Trustwave warnt vor Fake-Rechnungen

Gefälschte Rechnungen, die per E-Mail verschickt werden, sind keine neue Betrugsmasche. In letzter Zeit hat der Sicherheitsspezialist Trustwave aber feststellen müssen, dass Cyberkriminelle wieder verstärkt gefälschte Rechnungen via E-Mail versenden. Besonders betroffen von dieser Betrugsmasche sind Unternehmen. Der Betrug läuft dabei immer nach demselben Muster ab:

• Der Angreifer startet eine Phishing-Kampagne, bei der Phishing-Emails mit einem Betreff wie "Office 365 Verifizierung", "IT Helpdesk Alert" oder "DocuSign" versendet werden.
• Das Opfer klickt auf den in der – scheinbar harmlosen – E-Mail enthaltenen Link und übermittelt seine Anmeldedaten auf einem gefälschten Webformular.
• Die Cyberkriminellen melden sich mit den übermittelten Daten am Postfach des Opfers an, zum Beispiel bei einem Office365- oder Outlook-Web-Access-Account. Der gesamte E-Mail-Verkehr wird nun überwacht bzw. an einen, von den Hackern kontrollierten, E-Mail-Account weitergeleitet.
• Bei der Überwachung achten die Cyberkriminellen besonders auf E-Mails, bei denen es um die Begleichung hoher Zahlungsaufforderungen geht.
• Die Cyberkriminellen täuschen nun vor, der entsprechende Kunde zu sein und fragen den Lieferanten nach einer Kopie der Rechnung. Diese Kopie wird nach der Zusendung geändert, indem eine neue Bankverbindung eingetragen wird.
• Danach wird eine weitere gefälschte E-Mail mit der geänderten Rechnung und der Bitte um umgehende Zahlung an den Kunden geschickt
• Der Kunde/das Opfer, das die Rechnung bereits erwartet, bemerkt nicht, dass die E-Mail gefälscht oder die Bankverbindung geändert wurde und überweist den entsprechenden Betrag. Ein anderer Weg, um gefälschte Rechnungen zu versenden, ist der Einsatz von Keylogging-Malware wie Java-basierte Remote-Access-Tools. Hierbei gehen die Angreifer ähnlich wie bereits oben beschrieben vor.

Sobald die Cyberkriminellen über die Anmeldeinformationen für das E-Mail-Postfach verfügen, melden sie sich dort an. Danach richten sie eine Weiterleitung der Nachrichten ein und beginnen mit der Überwachung des E-Mail-Verkehrs. Wenn Sie eine E-Mail mit einer Anfrage nach einer Rechnung entdecken, wählen sie zwischen folgenden Vorgehensweisen: Entweder löschen sie die ursprüngliche Anfrage und ersetzen sie mit einer eigenen E-Mail oder die schicken der ursprünglichen E-Mail schnell eine weitere hinterher.

In beiden Fällen wurde die E-Mail-Adresse im Vergleich zum Original leicht abgeändert, so dass der Lieferant im Regelfall nichts davon merkt und die gewünschte Originalrechnung an die Angreifer sendet. Diese erstellen ein neues PDF im selben Layout und senden es an den Kunden. Die Rechnung, die ja bereits erwartet wurde, wird anstandslos gezahlt. Nur kommt das Geld niemals auf dem Konto des Lieferanten an, sondern auf den Konten der Cyberkriminellen.

Wie man das Risiko minimiert, Opfer einer gefälschten Rechnung zu werden:

• Mitarbeiter in der Buchhaltung über diese Art von Rechnungsbetrug informieren.
• Mitarbeitern die Anweisung geben, Rechnungen und Überweisungsdetails genau zu untersuchen. Passen diese zu früheren Geschäften? Sehen die Bankdaten logisch aus?
• Im Zweifelsfall beim Lieferanten telefonisch rückversichern, ob die Rechnung wirklich versendet wurde.
• E-Mail-Adresse des Absenders sorgfältig überprüfen.
• Office-365-Konten nur mit Multi-Faktor-Authentifizierung nutzen
• IP-Bereiche beschränken, über die der Zugriff auf webbasierte E-Mail-Konten möglich ist und überlegen, diesen Zugriff nur über eine VPN-Verbindung zu erlauben.
• Automatische Weiterleitungsregeln von E-Mail-Konten überwachen.
• Eine Sicherheitslösung wie Trustwave Secure Email Gateway (Trustwave SEG) einsetzen. Das Identifizieren einer betrügerischen Nachricht am Gateway kann sehr schwierig sein, da sie sich von einer "normalen" E-Mail kaum unterscheidet. Eine Lösung wie Trustwave SEG kann aber nach Merkmalen wie Domain-Rechtschreibfehlern, geänderten E-Mail-Adressen und ähnlichem suchen und so den E-Mail-Betrug rechtzeitig erkennen.