einmal einer in der Mitte mitliest und schreibt, ist eine > Zwei-Faktor-Authentisierunge auch nur halb so wirksam wie gehofft. Kommt darauf an was man unter dem zweiten Faktor versteht... Gerade in, womöglich langjährigen, bestehenden Geschäftsbeziehungen hat man ja nicht nur eine Emailadresse zur Verfügung. Normalerweise hat man noch Telefon, oft Fax, nach China hin oft auch Messenger/Mobilnummern der einem persönlich bekannten Kontaktleute. Kommt da eine Änderung der Kontoverbindung, sehr spezielle Zahlungsanweisungen oder irgendetwas anderes wo man mit Risiken rechnen könnte, dann reicht vor dem Absenden der großen Zahlung ein Griff zum Telefonhörer/Handymessenger mit der kurzen Frage ob die Nachricht wirklich genau so vom Geschäftspartner versendet wurde. In dem von mir oben geschilderten Fall war der reale Geschäftspartner Jahre lang bekannt, Personal war mehrfach vor Ort in China und telefoniert wurde auch öfter. Hätte man da wegen der geänderten Kontoverbindung einmal telefonisch nachgefragt... Kein sechsstelliger Schaden! Bei, für die eigenen Verhältnisse, sehr großen Summen kann man das natürlich auch standardmäßig machen wenn die Zahlung nicht auf dasselbe Konto geht wo man vorher schon zig mal erfolgreich größere Summen eingezahlt hat (Weil es beispielsweise das erste "echte" Geschäft mit diesem Partner ist.) Und selbst wenn man diese Möglichkeiten nicht hat, dann hat man meistens noch die Email einer Vertretung des Zuständigen oder anderen Kollegen. Da könnte man über anderen Rechner und möglichst anderem Mailprovider, zum Beispiel einem eigenen Freemailanbieter - Webmailkonto, auch einfach "nachfragen". Gibt natürlich immer noch ein Restrisiko wenn der "Man in the Middle" im Mailsystem des Geschäftspartners drin hängt und alle Mailkonten überwacht. Aber ausser bei Kleinfirmen ist das wohl eher unwahrscheinlich. Gruß Carsten
heute erst eine sendung vom dlf computer und kommunikation von 2019? gehört. da wäre dann über schlecht gesicherte voice-over-ip telefonate der zugriff auf den rechner möglich. keine ahnung ob das hier relevanz hat.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.