17
Gefälschte E-Mail-Inhalte mit anderen Kontoinformationen
Hallo,
habe diese Woche von zwei Firmen gehört, die das gleiche Problem haben - sie bekommen kein Geld von ihren Kunden, weil die Kunden eine E-Mail bekommen haben (angeblich von der Firma) mit neuen Kontoinformationen (Kontonummer, BLZ, ...). Die Kunden haben brav ihre Rechnungen an die neue Bankverbindung überwiesen, die Firmen warten auf ihr Geld ...
Habe mir mal so eine gefälschte E-Mail zusenden lassen. Scheint vom Inhalt erst einmal die originale E-Mail zu sein (Ansprechpartner, Absender, ...).
Aber allein schon die Absenderadresse, statt vorname.nachname@firma.de : vorname.nachname.firma.de@xlsi.pw
Was kann man da tun? Wenn der Empfänger eine offensichtlich gefälschte E-Mail als vertrauenswürdig 'erkennt', dann hilft doch auch eine Absenderseitige Signierung (per SMIME) nicht?
Wie kann man es für blinde Dummis sicher machen?
E-Mails auf einen sicheren Server schieben und dem Empfänger nur den Link zum Download senden ist total unhandlich (wenn auch sicher), ausserdem braucht der Empfänger wieder ein Passwort ...
Was kann man machen???
vG
LS
habe diese Woche von zwei Firmen gehört, die das gleiche Problem haben - sie bekommen kein Geld von ihren Kunden, weil die Kunden eine E-Mail bekommen haben (angeblich von der Firma) mit neuen Kontoinformationen (Kontonummer, BLZ, ...). Die Kunden haben brav ihre Rechnungen an die neue Bankverbindung überwiesen, die Firmen warten auf ihr Geld ...
Habe mir mal so eine gefälschte E-Mail zusenden lassen. Scheint vom Inhalt erst einmal die originale E-Mail zu sein (Ansprechpartner, Absender, ...).
Aber allein schon die Absenderadresse, statt vorname.nachname@firma.de : vorname.nachname.firma.de@xlsi.pw
Was kann man da tun? Wenn der Empfänger eine offensichtlich gefälschte E-Mail als vertrauenswürdig 'erkennt', dann hilft doch auch eine Absenderseitige Signierung (per SMIME) nicht?
Wie kann man es für blinde Dummis sicher machen?
E-Mails auf einen sicheren Server schieben und dem Empfänger nur den Link zum Download senden ist total unhandlich (wenn auch sicher), ausserdem braucht der Empfänger wieder ein Passwort ...
Was kann man machen???
vG
LS
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 314151
Url: https://administrator.de/contentid/314151
Printed on: April 23, 2024 at 20:04 o'clock
17 Comments
Latest comment
Hallo,
sowas passiert halt.
Da der Absender ja nichtmal die Firmenadresse ist kann der Kunde halt nur Anzeige gegen Unbekannt einreichen und muss die Rechnung an die echte Firma trozdem zahlen. Und die Überweiseung von der Bank rückgängig machen lassen.
Ist das selbe wie mit gefälschten Rechnungen von 1&1, Telecom und co.
Du kannst natürlich dafür sorgen das alle offiziellen Mails signiert sind, aber wenn eine Falsche Absenderadresse schon erfolg hat, dann kann man die ja auch einfach mit irgendwas signieren.
Man kann halt nur hoffen das die Leute Spamfilter und den gesunden Menschenverstand einschalten. Ansonsten kanst Du da nix machen.
Gruß
Chonta
sowas passiert halt.
Da der Absender ja nichtmal die Firmenadresse ist kann der Kunde halt nur Anzeige gegen Unbekannt einreichen und muss die Rechnung an die echte Firma trozdem zahlen. Und die Überweiseung von der Bank rückgängig machen lassen.
Ist das selbe wie mit gefälschten Rechnungen von 1&1, Telecom und co.
Du kannst natürlich dafür sorgen das alle offiziellen Mails signiert sind, aber wenn eine Falsche Absenderadresse schon erfolg hat, dann kann man die ja auch einfach mit irgendwas signieren.
Man kann halt nur hoffen das die Leute Spamfilter und den gesunden Menschenverstand einschalten. Ansonsten kanst Du da nix machen.
Gruß
Chonta
1
Moin,
LG, Thomas
weil die Kunden eine E-Mail bekommen haben (angeblich von der Firma) mit neuen Kontoinformationen (Kontonummer, BLZ, ...).
da fehlt mir jegliches Mitleid - wie doof kann man denn eigentlich noch sein?Und die Überweiseung von der Bank rückgängig machen lassen.
Just impossible ...LG, Thomas
Hallo Chonta,
na ja, habe gerade mal die Seite https://www.ftapi.com angeschaut, das klingt erst einmal gut. Kein zusätzlicher Aufwand für Absender und Empfänger. Man muss ja als DL irgendwie reagieren und dem Kunden (Absender) eine (Teil)Lösung vorschlagen, zumindest, um die Sicherheit zu erhöhen.
Ich will halt nicht nur sagen: 'dumm gelaufen'.
vG
LS
Man kann halt nur hoffen das die Leute Spamfilter und den gesunden Menschenverstand einschalten. Ansonsten kanst Du da nix machen
na ja, habe gerade mal die Seite https://www.ftapi.com angeschaut, das klingt erst einmal gut. Kein zusätzlicher Aufwand für Absender und Empfänger. Man muss ja als DL irgendwie reagieren und dem Kunden (Absender) eine (Teil)Lösung vorschlagen, zumindest, um die Sicherheit zu erhöhen.
Ich will halt nicht nur sagen: 'dumm gelaufen'.
vG
LS
Just impossible ...
Dann halt per Rechtsverdreher.Gruß
Chonta
da fehlt mir jegliches Mitleid - wie doof kann man denn eigentlich noch sein?
mir auch, kann ich aber nicht dem Kunden gegenüber sagen, der den ganzen Tag die Polizei im Haus hatte (er hat sie bestellt).Die (Kunden/Firmen) wollen eine Lösung, auch wenn die Empfänger blind, blauäugig und dumm sind.
vG
LS
Wie kann man es für blinde Dummis sicher machen?
Hallo,
Dienstanweisung, dass solche Änderungen erst nach nochmaliger (telefonischer) Bestätigung übernommen werden. Bei Zuwiderhandlung Androhung einer Abmahnung und in Regressnahme des "Schuldigen" wegen grober Fahrlässigkeit.
Dummheit schützt nicht vor Strafe!
Ansonsten Aufbau eines PKI-Systems und eMail-Verkehr mit Kunden und Lieferanten nur noch verschlüsselt und signiert.
Jürgen
Hallo chiefteddy,
PKI mit Kunde in China ???
Drum: wäre denn https://www.ftapi.com eine Lösung (ich kenne das noch nicht)?
vG
LS
Dienstanweisung
Das Problem hat ja erst einmal der Empfänger der gefälschten E-Mail. Der sitzt z.B. in China oder Dubai, da greifen Dienstanweisungen kaum PKI mit Kunde in China ???
Drum: wäre denn https://www.ftapi.com eine Lösung (ich kenne das noch nicht)?
vG
LS
Toll damit kannst Du Dateien austauschen, und?
Wenn Du einer Rechnung von der Telecom erwartest und ich dir mit vorname.nachtame.telekom.de@googlemail.com eine Email sende mit neuen Kontodaten und Du zu.... bist und das auch machst, was soll dann ein sicherer Datenaustausch helfen?
Genau nix.
Mitarbeiterschulung und Sensibilisierung im Umgang zur Phishingmailerkennung.
Wenn sich die Kontodaten von der Rechnung ändern sollte man bei der Firma mal anrufen und nachfragen.
Wen die Kunden deines Kunden noch keine Kundne sind solltest Du denen eine Schulung anbieten. Dein Kunde kann nix für die Dumheit der anderen und kann das auch nicht filtern.
Gruß
Chonta
Wenn Du einer Rechnung von der Telecom erwartest und ich dir mit vorname.nachtame.telekom.de@googlemail.com eine Email sende mit neuen Kontodaten und Du zu.... bist und das auch machst, was soll dann ein sicherer Datenaustausch helfen?
Genau nix.
Mitarbeiterschulung und Sensibilisierung im Umgang zur Phishingmailerkennung.
Wenn sich die Kontodaten von der Rechnung ändern sollte man bei der Firma mal anrufen und nachfragen.
Wen die Kunden deines Kunden noch keine Kundne sind solltest Du denen eine Schulung anbieten. Dein Kunde kann nix für die Dumheit der anderen und kann das auch nicht filtern.
Gruß
Chonta
1Die (Kunden/Firmen) wollen eine Lösung, auch wenn die Empfänger blind, blauäugig und dumm sind.
Dan halt außschlißlich auf Kommunikation per Einschreiben setzen.Oder mit dem Kunden absprechen das nur eine Verschlüsselte Mailkommunikation für Rechnungen und Rechnungsänderungen abläuft und neide Seiten pgp verwenden müssen.
Wenn dann eine Mail ankommt di enicht verschlüsselt ist = fake und wenn verschlüsselt aber falscher Key = fake.
Gruß
Chonta
Hallo Uwe,
danke, passender geht's nicht.
„…Firmen können zudem in Ihrer geschäftlichen E-Mail Signatur vorbeugend darauf hinwiesen, dass sie Kunden eine Änderung der Bankverbindung niemals via E-Mail mitteilen und wenn möglich, digitale Signaturen nutzen. …“
Das ist ein sehr guter Ratschlag, den ich den Kunden/Firmen geben werde.
vG
LS
danke, passender geht's nicht.
„…Firmen können zudem in Ihrer geschäftlichen E-Mail Signatur vorbeugend darauf hinwiesen, dass sie Kunden eine Änderung der Bankverbindung niemals via E-Mail mitteilen und wenn möglich, digitale Signaturen nutzen. …“
Das ist ein sehr guter Ratschlag, den ich den Kunden/Firmen geben werde.
vG
LS
Hallo Chonta,
ja, Du hast volkommen Recht !
ja, Du hast volkommen Recht !
Wen die Kunden deines Kunden noch keine Kundne sind solltest Du denen eine Schulung anbieten.
ich kann halt weder arabisch noch chinesisch
Hallo @laster,
wenn in meiner Firma ein Mitarbeiter auf Grund solcher gefälschter eMail eine Rechnung auf das falsche Konto überweist, habe ich rein rechtlich die Rechnung noch nicht bezahlt und der Lieferant hat einen einklagbaren Rechtsanspruch auf ordnungsgemäße Begleichung seiner Rechnung. Mein Mitarbeiter hat "Mist gebaut". Wenn ich ihn vorher belehrt habe, kann ich ihn abmahnen und wegen "grober Fahrlässigkeit" in Regress nehmen.
Im umgekehrten Fall: einer meiner Kunden hat meine Rechnung auf ein falsches Konto überwiesen --> rein rechtlich ist damit die Rechnung nicht bezahlt und ich kann die Summe gerichtlich einklagen (Mahnverfahren). Es ist doch völlig unerheblich, warum der Kunde meine Rechnung nicht bezahlt! Egal ob er nicht will, nicht kann oder zu doof ist.
Und wenn der Kunde in China oder Dubai sitzt, dann habe ich immer ein höheres Risiko, dass ich bei Zahlungsausfall (warum auch immer) mit dem deutschen Recht nicht weit komme. Ich kann ja eine Hermes-Bürgschaft beim Bund beantragen.
Einer unserer Kunden ist KMW. Die haben ein PKI-System laufen. Wenn Du mit KMW verschlüsselt kommunizieren willst/ mußt, beantragt der KMW-Mitarbeiter intern für dich ein Zertifikat, du erhälst den Zugang zu einem Web-Interface und kannst dir dein Zertifikat erstellen und herrunterladen. Warum soll das nicht mit einem Partner in China oder Dubai funktionieren? Du lädst doch nur deine Zertifikatsdatei herrunter und installierst sie in deinem Mailsystem. Habe ich gerade erst vorgestern bei einem Mitarbeiter gemacht.
Jürgen
wenn in meiner Firma ein Mitarbeiter auf Grund solcher gefälschter eMail eine Rechnung auf das falsche Konto überweist, habe ich rein rechtlich die Rechnung noch nicht bezahlt und der Lieferant hat einen einklagbaren Rechtsanspruch auf ordnungsgemäße Begleichung seiner Rechnung. Mein Mitarbeiter hat "Mist gebaut". Wenn ich ihn vorher belehrt habe, kann ich ihn abmahnen und wegen "grober Fahrlässigkeit" in Regress nehmen.
Im umgekehrten Fall: einer meiner Kunden hat meine Rechnung auf ein falsches Konto überwiesen --> rein rechtlich ist damit die Rechnung nicht bezahlt und ich kann die Summe gerichtlich einklagen (Mahnverfahren). Es ist doch völlig unerheblich, warum der Kunde meine Rechnung nicht bezahlt! Egal ob er nicht will, nicht kann oder zu doof ist.
Und wenn der Kunde in China oder Dubai sitzt, dann habe ich immer ein höheres Risiko, dass ich bei Zahlungsausfall (warum auch immer) mit dem deutschen Recht nicht weit komme. Ich kann ja eine Hermes-Bürgschaft beim Bund beantragen.
PKI mit Kunde in China ???
Einer unserer Kunden ist KMW. Die haben ein PKI-System laufen. Wenn Du mit KMW verschlüsselt kommunizieren willst/ mußt, beantragt der KMW-Mitarbeiter intern für dich ein Zertifikat, du erhälst den Zugang zu einem Web-Interface und kannst dir dein Zertifikat erstellen und herrunterladen. Warum soll das nicht mit einem Partner in China oder Dubai funktionieren? Du lädst doch nur deine Zertifikatsdatei herrunter und installierst sie in deinem Mailsystem. Habe ich gerade erst vorgestern bei einem Mitarbeiter gemacht.
Jürgen
Insofern ist es schon schlecht gelaufen, dass die de-mail an die Wand gefahren haben. Aber das war tatsächlich ein Stück weit zu umständlich ...
LG, Thomas
LG, Thomas
Zitat von @keine-ahnung:
Insofern ist es schon schlecht gelaufen, dass die de-mail an die Wand gefahren haben. Aber das war tatsächlich ein Stück weit zu umständlich ...
Insofern ist es schon schlecht gelaufen, dass die de-mail an die Wand gefahren haben. Aber das war tatsächlich ein Stück weit zu umständlich ...
de-mail war eine Totgeburt. Da wollte jemand einen Esel zeugen, der Dukaten ###t, und hat dabei die Sicherheit beim Design vernachlässigt. (Und hat vor allem auch juritische Probleme unterschlagen).
lks
Moin,
das ist doch ein ziemlich alter Hut.
Ist der Mailsetup auf dem Stand der Zeit, macht man DKIM, DMARC und SPF. Fertig.
Damit werden keine Mails von falschen Mailservern angenommen, wenn man es richtig konfiguriert. Einmal richtig eingerichtet läuft das wie von selbst. Jetzt muss der Kunde nur seine Mailserver entsprechend konfiguriert haben. Hat er das nicht, kannst du nichts dagegen tun. Technisch hast du nämlich alle Standards für E-Mails in dieser Hinsicht erfüllt.
S/MIME ist hier schon Luxus. Immerhin kostet S/MIME gerne mal Geld, DMARC und Co., nicht.
Wenn dein Kunde hier der Fehler unterläuft ist das letztlich seine Schuld. Den Rest muss nun nicht mehr die IT klären, sondern die Anwälte und Geschäftsleitungen. Das kannst du völlig an dir vorbei gehen lassen.
Gruß
Chris
das ist doch ein ziemlich alter Hut.
Ist der Mailsetup auf dem Stand der Zeit, macht man DKIM, DMARC und SPF. Fertig.
Damit werden keine Mails von falschen Mailservern angenommen, wenn man es richtig konfiguriert. Einmal richtig eingerichtet läuft das wie von selbst. Jetzt muss der Kunde nur seine Mailserver entsprechend konfiguriert haben. Hat er das nicht, kannst du nichts dagegen tun. Technisch hast du nämlich alle Standards für E-Mails in dieser Hinsicht erfüllt.
S/MIME ist hier schon Luxus. Immerhin kostet S/MIME gerne mal Geld, DMARC und Co., nicht.
Wenn dein Kunde hier der Fehler unterläuft ist das letztlich seine Schuld. Den Rest muss nun nicht mehr die IT klären, sondern die Anwälte und Geschäftsleitungen. Das kannst du völlig an dir vorbei gehen lassen.
Gruß
Chris
Hallo,
Hier von Herrn Heinlein ein guter Vortrag zu SPF und DKIM.
https://www.youtube.com/watch?v=T1d7wTgBi28
Gerade in bezug auf weitergeleitete Mails ist SPF so eine Sache.
Wenn man sich einigt das man die Mails nur per PGP verschlüsselt und auch Änderungen daran nur auf diesem Wege kommuniziert kann man sich sicherer sein. Aber 100% gibts nirgends.
Gruß
Chonta
Ist der Mailsetup auf dem Stand der Zeit, macht man DKIM, DMARC und SPF. Fertig.
Gerade im Beispiel vom TO eben nicht, weil die Falshce Mail kamm ja NICHT mit der gefälschten Domain des Kunden vom TO sondern mit was anderem.Hier von Herrn Heinlein ein guter Vortrag zu SPF und DKIM.
https://www.youtube.com/watch?v=T1d7wTgBi28
Gerade in bezug auf weitergeleitete Mails ist SPF so eine Sache.
Wenn man sich einigt das man die Mails nur per PGP verschlüsselt und auch Änderungen daran nur auf diesem Wege kommuniziert kann man sich sicherer sein. Aber 100% gibts nirgends.
Gruß
Chonta
