CyberangriffeFallstudie

Fallstudie: Cyberangriff hätte fast 4000€ Schaden zur Folge gehabt

Cyberangriff

Ein Kunde hatte großes Glück, sonst wären 4000€ Schaden durch einen Cyberangriff entstanden. Es gibt auch Möglichkeiten, solch ein Angriff wie den bei einem Kunden zu erkennen, ohne einen glücklichen Zufall als Helfer zu haben. In dieser Fallstudie können Sie lesen wie es bei dem Kunden abgelaufen ist und wie es durch unsere Beratung nicht dazu kommen müsste.

Cyberangriff durch gehacktes Mail Konto des Geschäftspartners

Einer unserer Kunden hat bei einem Unternehmen ein Produkt bestellt. Der Geschäftspartner unseres Kunden hat bereits viele andere Firmen beliefert und gute Referenzen.

Der Geschäftspartner machte sich direkt an die Arbeit und produzierte das bestellte Produkt. Wie vereinbart wurde die Rechnung im Anschluss vor der Auslieferung erstellt und per Mail an unseren Kunden gesendet. Inhalt der Mail war die Rechnung als PDF mit Firmenanschrift beider Firmen, das Logo des Geschäftspartners und die Zahlungshinweise wie IBAN/BIC. 

An etwas einer Stunde kam von derselben eMail Adresse des Geschäftspartners eine weitere Mail. Diesmal war in der Mail der Hinweis, dass in der vorherigen Mail auf der Rechnung die alten und nicht mehr gültige Bankverbindung war. Unser Kunde soll bitte die vorherige Mail ignorieren und die neue Rechnung als gültig betrachten. Der Inhalt der Rechnung war 100% identisch mit der ersten Rechnung. Der einzige feine Unterschied war die neue IBAN/BIC für die aktuell Bankverbindung.

Der Kunde hatte zum Glück der beiden Rechnung vertauscht und 4000€ an die Bankverbindung der ersten Mail überwiesen. Als unser Kunde den Fehler erkannt hatte, rief er den Geschäftspartner an und frage, ob das ein Problem wäre, wenn das Geld auf die alte Bankverbindung überwiesen wurde. Der Geschäftspartner fragte nur verblüfft, welche alte Bankverbindung. Beide waren geschockt, als sie erkannten, fast Opfer eines Cyberangriff geworden zu sein.

Analyse des Cyberangriff

Der Cyberangriff war sehr gut vorbereitet, denn es musste zuerst das eMail Konto des Geschäftspartners geknackt werden, um Zugriff darauf zu haben. Der Hacker kann ab diesem Zeitpunkt alle Mails die gesendet und empfangen werden mitlesen.

Warum ist das sehr gefährlich? Ganz einfach. Der Angreifer kann nun gezielt eMails versenden und den Geschäftspartner imitieren. Alle Mails, die der Angreifer versendet, wecken kein Misstrauen, weil die Mail von der erwartete Mailadresse versendet wird. Zum anderen der Inhalt der Mail zu dem bekannten Gesprächsverlauf passt.

Der Hack hat zudem Zugriff auf die versendete Datei (Rechnung) und kann diese zu seinen Gunsten verändern und versenden. Das Austauschen eines Textes in einer PDF Datei ist keine große Herausforderung. Für Sie sieht diese manipulierte Rechnung authentisch aus.    

Erkennungsmerkmale des Cyberangriff

Sie werden sich nun fragen, wie hätte das unser Kunde erkennen können. Wo hätten seine Alarmglocken läuten müssen?

Das erste wo die Alarmglocken schrillen sollten ist, wenn relativ kurz darauf eine weitere Rechnung mit geänderten Bankverbindungen kommen. Es ist auch wichtig zu prüfen, wie sich die Bankverbindung verändert hat. In dem Fall war es beim Kunden die Änderung von einer österreichischen Bankverbindung auf eine polnische Bankverbindung. Das ist sehr unüblich, wenn ein Geschäftspartner aus dem Inland eine Bankverbindung aus dem Ausland angibt.  

Klar kann ein Flüchtigkeitsfehler passieren, aber lieber 5 Minuten mit dem Geschäftspartner telefonieren und fragen, welche nun die richtige Rechnung ist, nachdem Sie zwei erhalten haben. Warum telefonieren? Wenn Sie eine Mail senden und der Angreifer bereits Zugang zum Postfach des Geschäftspartners hat, dann wird es sehr wahrscheinlich sein, dass der Hacker Ihnen antwortet. 😉

Verschlüsselte/Signierte Mails als Schutzmaßnahme

Neben der Erkennung eines solchen Cyberangriff, gibt es eine Möglichkeit dem Angreifer trotz Zugriff auf ein Mail Konto das Leben schwerer zu machen. 

Der Geschäftspartner hätte seine Mail digital Signieren können und der Kunde diese signierte Mail dadurch auf Echtheit prüfen können. Der Angreifer hätte dadurch neben dem Zugriff auf das Mail Konto auch Zugriff auf das Passwort für den privaten Schlüssel, mit der die Mail signiert wurde, haben müssen.

Am sichersten ist man, wenn das PDF Dokument verschlüsselt und signiert wurde. Dadurch kann der Angreifer das PDF nicht mehr unbemerkt nachträglich verändern. Details zu diesem Lösungsweg können Sie in diesem Artikel lesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.