Es ist unwahrscheinlicher, dass sich ein Krimineller via Bruteforce an den Accounts eurer Kanzlei vergeht, als dass ihr zufällig in das Visier von Angreifern geratet, weil jemand auf eine Phishing-Mail hereingefallen ist. Zumal bereits Microsoft Entra Plan 1 bereits MFA, Conditional Access und Smart Lockout beinhalten, womit euer IT-Dienstleister euch schon ganz gut vor Bruteforce-Angriffen schützen kann. Fragt ihn mal, ob das konfiguriert ist.

Im Fall der üblichen Phishing-Attacken gibt der User sein Passwort unwissentlich selbst in das System des Angreifers ein. In diesem Fall spielt es dann keine Rolle, ob das Passwort "Passwort123" oder "X9$vQ7!mLp#2ZrT8@cW4^nK6&bY1*Df3$Hs9!JqR5%uV2@xE7#tM8^pL4&zN6*Gw" lautet.

Viel zu oft verwenden User das gleiche Passwort für verschiedene Systeme. Wenn eure User das Passwort, das sie beim zwielichtigen Asia-Online-Shop verwenden auch für die Systeme der Kanzlei verwenden, stellt das ein weiteres Risiko dar. An dieser Stelle nochmals der Hinweis auf: https://haveibeenpwned.com/

---

@agmü schrieb:
[...]
Die wohl häufigste Ursache - nach meiner Beobachtung aus den betreffenden Mandaten und Gesprächen mit Kripo-Beamten, die in diesem Bereich ermitteln - sind kompromittierte E-Mail-Konten, entweder beim Versender oder beim Empfänger.
[...]

… im aktuellen Fall geht es ja um einen ‚individualisierten‘ Angriff auf die E-Mail-Kommunikation zwischen einer Steuerkanzlei und dem einzelnen Mandanten

Die Rechnung im PDF-Format (aus DATEV EO-Comfort heraus) muss aus meiner Sicht ja ‚per Handarbeit‘ bearbeitet worden sein. Die originale Bankverbindung wurde aus dem Briefkopf gelöscht und ein eigener Text auf der Rechnung hinzugefügt. 

Könnte man nicht über die Analyse der E-Mail-Header in der Kanzlei und beim Mandanten dem (Um-)Weg der E-Mail auf die Spur kommen ?
Zwischen dem Absenden der E-Mail in der Kanzlei und dem Eingang der E-Mail im Postfach des Mandanten müsste ja eine Zeitspanne liegen, in der die E-Mail-Anlage manipuliert wurde.

Theoretisch könnte das auch bei einem der E-Mail-Provider gewesen sein. Dann hätte weder der Absender, noch der Empfänger der E-Mail eine Einflussmöglichkeit, außer eine starke Verschlüsselung (z.B. S/MIME) einzusetzen oder den Provider zu wechseln.

Die Identifizierung der Schwachstelle wird wohl die größte Herausforderung sein. Aber jeder der beteiligten E-Mail-Partner weist erstmal jede Schuld von sich, es sei denn, man hat mehrere oder gar viele ähnliche Vorfälle innerhalb der eigenen IT-Infrastruktur, die man keinem einzelnen externen Kommunikationspartner 'in die Schuhe schieben' kann.

Vielleicht gibt es eine Checkliste und/oder ein paar kleine Tools, mit denen jeder 'normale' Internet- und E-Mail-Nutzer einen ersten Sicherheitscheck starten kann, bevor gleich ein spezialisierter Dienstleister gerufen wird, der dann 'mit dem großen Besteck' anrückt und entsprechenden Aufwand treibt und entsprechende Kosten verursacht

(Nachtrag)

@vogtsburger  schrieb:

 

[…]

… im aktuellen Fall geht es ja um einen ‚individualisierten‘ Angriff auf die E-Mail-Kommunikation zwischen einer Steuerkanzlei und dem einzelnen Mandanten

---

Die Rechnung im PDF-Format (aus DATEV EO-Comfort heraus) muss aus meiner Sicht ja ‚per Handarbeit‘ bearbeitet worden sein. Die originale Bankverbindung wurde aus dem Briefkopf gelöscht und ein eigener Text auf der Rechnung hinzugefügt. 

[…]

Zwischen dem Absenden der E-Mail in der Kanzlei und dem Eingang der E-Mail im Postfach des Mandanten müsste ja eine Zeitspanne liegen, in der die E-Mail-Anlage manipuliert wurde

[…]

Ich konnte (natürlich) nicht widerstehen und habe mich auf die Suche nach der Quelle der Manipulation gemacht, obwohl es mich nicht persönlich betraf.

Mir wurden die von der Kanzlei gesendete und die vom Mandanten empfangene E-Mail inkl. der jeweiligen E-Mail-Anlage zwecks Überprüfung zur Verfügung gestellt

Das vorläufige Ergebnis:
die gesendete Rechnung der Kanzlei (PDF) war völlig ok und ‚unberührt‘, aber ca 4 Stunden nach dem Senden wurde die E-Mail-Anlage (die PDF) mit einem speziellen PDF-Editor geändert und neu gespeichert.

Ich vermute, dass die E-Mail mit einer versteckten „Regel“ extern weitergeleitet wurde. Das herauszufinden ist dann aber Sache des Mandanten.

Mir war es nur wichtig zu wissen, ob die Manipulation im Einflussbereich der Kanzlei oder des Mandanten lag.

"Ich vermute, dass die E-Mail mit einer versteckten „Regel“ extern weitergeleitet wurde."

Aber dann müßte sie im Postfach des Empfängers doch einen anderen Absender (als den Steuerberater) haben?

… wenn der Angreifer eine Regel erstellen konnte, hatte er vermutlich auch direkten Zugriff auf das E-Mail-Konto und kann die manipulierte PDF bzw. die gesamte, geänderte E-Mail direkt in den Posteingang kopieren …

… keine Ahnung, ob das tatsächlich so abgelaufen ist. Ich sehe nur das Ergebnis.

---

@petermäurer  schrieb:

"Ich vermute, dass die E-Mail mit einer versteckten „Regel“ extern weitergeleitet wurde."

 

Aber dann müßte sie im Postfach des Empfängers doch einen anderen Absender (als den Steuerberater) haben?

---

Ein Fall für die Kriminalforensiker.....

Aber es gibt ja noch die Journaldatei. Damit wäre dann der/die/das TäterIn überführt. 

Bei meinem uralten Mailprogramm kopiert man nicht so einfach in den Posteingang.

Jedenfalls geht es nicht ohne erhebliches Insiderwissen.

... wenn man vollen Zugriff auf "Microsoft 365" hat, so wie z.B. der Admin, kann man sehr viel sehen und sehr viel 'machen' 

... z.B. das Überwachungsprotokoll durchsuchen nach bestimmten Ereignissen

... aber dann geht es tatsächlich an's Eingemachte und erfordert viel spezielles KnowHow, z.B. mit PowerShell-Befehlen

Ok, Microsoft, neuere Versionen ...

Ich sage es ja immer, die "Sicherheitsupdates" verringern  oft die Sicherheit

---

@vogtsburger  schrieb:

---

... 

… im aktuellen Fall geht es ja um einen ‚individualisierten‘ Angriff auf die E-Mail-Kommunikation zwischen einer Steuerkanzlei und dem einzelnen Mandanten

...

---

Was verstehen sie unter "individualisierten Angriff"?  Ich würde davon ausgehen, dass es kein individueller Angriff auf genau diese Kommunikationspartner war, sondern dass einer der Beteiligten bzw. dessen System kompromittiert ist, sondern der Rechnungsbetrag den Schwellenwert der Angreifer überschritten hat, ab dem eine Rechnung manipuliert wird.

Wenn doch genau die Kommunikation zwischen den Beiden (Steuerkanzlei und konkreter Mandant) das Angriffsziel war, spräche einiges dafür, dass der Täter entweder bei einem der Beiden beschäftigt ist oder war.

---

@vogtsburger  schrieb:

---

...

Die Rechnung im PDF-Format (aus DATEV EO-Comfort heraus) muss aus meiner Sicht ja ‚per Handarbeit‘ bearbeitet worden sein. Die originale Bankverbindung wurde aus dem Briefkopf gelöscht und ein eigener Text auf der Rechnung hinzugefügt. 

...

Das lässt sich auch automatisieren - leider.

---

@vogtsburger  schrieb:

---

....

Könnte man nicht über die Analyse der E-Mail-Header in der Kanzlei und beim Mandanten dem (Um-)Weg der E-Mail auf die Spur kommen ?
Zwischen dem Absenden der E-Mail in der Kanzlei und dem Eingang der E-Mail im Postfach des Mandanten müsste ja eine Zeitspanne liegen, in der die E-Mail-Anlage manipuliert wurde.

 

Theoretisch könnte das auch bei einem der E-Mail-Provider gewesen sein. Dann hätte weder der Absender, noch der Empfänger der E-Mail eine Einflussmöglichkeit, außer eine starke Verschlüsselung (z.B. S/MIME) einzusetzen oder den Provider zu wechseln.

Die Identifizierung der Schwachstelle wird wohl die größte Herausforderung sein. Aber jeder der beteiligten E-Mail-Partner weist erstmal jede Schuld von sich, es sei denn, man hat mehrere oder gar viele ähnliche Vorfälle innerhalb der eigenen IT-Infrastruktur, die man keinem einzelnen externen Kommunikationspartner 'in die Schuhe schieben' kann.

Die Analyse der ORIGINAL Mails lässt den Zeitpunkt der Manipulation und - wenn's schlampig gemacht wurde - auch die Quelle ermitteln.

Auch der E-Mail-Provider kann die Schwachstelle sein.  Einer dieser Provider - so hat der KRIPO-Beamte berichtet - ist besonders häufig von solchen Fällen betroffen.  Was mich überrascht hat, denn es ist eigentlich kein kleiner Provider.  Ob der Wechsel des Providers tatsächlich im Ergebnis zielführend ist, will ich nicht abschließend beurteilen.  Selbst wenn beide beim gleichen Provider die Postfächer gehostet haben, bedeutet dies nicht, dass die Postfächer auch auf dem selben Versionsstand der Software laufen.

Tools die eine solche Manipulation zuverlässig verhindern gibt es nach meiner Kenntnis nicht wirklich.  Ein guter Schutz wäre die pdf.-Datei zu verschlüsseln und vor dem öffnen die Hash-Werte zu vergleichen.  Ansonsten hilft nur, soweit möglich die Übermittlung entweder über Portale, oder ggf. über die eRechnungsplattform der DATEV abzuwickeln.  Oder die Bankverbindung auf anderem Weg vorab mit dem Mandanten auszutauschen.

Ggf. kann im Mandatsvertrag die Bankverbindung genannt werden, verbunden mit dem Hinweis, dass eine Zahlung auf auf ein anderes Bankkonto nicht geeignet ist die Honorarforderung zu erfüllen und dann nochmals gezahlt werden muss. 

---

@agmü schrieb:
[...]
Was verstehen sie unter "individualisierten Angriff"?
[...]

---

... darunter verstehe ich, dass sich eine Person 'individuell' mit der Fälschung beschäftigt.

Die Original-Rechnung wird mit einem speziellen PDF-Editor geöffnet (im konkreten Fall ist es das Produkt "Infix Pro  7.5.1"), dann werden die Original-Bankverbindungen vom Briefformular entfernt und ein eigener Text inkl. der neuen Bankverbindung an einer passenden, freien Stelle auf der Seite hinzugefügt.  

... wenig 'Arbeit' und viel 'Vergnügen' (falls der Betrug funktioniert)

---

@agmü schrieb:
[...]
Auch der E-Mail-Provider kann die Schwachstelle sein.  Einer dieser Provider - so hat der KRIPO-Beamte berichtet - ist besonders häufig von solchen Fällen betroffen.  Was mich überrascht hat, denn es ist eigentlich kein kleiner Provider.
[...]

---

... ja, ich bin auch immer wieder entsetzt, dass die großen E-Mail-Provider so viel Spam und sonstige suspekte E-Mails 'zulassen'. Wenigstens die massenhaft verschickten Spammails müssten doch besser identifizierbar und blockierbar sein. 

---

@vogtsburger  schrieb:

---

 

---

... darunter verstehe ich, dass sich eine Person 'individuell' mit der Fälschung beschäftigt.

Die Original-Rechnung wird mit einem speziellen PDF-Editor geöffnet (im konkreten Fall ist es das Produkt "Infix Pro  7.5.1"), dann werden die Original-Bankverbindungen vom Briefformular entfernt und ein eigener Text inkl. der neuen Bankverbindung an einer passenden, freien Stelle auf der Seite hinzugefügt.  

 

Die Software Infix Pro scheint in der Mehrzahl der Fälle, in denen es zu Manipulationen kommt, eingesetzt zu werden. Spannend nur, dass in der offiziellen Release-Liste der Software zwischen der Version 7.4.4. und 7.6.0 eine Lücke vorhanden ist.  

und damit wirbt, dass

Eine "individuelle", d.h. von einer Person manuell durchgeführte Manipulation halte ich daher für eher unwahrscheinlich.

---

@vogtsburger  schrieb:

---

 

....

... ja, ich bin auch immer wieder entsetzt, dass die großen E-Mail-Provider so viel Spam und sonstige suspekte E-Mails 'zulassen'. Wenigstens die massenhaft verschickten Spammails müssten doch besser identifizierbar und blockierbar sein. 

 

---

kenne ich, derzeit wird ein Mandant konstant in den Spam-Ordner verwiesen, was einfach nur nervig ist.

gestern Abend habe ich mal 'spaßeshalber' so getan, als ob ich eine Echtzeitüberweisung eines (Mini-)Betrags an das falsche spanische Konto überweisen wollte, aber mit leicht verändertem Kontoinhaber

Vor der endgültigen Bestätigung erscheint ja dann nochmal ein Hinweis, dass der Name des Kontoinhabers nicht stimmt und die Frage, ob man trotzdem überweisen wolle.

Ich habe nicht überwiesen, da ich keine 'schlafenden Hunde' wecken wollte, aber es sieht für mich so aus, als ob das Konto tatsächlich immer noch existiert. Vermutlich wäre der Kontoinhaber aber nicht 'greifbar' oder es ist eine Person, die von ihrer Funktion als Geldweiterleitungsstelle nichts ahnt. 

was technisch machbar ist, wird für einen Fall unter 55 Länder betroffen: Amazon enttarnt FortiGate-Massenangriff - CHIP geschildert

@agmü ,

mich würde interessieren, ob Sie als RA es schonmal erlebt haben, dass ein Internet-Betrüger gefasst und bestraft wurde und dass er den angerichteten Schaden ersetzen musste.

… oder anders gefragt:

in welchen Fällen könnte eine Anzeige erfolgversprechend sein ?

Vor kurzem hat eine Verwandte ohne weitere ‚Klimmzüge‘ und ohne eigene Anzeige von der Bank über 900 € zurückerhalten, die von booking.com für ein paar angebliche Hotelübernachtungen in Holland abgebucht wurden.

… möglicherweise wurde der Fall aber von anderer Seite polizeilich weiterverfolgt, über die Bank oder über booking.com

Solche Vorkommnisse schädigen ja auch den Ruf einer Bank oder eines anderen Anbieters von Zahlungsdienstleistungen

Wenn Booking.com abbucht, ist es eine Lastschrift, die kann man doch immer (außer FirmenLS) stornieren.

Die Kreditkarte wurde belastet.

Die Abrechnung der privaten Kreditkarte kommt ja nur 1 mal pro Monat

... überraschenderweise wurde die Falschabbuchung anstandslos erstattet.

vielleicht  gibt es ja viel mehr Betrügereien mit geklauten Kreditkartendaten als gedacht. Die Kreditkartenanbieter werden vermutlich keine realen statistischen Zahlen veröffentlichen

@vogtsburger 

Naja, die Verschlüsselungskette ist bei Transportverschlüsselung nicht lückenlos, will sagen nicht E2E.

D.h., entweder ist der Angriff vor der Verschlüsselung passiert oder nach der Entschlüsselung.

Also entweder bereits im System des Absenders, bei Nichtverschlüsselung zwischen Absender und Mailprovider auch dort, bei den Mailprovider auf deren Systemen oder bei Nichtverschlüsselung zwischen Adressatenmailprovider und Adressaten und schließlich nach Entschlüsselung beim Adressaten.

Sofern Mailprogramme mit der Einstellung TLS-verschlüsselte oder auch nur SSL-verschlüsselte Übermittlung benutzt werden, können diese Wege ausgeschlossen werden. Man muss sich die Header-Daten der Emails anschauen, wo die Verschlüsselungsketten unterbrochen werden. Sind die Ketten zwischen den einzelnen Providern (und deren Transportrouten) verschlüsselt, hängt der Angreifen im System eines der Mailprovider. Sind die Ketten allerdings unvollständig verschlüsselt: Sch****!

Was ich auch immer in Schulungen sage: Wenn etwas anders ist als normal (z.B. eine nicht ungewöhnliche IBAN), dann stockt man kurz. Und dieses Stocken nehmt als Trigger und lasst die Mail überprüfen. Und ich habe immer daran gearbeitet, die Hemmschwelle für eine solche Frage herabzusetzen. Sprich, wenn die Mail korrekt war, die Rechnung nnicht manipuliert, habe ich immer die Kolleginnen gelobt, dass sie aufgepasst haben!

Das hat bei uns bisher gut funktioniert. Und meine Kolleginnen sind auch wesentlich besser geworden, was die Sicherheit einer Erkennung betrifft.

Ich weiß, die Statistik kann morgen bereits kippen, aber glaube schon etwas richtig zu machen.

QJ

---

@f_mayer  schrieb:
Erhöht die Verwendung von Zahlen und Sonderzeichen den Aufwand so viel mehr wie ein kleinerer Zeichensatz der dafür für ein längeres Passwort verwendet wird?

---

Bei klassischen Brute-Force-Attacken: ja. Da wird erst ein Wörterbuch der häufigsten Passwörter (12345, Passwort, Passwort1, …) durch probiert, dann der Duden (o.ä.) und zusammengesetzte Formen daraus, und dann erst fängst du an, zufällige Zeichenketten zu generieren und zu probieren. Und da ist "lilaBohnenSalatschüssel" viel schneller gefunden, als wenn du nur ein paar einfache Ersetzungen (o=0 usw.) einbaust.

Sowas wird heute aber nur noch gemacht, wenn du aus einem Leak die Liste verschlüsselter Passwörter vorliegen hast und beliebig viel Zeit eine "Gegenliste" zu erzeugen, mit der du sie abgleichen kannst. Im Alltag ist Phishing das deutlich größere Risiko.

---

@vogtsburger  schrieb:

@agmü ,

mich würde interessieren, ob Sie als RA es schonmal erlebt haben, dass ein Internet-Betrüger gefasst und bestraft wurde und dass er den angerichteten Schaden ersetzen musste.

 

Ich erinnere mich an insgesamt drei Fälle, bei denen der Mandant "schadlos" aus solchen Betrügereien hervorgegangen ist.  Im ersten Fall konnte der Inhaber des Bankkontos, der sich für die Betrugsmasche hat nutzen lassen, in Anspruch genommen werden.  In einem zweiten Fall wurde der Mandant von der Kripo kontaktiert, mit dem Schreiben: "im Rahmen der Ermittlungen haben wir eine Überweisung Ihrerseits festgestellt.  Bitte erläutern Sie, in welchem Zusammenhang die Überweisung erfolgte, da der Verdacht der Geldwäsche besteht." Und im letzten Fall hat die Bank keine Zahlungen mehr auf dem Konto angenommen.

---

@vogtsburger  schrieb:

...

… oder anders gefragt:

in welchen Fällen könnte eine Anzeige erfolgversprechend sein ?

 

Strafanzeigen sind immer "sinnvoll", wenn auch nicht immer erfolgreich.  Nur über solche Anzeigen lässt sich ein halbwegs objektives Bild ermitteln.  Ansonsten bedarf es der Spekulation über das "Dunkelfeld" bzw. die "Dunkelziffer".

Für Ermittlungsbehörden liefert jeder Fall ein Puzzlestück welches im Ergebnis zur Strafverfolgung und -verurteilung führen kann.  Gerne nenne ich das Beispiel der "GWE Wirtschaftsinformations GmbH" und meine angenehme Überraschung, als ich beim Warten auf den Flug im Handelsblatt den beigefügten Artikel gefunden habe.

ALLERDINGS:  für den einzelnen Geschädigten bedeutet dies nicht unbedingt eine Schadenwidergutmachung.

Das große Anbieter in solchen Fällen Zahlungen leisten hat in der Regel eher etwas mit Image-Überlegungen und Fehlern in den eigenen Prozessen zu tun, als dass bereits im Hintergrund erfolgreiche Ermittlungen gelaufen sind.  Kaum ein Anbieter wird freiwillg zugeben, dass seine Systeme kompromitiert werden konnten oder seine Kontrolle der Teilnehmer auf seiner Plattform unvollständig war.

(Ermittlungs-)Druck auf die Betrüger reduziert auch deren Anzahl, nicht nur dass manche gefasst werden, andere fangen erst gar nicht an oder steigen aus solange sie noch können.

Mandantin mit keiner direkten Vertragsbeziehung zur DATEV (und auch keinem erteilten SEPA-Lastschriftmandat) hat eine schöne E-Mail erhalten.

Diese Mail sieht anders aus als die, vor der die DATEV warnt. Ich hab nur den Screenshot gesehen, aber direkt gesagt, sie soll das Ding löschen und unter keinen Umständen den HTML Link klicken.

was für eine freche Bande

Gruß, vw

wenn nun noch Datev sprech oder Datev Verhalten dazu kommt:

wir möchten sie freundlich darauf aufmerksam machen, dass beim Zahlungsverzug die Möglichkeit besteht, dass ihr Kundenaccount bei uns gesperrt wird. 🤣

... und täglich grüßt das Murmeltier ... auf der Suche nach "Futter" ...

Die suspekte E-Mail kommt hier in einem privaten E-Mail-Postfach an, das nie genutzt wird.

Der 'schöne' Domain-Name ist nur seit längerem 'geparkt'. 

... aber bei einem genutzten E-Mail-Postfach könnte man die E-Mail in der Hitze des Gefechts evtl. für seriös halten.

'Selbstverständlich' führt der Link hinter dem Button "Verbindung aktualisieren" NICHT zu IONOS, sondern zu irgendwelchen Ganoven, die nur das Beste für ... ähm ... von uns wollen

---

Webseite Brute-Force-Angriffe

 

Es dient auch dazu, seine Kennwörter vor Brute-Force-Angriffe auf ungesalzene Passwort-Hashes zu schützen. Wer sich bei einem übel-programmierten Dienst mit seiner Standard-E-Mail-Adresse und seinem Standard-Passwort anmeldet, welches im schlimmsten Falle ein Wort aus dem Duden ist, hat verloren. "John the Ripper" hat auch schon vor 20 Jahren Passwörter aus Wortlisten binnen (Milli)Sekunden finden können. 

Passt zwar nur bedingt, aber hoch spannend:

https://www.heise.de/news/Behoerde-fuer-abgesicherte-Ausweise-geknackt-Millionen-Franzosen-betroffen-11270525.html

Also, "Auf in die Cloud" 😀