Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Deutschlandfunk: Verbrauchertipp 2024-02-13T11:55: Neue Betrugsmasche: Gefälschte Rechnung per E‐Mail
9 views
Skip to first unread message
Helmut Waitzmann
Feb 13, 2024, 6:58:13 PM2/13/24
to
Offener Brief an die Hörfunkredaktion des Verbrauchertipps beim
Deutschlandfunk/Deutschlandradio:
Sehr geehrte Redaktion,
ich möchte zur Hörfunksendung im
Deutschlandfunk: Verbrauchertipp vom 2024-02-13T11:55+01:00: Neue
Betrugsmasche: Gefälschte Rechnung per E‐Mail
Verschiedenes anmerken:
Zunächst, weil dieser Text auch ins Usenet
(de.comp.security.misc) geht: Die Sendung kann nachträglich von
<https://www.deutschlandfunk.de/verbrauchertipp-neue-betrugsmasche-falsche-kontonummer-auf-der-rechnung-dlf-2a6116dd-100.html>
abgerufen werden.
Ein anonymisiertes Transkript folgt hier:
Redakteurin am Mikrofon:
Eine Studie des IT‐Branchenverbandes Bitkom aus dem vergangen
Jahr ergab, dass rund drei Viertel der befragten Unternehmen in
Deutschland von Cyber‐ oder Hacker‐Angriffen betroffen waren, und
auch bei Privatpersonen entstehen immer wieder Schäden.
Eine Masche, die nur sehr schwer zu erkennen ist: der Betrug mit
gefälschten Rechnungen im E‐Mail‐Postfach: Firmen verschicken
vermeintlich Rechnungen, das Geld wird überwiesen, aber auf ein
falsches Konto. Wie das abläuft, und wie man sich vor so einem
Betrug schützen kann, das schildert die Fachredakteurin im
Verbrauchertipp (Zuspielung):
Fachredakteurin:
Ein Bestattungsunternehmer hat eine Solaranlage installieren
lassen. Als die erste Abschlagszahlung fällig wurde, bekam er
die Rechnung per Mail und dann noch eine zweite.
Der Bestattungsunternehmer:
Ne halbe Stunde später etwa kam die korrigierte Rechnung über
dieselbe E‐Mail‐Adresse – allerdings mit dem Hinweis, dass in der
ersten Rechnung ein Fehler drin wäre und wir bitte jetzt diese
Rechnung verwenden sollen.
Fachredakteurin:
N.N. ist Bestattungsunternehmer in Oberschwaben in
Baden‐Württemberg und dachte sich: kann mal passieren. Er zahlte
die 17000 EUR – nach vier Wochen kam dann aber die Mahnung der
Solarfirma.
Der Bestattungsunternehmer:
Wir haben dann letztlich die Konto‐Verbindungen auch
abgeglichen. Und da haben wir festgestellt, dass das ein fremdes
Konto ist.
Fachredakteurin:
Die 17000 EUR des Bestattungsunternehmers waren weg: Zurückholen
konnte er sie nicht mehr.
N.N., Leiter der Abteilung für Wirtschaftskriminalität beim
Landeskriminalamt Baden‐Württemberg:
Je mehr Zeit vergangen ist, um so unwahrscheinlicher wird es,
weil das (??)[1] dann in große Geldwäsche‐Netzwerke eingeht.
Fachredakteurin:
N.N. leitet die Abteilung für Wirtschaftskriminalität beim
Landeskriminalamt Baden‐Württemberg. Wenn man gezahlt habe und
Zweifel aufkommen, dann rät er, sich sehr schnell an die Polizei
zu wenden.
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Dann haben wir die Gelegenheit, durch die internationale
Zusammenarbeit Konten auch in Europa zum Beispiel sehr schnell
einzufrieren, dass die Gelder nicht weitertransferiert werden.
Fachredakteurin:
Auch die eigene Bank könne Überweisungen innerhalb von 24 Stunden
noch zurückziehen. Das Problem bei den gefälschten Rechnungen:
Sie werden oft gar nicht als solche erkannt, denn die zweite
E‐Mail komme tatsächlich von der gleichen E‐Mail‐Adresse, möglich
über Hacker‐Angriffe im Verborgenen.
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Die haben einen normalen Zugriff, so, wie Sie[2] das auch haben
und haben das dann im Prinzip dauerhaft, so lang, bis Sie[2] halt
Ihr[2] Passwort ändern, ja.
Fachredakteurin:
Kurz, nachdem bei einer Firma eine Rechnung raus geht,
verschicken Betrüger dann über Mail‐Programme wie Outlook oder
Thunderbird die E‐Mail noch mal. Sie ändern die IBAN auf der
Rechnung im Anhang und weisen auch darauf hin wie bei dem
Bestattungsunternehmer, dass es sich bei der ersten Mail um einen
Fehler handelte. In solchen Fällen sollten Verbraucherinnen
stutzig werden und beim Absender anrufen und nachfragen, ob
wirklich die neue Kontonummer stimmt. Und der Polizist rät:
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Privat ist es natürlich wichtig, dass man zunächst einmal seine
Viren‐Software aktuell hält, und, dass man auch das
Betriebssystem, die Applikationen, mit denen man solche
Überweisungen vielleicht durchführt, dass das alles so auf dem
marktaktuellen Stand ist. Das ist sehr wichtig.
Fachredakteurin:
Auch ein doppelter Schutz bei Passwörtern hilft: die
Zwei‐Faktor‐Authentifizierung beim Einloggen, und auch sichere
komplizierte Passwörter regelmäßig ändern.
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Im Kern bietet sich das schon an: jeden Monat, jede zwei Monate
tatsächlich mal zu ändern, ja.
Fachredakteurin:
Insbesondere Firmen sollten ihre E‐Mail‐Zugänge regelmäßig
überprüfen.
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Wenn Sie ein Firmen‐Account haben zum Beispiel, dann könnte das
so ein IT‐Mitarbeiter feststellen, für wen Berechtigungen für Ihr
Konto vergeben sind, wo man dann schauen kann: Wer ist
berechtigt, E‐Mails zu lesen?
Fachredakteurin:
Alle großen Versicherer bieten inzwischen auch
Cyber‐Versicherungen an. Die Verbraucherzentrale rät aber, genau
zu prüfen: Was wird da eigentlich abgesichert? Manchmal seien
solche Schäden auch schon in bestehenden Verträgen wie in der
Haftpflicht abgedeckt. Für Privatpersonen lohne sich eine
Extra‐Cyber‐Versicherung aber nicht, so die Verbraucherzentrale.
Fußnoten:
[1] Die Aufnahme ist hier unverständlich.
[2] Der Bezug ist nicht klar: Beziehen sich die Pronomina auf
die Gesprächsparterin (denn ein anderes Bezugsziel wird nicht
genannt)? Dann wären sie groß zu schreiben, aber sie wären
inhaltlich falsch, denn es geht um einen betrügerischen Zugriff
auf das E‐Mail‐Postfach nicht des Nachrichten‐Empfängers sondern
des ‐Absenders. Oder beziehen sie sich auf die nicht genannte
Solarfirma, also den Absender? Dann wären sie klein zu
schreiben, und sie wären der inhaltlich richtige Bezug auf die
Solarfirma, die man den Leiter der Abt. Wirtschaftskriminalität
beim LKA BW hier aber nicht nennen hört. Wurde sie vielleicht
aus dem Interview herausgeschnitten, um Zeit zu sparen? Außerdem
wären die Pronomina dann sehr uneindeutig, weil sie sich mit
derselben grammatischen Form (dritte Person Mehrzahl) sowohl auf
die Betrogenen als auch auf die Betrüger beziehen könnten.
So weit das Transkript.
Meine Kritik an der Sendung:
Der Ratschlag des Polizeibeamten, als Privatmann auf dem eigenen
Rechner Viren(!)‐Software, Betriebssystem und Applikationen
aktuell zu halten, ist in diesem Zusammenhang mit dem
geschilderten Betrug etwa so sinnvoll, wie der Rat, die eigene
Haustür stets gut abzuschließen und auch keine Balkontür offen
stehen zu lassen: Sie mögen zwar, für sich genommen, sinnvoll
sein, sind beide aber kein Mittel gegen die betrügerische
Rechnung.
Ebenso verhält es sich mit dem Hinweis auf
Zwei‐Faktor‐Authentisierung beim Nachrichten‐Empfänger.
Der Rat, regelmäßig die Passwörter zu ändern, funktioniert nur
auf dem Papier, nicht aber in Wirklichkeit, weil Anwender nicht
bereit sind, sich alle zwei Monate neue komplizierte Passwörter
auszudenken und zu merken. Also werden sie sich, wenn sie ihre
Passwörter ändern, neue einfache Passwörter ausdenken und merken,
und die Sicherheit wird erst recht verloren sein.
(Wie immer wäre der Standard‐Ratschlag auch hier, einen
Passwort‐Manager zu verwenden. Dann braucht man sich nur ein
einziges Passwort, das dann auch ruhig länger sein darf, zu
merken. Die im Passwort‐Manager gespeicherten Passwörter können
dann beliebig kompliziert sein, ohne, dass man sich mit ihnen
herumquälen muss.)
Das Thema EDV‐Sicherheit ist schon schwierig genug, da muss man
im Rundfunk nicht auch noch ein Interview bis zur Uneindeutigkeit
einkürzen und dabei auch noch Nebelkerzen werfen.
Wer kommt eigentlich in diesem Betrugsfall für den Schaden auf?
Der Fehler ist ja eindeutig auf Seiten der Solarfirma passiert:
Ihr Postfach, nicht das ihres Kunden, wurde vom Angreifer
gekapert, und in ihrem Namen wurde eine betrügerische Nachricht
versandt. Damit müsste sie sich die gefälschte Rechnung
zuschreiben lassen und dürfte die verlorenen 17000 EUR nicht von
ihrem Kunden fordern.
Freundliche Grüße
Helmut Waitzmann
Deutschlandfunk/Deutschlandradio:
Sehr geehrte Redaktion,
ich möchte zur Hörfunksendung im
Deutschlandfunk: Verbrauchertipp vom 2024-02-13T11:55+01:00: Neue
Betrugsmasche: Gefälschte Rechnung per E‐Mail
Verschiedenes anmerken:
Zunächst, weil dieser Text auch ins Usenet
(de.comp.security.misc) geht: Die Sendung kann nachträglich von
<https://www.deutschlandfunk.de/verbrauchertipp-neue-betrugsmasche-falsche-kontonummer-auf-der-rechnung-dlf-2a6116dd-100.html>
abgerufen werden.
Ein anonymisiertes Transkript folgt hier:
Redakteurin am Mikrofon:
Eine Studie des IT‐Branchenverbandes Bitkom aus dem vergangen
Jahr ergab, dass rund drei Viertel der befragten Unternehmen in
Deutschland von Cyber‐ oder Hacker‐Angriffen betroffen waren, und
auch bei Privatpersonen entstehen immer wieder Schäden.
Eine Masche, die nur sehr schwer zu erkennen ist: der Betrug mit
gefälschten Rechnungen im E‐Mail‐Postfach: Firmen verschicken
vermeintlich Rechnungen, das Geld wird überwiesen, aber auf ein
falsches Konto. Wie das abläuft, und wie man sich vor so einem
Betrug schützen kann, das schildert die Fachredakteurin im
Verbrauchertipp (Zuspielung):
Fachredakteurin:
Ein Bestattungsunternehmer hat eine Solaranlage installieren
lassen. Als die erste Abschlagszahlung fällig wurde, bekam er
die Rechnung per Mail und dann noch eine zweite.
Der Bestattungsunternehmer:
Ne halbe Stunde später etwa kam die korrigierte Rechnung über
dieselbe E‐Mail‐Adresse – allerdings mit dem Hinweis, dass in der
ersten Rechnung ein Fehler drin wäre und wir bitte jetzt diese
Rechnung verwenden sollen.
Fachredakteurin:
N.N. ist Bestattungsunternehmer in Oberschwaben in
Baden‐Württemberg und dachte sich: kann mal passieren. Er zahlte
die 17000 EUR – nach vier Wochen kam dann aber die Mahnung der
Solarfirma.
Der Bestattungsunternehmer:
Wir haben dann letztlich die Konto‐Verbindungen auch
abgeglichen. Und da haben wir festgestellt, dass das ein fremdes
Konto ist.
Fachredakteurin:
Die 17000 EUR des Bestattungsunternehmers waren weg: Zurückholen
konnte er sie nicht mehr.
N.N., Leiter der Abteilung für Wirtschaftskriminalität beim
Landeskriminalamt Baden‐Württemberg:
Je mehr Zeit vergangen ist, um so unwahrscheinlicher wird es,
weil das (??)[1] dann in große Geldwäsche‐Netzwerke eingeht.
Fachredakteurin:
N.N. leitet die Abteilung für Wirtschaftskriminalität beim
Landeskriminalamt Baden‐Württemberg. Wenn man gezahlt habe und
Zweifel aufkommen, dann rät er, sich sehr schnell an die Polizei
zu wenden.
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Dann haben wir die Gelegenheit, durch die internationale
Zusammenarbeit Konten auch in Europa zum Beispiel sehr schnell
einzufrieren, dass die Gelder nicht weitertransferiert werden.
Fachredakteurin:
Auch die eigene Bank könne Überweisungen innerhalb von 24 Stunden
noch zurückziehen. Das Problem bei den gefälschten Rechnungen:
Sie werden oft gar nicht als solche erkannt, denn die zweite
E‐Mail komme tatsächlich von der gleichen E‐Mail‐Adresse, möglich
über Hacker‐Angriffe im Verborgenen.
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Die haben einen normalen Zugriff, so, wie Sie[2] das auch haben
und haben das dann im Prinzip dauerhaft, so lang, bis Sie[2] halt
Ihr[2] Passwort ändern, ja.
Fachredakteurin:
Kurz, nachdem bei einer Firma eine Rechnung raus geht,
verschicken Betrüger dann über Mail‐Programme wie Outlook oder
Thunderbird die E‐Mail noch mal. Sie ändern die IBAN auf der
Rechnung im Anhang und weisen auch darauf hin wie bei dem
Bestattungsunternehmer, dass es sich bei der ersten Mail um einen
Fehler handelte. In solchen Fällen sollten Verbraucherinnen
stutzig werden und beim Absender anrufen und nachfragen, ob
wirklich die neue Kontonummer stimmt. Und der Polizist rät:
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Privat ist es natürlich wichtig, dass man zunächst einmal seine
Viren‐Software aktuell hält, und, dass man auch das
Betriebssystem, die Applikationen, mit denen man solche
Überweisungen vielleicht durchführt, dass das alles so auf dem
marktaktuellen Stand ist. Das ist sehr wichtig.
Fachredakteurin:
Auch ein doppelter Schutz bei Passwörtern hilft: die
Zwei‐Faktor‐Authentifizierung beim Einloggen, und auch sichere
komplizierte Passwörter regelmäßig ändern.
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Im Kern bietet sich das schon an: jeden Monat, jede zwei Monate
tatsächlich mal zu ändern, ja.
Fachredakteurin:
Insbesondere Firmen sollten ihre E‐Mail‐Zugänge regelmäßig
überprüfen.
Leiter der Abt. Wirtschaftskriminalität beim LKA BW:
Wenn Sie ein Firmen‐Account haben zum Beispiel, dann könnte das
so ein IT‐Mitarbeiter feststellen, für wen Berechtigungen für Ihr
Konto vergeben sind, wo man dann schauen kann: Wer ist
berechtigt, E‐Mails zu lesen?
Fachredakteurin:
Alle großen Versicherer bieten inzwischen auch
Cyber‐Versicherungen an. Die Verbraucherzentrale rät aber, genau
zu prüfen: Was wird da eigentlich abgesichert? Manchmal seien
solche Schäden auch schon in bestehenden Verträgen wie in der
Haftpflicht abgedeckt. Für Privatpersonen lohne sich eine
Extra‐Cyber‐Versicherung aber nicht, so die Verbraucherzentrale.
Fußnoten:
[1] Die Aufnahme ist hier unverständlich.
[2] Der Bezug ist nicht klar: Beziehen sich die Pronomina auf
die Gesprächsparterin (denn ein anderes Bezugsziel wird nicht
genannt)? Dann wären sie groß zu schreiben, aber sie wären
inhaltlich falsch, denn es geht um einen betrügerischen Zugriff
auf das E‐Mail‐Postfach nicht des Nachrichten‐Empfängers sondern
des ‐Absenders. Oder beziehen sie sich auf die nicht genannte
Solarfirma, also den Absender? Dann wären sie klein zu
schreiben, und sie wären der inhaltlich richtige Bezug auf die
Solarfirma, die man den Leiter der Abt. Wirtschaftskriminalität
beim LKA BW hier aber nicht nennen hört. Wurde sie vielleicht
aus dem Interview herausgeschnitten, um Zeit zu sparen? Außerdem
wären die Pronomina dann sehr uneindeutig, weil sie sich mit
derselben grammatischen Form (dritte Person Mehrzahl) sowohl auf
die Betrogenen als auch auf die Betrüger beziehen könnten.
So weit das Transkript.
Meine Kritik an der Sendung:
Der Ratschlag des Polizeibeamten, als Privatmann auf dem eigenen
Rechner Viren(!)‐Software, Betriebssystem und Applikationen
aktuell zu halten, ist in diesem Zusammenhang mit dem
geschilderten Betrug etwa so sinnvoll, wie der Rat, die eigene
Haustür stets gut abzuschließen und auch keine Balkontür offen
stehen zu lassen: Sie mögen zwar, für sich genommen, sinnvoll
sein, sind beide aber kein Mittel gegen die betrügerische
Rechnung.
Ebenso verhält es sich mit dem Hinweis auf
Zwei‐Faktor‐Authentisierung beim Nachrichten‐Empfänger.
Der Rat, regelmäßig die Passwörter zu ändern, funktioniert nur
auf dem Papier, nicht aber in Wirklichkeit, weil Anwender nicht
bereit sind, sich alle zwei Monate neue komplizierte Passwörter
auszudenken und zu merken. Also werden sie sich, wenn sie ihre
Passwörter ändern, neue einfache Passwörter ausdenken und merken,
und die Sicherheit wird erst recht verloren sein.
(Wie immer wäre der Standard‐Ratschlag auch hier, einen
Passwort‐Manager zu verwenden. Dann braucht man sich nur ein
einziges Passwort, das dann auch ruhig länger sein darf, zu
merken. Die im Passwort‐Manager gespeicherten Passwörter können
dann beliebig kompliziert sein, ohne, dass man sich mit ihnen
herumquälen muss.)
Das Thema EDV‐Sicherheit ist schon schwierig genug, da muss man
im Rundfunk nicht auch noch ein Interview bis zur Uneindeutigkeit
einkürzen und dabei auch noch Nebelkerzen werfen.
Wer kommt eigentlich in diesem Betrugsfall für den Schaden auf?
Der Fehler ist ja eindeutig auf Seiten der Solarfirma passiert:
Ihr Postfach, nicht das ihres Kunden, wurde vom Angreifer
gekapert, und in ihrem Namen wurde eine betrügerische Nachricht
versandt. Damit müsste sie sich die gefälschte Rechnung
zuschreiben lassen und dürfte die verlorenen 17000 EUR nicht von
ihrem Kunden fordern.
Freundliche Grüße
Helmut Waitzmann
Helmut Waitzmann
Feb 13, 2024, 6:58:15 PM2/13/24
to
Wendelin Uez
Feb 14, 2024, 3:01:38 PM2/14/24
to
> Wer kommt eigentlich in diesem Betrugsfall für den Schaden auf?
Niemand. Wieso sollte jemand?
> Der Fehler ist ja eindeutig auf Seiten der Solarfirma passiert:
des Zahlers.
> Ihr Postfach, nicht das ihres Kunden, wurde vom Angreifer gekapert
Fremdnamen braucht man im einfachsten Fall lediglich einen Provider, der
dies erlaubt. Ansonsten gibt es auch andere Möglichkeiten, eine Mail unter
falschem Namen aufzugeben.
Der Angreifer in diesem Fall musste sich maximal "nur" als man in the middle
positionieren können, die Mail mit der Rechnung mitlesen, eine Kopie mit
seiner IBAN versehen und auch diese Kopie unter dem Firmennamen zu
versenden.
Oder, old school, jemanden in der Firma sitzen haben, der ihm die Rechnung
und ihren Versand anderweitig zugänglich macht
Da der Firma ein Versäumnis nachzuweisen wird schwierig bis unmöglich sein.
Die Forma haftet ja nicht für kriminelle Handlungen Dritter.
Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
Papier.
Thomas Einzel
Feb 14, 2024, 5:11:56 PM2/14/24
to
Am 14.02.2024 um 18:15 schrieb Michael 'Mithi' Cordes:
> Helmut Waitzmann füllte insgesamt 314 Zeilen u.a. mit:
>
> Date: Wed, 14 Feb 2024 00:01:29 +0100
> Message-ID: <83y1bok...@helmutwaitzmann.news.arcor.de>
>
> Date: Wed, 14 Feb 2024 00:06:00 +0100
> Message-ID: <83o7cjq...@helmutwaitzmann.news.arcor.de>
>
> War beim Ersten Posting eine falsche Bankverbindung angegeben?
Dahlenzreher bei der ABIN!
--
Thomas
> Helmut Waitzmann füllte insgesamt 314 Zeilen u.a. mit:
>
> Date: Wed, 14 Feb 2024 00:01:29 +0100
> Message-ID: <83y1bok...@helmutwaitzmann.news.arcor.de>
>
> Date: Wed, 14 Feb 2024 00:06:00 +0100
> Message-ID: <83o7cjq...@helmutwaitzmann.news.arcor.de>
>
> War beim Ersten Posting eine falsche Bankverbindung angegeben?
Dahlenzreher bei der ABIN!
--
Thomas
Helmut Waitzmann
Feb 15, 2024, 12:38:44 PM2/15/24
to
Michael 'Mithi' Cordes <ne...@2024-01.dvd-welt.de>:
gemacht.
> War beim Ersten Posting eine falsche Bankverbindung angegeben?
>
Nein. Aber möchtest du eine haben?
>
> SCNR
> Mithi
Ebenfalls.
Helmut
Crosspost & Followup-To: de.talk.misc
> Helmut Waitzmann füllte insgesamt 314 Zeilen u.a. mit:
>
> Date: Wed, 14 Feb 2024 00:01:29 +0100
> Message-ID: <83y1bok...@helmutwaitzmann.news.arcor.de>
>
> Date: Wed, 14 Feb 2024 00:06:00 +0100
> Message-ID: <83o7cjq...@helmutwaitzmann.news.arcor.de>
>
Da habe ich technisch beim Versand der Nachricht einen Fehler
>
> Date: Wed, 14 Feb 2024 00:01:29 +0100
> Message-ID: <83y1bok...@helmutwaitzmann.news.arcor.de>
>
> Date: Wed, 14 Feb 2024 00:06:00 +0100
> Message-ID: <83o7cjq...@helmutwaitzmann.news.arcor.de>
>
gemacht.
> War beim Ersten Posting eine falsche Bankverbindung angegeben?
>
>
> SCNR
> Mithi
Ebenfalls.
Helmut
Crosspost & Followup-To: de.talk.misc
Helmut Waitzmann
Feb 15, 2024, 2:42:13 PM2/15/24
to
"Wendelin Uez" <wu...@online.de>:
Absender der Nachricht auf seinem Schaden sitzen und muss ihn
selber tragen.
>> Der Fehler ist ja eindeutig auf Seiten der Solarfirma
>> passiert:
>>
>
> Weder eindeutig noch gesichert ein Fehler des Lieferanten,
>
Doch, das ist es: Der Lieferant hat es unterlassen,
sicherzustellen, dass den Empfänger betrügerische Rechnungen
nicht unentdeckt erreichen.
Um da seiner Pflicht nachzukommen, kann er entweder auf E‐Mail
ganz verzichten und mit dem Empfänger vereinbaren, dass die
Rechnung per Post kommt (das hat er offensichtlich nicht getan),
oder er kann einen E‐Mail‐Provider nutzen, der nur Nachrichten
mit korrektem Absender („From“‐ oder „Sender“‐Vorspannfeld)
verschickt und kryptografisch unterschreibt (DKIM), und dann
seinen Zugang zum E‐Mail‐Konto (starkes Passwort) sicher halten
(das hat er vermutlich auch nicht getan, denn der Zugang wurde
missbraucht), oder er leistet die kryptografische Unterschrift
(OpenPGP, S/MIME) selbst (das hat er auch nicht getan).
Ohne eine dieser Maßnahmen hat der Empfänger keine Möglichkeit,
echte von betrügerischen Nachrichten zu unterscheiden, und hat
deswegen nur zwei Möglichkeiten: Entweder akzeptiert er beide
Nachrichten – das hat er getan – oder keine von beiden.
Die zweite Möglichkeit für den Empfänger scheidet aus, weil mit
dem Lieferanten der Versand der Rechnung per E‐Mail vereinbart
war.
> wohl aber einer des Zahlers.
>
Das ganz gewiss nicht. Der Zahler hat alles getan, was er
konnte, um betrügerische Nachrichten von echten zu
unterscheiden. Alle kryptografischen Unterschriften, sofern
vorhanden, waren korrekt. Davon ist auszugehen, denn es wurde
laut dem Rundfunkbeitrag nichts Gegenteiliges ermittelt.
Indem der Absender dem Empfänger erlaubt hat, eine Rechnung per
E‐Mail überhaupt zu akzeptieren – denn sonst hätte er das nicht
vereinbaren dürfen – hat er zugestimmt, dass er alle Risiken, die
mit dem Versand per E‐Mail einhergehen, selber trägt.
>
>> Ihr Postfach, nicht das ihres Kunden, wurde vom Angreifer
>> gekapert
>>
>
> Da muß man kein Postfach kapern.
>
Richtig. Im geschilderten Fall war es aber so: Der Betrüger
nutzte einen Zugang zum E‐Mail‐Konto des Absenders, um die
richtige Rechnung zu lesen, eine Kopie zu erstellen, die
Bankverbindung zu ändern und die geänderte Kopie zu verschicken.
> Zum Versenden einer Mail unter einem Fremdnamen braucht man im
> einfachsten Fall lediglich einen Provider, der dies erlaubt.
>
Gibt es solche Provider noch, und werden sie noch akzeptiert?
Ich hätte jetzt erwartet, dass die ruckzuck auf schwarzen Listen
landen und ihre Nachrichten von allen gängigen E‐Mail‐Providern
abgelehnt werden.
> Ansonsten gibt es auch andere Möglichkeiten, eine Mail unter
> falschem Namen aufzugeben.
>
>
> Der Angreifer in diesem Fall musste sich maximal "nur" als man
> in the middle positionieren können,
>
Genau das hat er getan, indem er einen Zugang zum E‐Mail‐Konto
des Absenders genutzt hat.
> die Mail mit der Rechnung mitlesen, eine Kopie mit seiner IBAN
> versehen und auch diese Kopie unter dem Firmennamen zu
> versenden.
>
Genau das hat er getan.
> Da der Firma ein Versäumnis nachzuweisen wird schwierig bis
> unmöglich sein.
>
Wenn die Logfiles des E‐Mail‐Providers bestätigen, dass der
Angreifer auf das E‐Mail‐Konto mit einem richtigen Passwort
zugegriffen hat, dann dürfte der E‐Mail‐Konto‐Inhaber den
Schwarzen Peter haben.
Wenn ihm die vom E‐Mail‐Provider angebotene Sicherheit nicht
genügt, muss er seine Nachrichten selber kryptografisch signieren
(beispielsweise nach dem OpenPGP‐Standard). Das hat er auch
nicht getan.
Das hätte es dem Angreifer verunmöglicht, eine Nachricht
unentdeckbar zu fälschen, und dem Empfänger ermöglicht, die
gefälschte Nachricht anhand der Signatur zu entlarven.
> Die Forma haftet ja nicht für kriminelle Handlungen Dritter.
>
Sie muss sich aber, wenn sie vom Empfänger verlangt, Rechnungen
per E‐Mail zu akzeptieren, Schäden, die daraus entstehen, dass
sie ihre Rechnungen nicht ausreichend sichert, selber zuschreiben
lassen.
> Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail
> zu akzeptieren.
>
Nein. Naiv ist es, solche Rechnungen ohne ausreichende Sicherung
per E‐Mail zu verschicken und vom Empfänger zu verlangen, sie zu
Nachrichten per E‐Mail nicht unentdeckbar gefälscht werden
können.
>> Wer kommt eigentlich in diesem Betrugsfall für den Schaden auf?
>>
>
> Niemand. Wieso sollte jemand?
>
Genau. Also bleibt, sofern der Betrüger nicht gefasst wird, der
>>
>
> Niemand. Wieso sollte jemand?
>
Absender der Nachricht auf seinem Schaden sitzen und muss ihn
selber tragen.
>> Der Fehler ist ja eindeutig auf Seiten der Solarfirma
>> passiert:
>>
>
> Weder eindeutig noch gesichert ein Fehler des Lieferanten,
>
sicherzustellen, dass den Empfänger betrügerische Rechnungen
nicht unentdeckt erreichen.
Um da seiner Pflicht nachzukommen, kann er entweder auf E‐Mail
ganz verzichten und mit dem Empfänger vereinbaren, dass die
Rechnung per Post kommt (das hat er offensichtlich nicht getan),
oder er kann einen E‐Mail‐Provider nutzen, der nur Nachrichten
mit korrektem Absender („From“‐ oder „Sender“‐Vorspannfeld)
verschickt und kryptografisch unterschreibt (DKIM), und dann
seinen Zugang zum E‐Mail‐Konto (starkes Passwort) sicher halten
(das hat er vermutlich auch nicht getan, denn der Zugang wurde
missbraucht), oder er leistet die kryptografische Unterschrift
(OpenPGP, S/MIME) selbst (das hat er auch nicht getan).
Ohne eine dieser Maßnahmen hat der Empfänger keine Möglichkeit,
echte von betrügerischen Nachrichten zu unterscheiden, und hat
deswegen nur zwei Möglichkeiten: Entweder akzeptiert er beide
Nachrichten – das hat er getan – oder keine von beiden.
Die zweite Möglichkeit für den Empfänger scheidet aus, weil mit
dem Lieferanten der Versand der Rechnung per E‐Mail vereinbart
war.
> wohl aber einer des Zahlers.
>
konnte, um betrügerische Nachrichten von echten zu
unterscheiden. Alle kryptografischen Unterschriften, sofern
vorhanden, waren korrekt. Davon ist auszugehen, denn es wurde
laut dem Rundfunkbeitrag nichts Gegenteiliges ermittelt.
Indem der Absender dem Empfänger erlaubt hat, eine Rechnung per
E‐Mail überhaupt zu akzeptieren – denn sonst hätte er das nicht
vereinbaren dürfen – hat er zugestimmt, dass er alle Risiken, die
mit dem Versand per E‐Mail einhergehen, selber trägt.
>
>> Ihr Postfach, nicht das ihres Kunden, wurde vom Angreifer
>> gekapert
>>
>
> Da muß man kein Postfach kapern.
>
nutzte einen Zugang zum E‐Mail‐Konto des Absenders, um die
richtige Rechnung zu lesen, eine Kopie zu erstellen, die
Bankverbindung zu ändern und die geänderte Kopie zu verschicken.
> Zum Versenden einer Mail unter einem Fremdnamen braucht man im
> einfachsten Fall lediglich einen Provider, der dies erlaubt.
>
Ich hätte jetzt erwartet, dass die ruckzuck auf schwarzen Listen
landen und ihre Nachrichten von allen gängigen E‐Mail‐Providern
abgelehnt werden.
> Ansonsten gibt es auch andere Möglichkeiten, eine Mail unter
> falschem Namen aufzugeben.
>
>
> Der Angreifer in diesem Fall musste sich maximal "nur" als man
> in the middle positionieren können,
>
des Absenders genutzt hat.
> die Mail mit der Rechnung mitlesen, eine Kopie mit seiner IBAN
> versehen und auch diese Kopie unter dem Firmennamen zu
> versenden.
>
> Da der Firma ein Versäumnis nachzuweisen wird schwierig bis
> unmöglich sein.
>
Angreifer auf das E‐Mail‐Konto mit einem richtigen Passwort
zugegriffen hat, dann dürfte der E‐Mail‐Konto‐Inhaber den
Schwarzen Peter haben.
Wenn ihm die vom E‐Mail‐Provider angebotene Sicherheit nicht
genügt, muss er seine Nachrichten selber kryptografisch signieren
(beispielsweise nach dem OpenPGP‐Standard). Das hat er auch
nicht getan.
Das hätte es dem Angreifer verunmöglicht, eine Nachricht
unentdeckbar zu fälschen, und dem Empfänger ermöglicht, die
gefälschte Nachricht anhand der Signatur zu entlarven.
> Die Forma haftet ja nicht für kriminelle Handlungen Dritter.
>
per E‐Mail zu akzeptieren, Schäden, die daraus entstehen, dass
sie ihre Rechnungen nicht ausreichend sichert, selber zuschreiben
lassen.
> Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail
> zu akzeptieren.
>
per E‐Mail zu verschicken und vom Empfänger zu verlangen, sie zu
akzeptieren.
> Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
> Papier.
>
Weil Aldi & Co. nicht so naiv ist, zu glauben, dass ungesicherte
> Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
> Papier.
>
Nachrichten per E‐Mail nicht unentdeckbar gefälscht werden
können.
Peter J. Holzer
Feb 15, 2024, 3:08:16 PM2/15/24
to
On 2024-02-15 19:37, Helmut Waitzmann <nn.th...@xoxy.net> wrote:
> "Wendelin Uez" <wu...@online.de>:
(Mail-)System des Lieferanten. In dem Fall nützt DKIM nichts (denn die
Mail kommt ja von einem authentifizierten und autorisierten Absender)
und selbst bei Einsatz von PGP oder S/MIME ist der Nutzen fraglich (je
nachdem, wie das technisch gelöst ist, hätte der Angreifer
möglicherweise seine Mail auch signieren können).
Der Punkt der übrig bleibt, ist "Zugang zum E‐Mail‐Konto sicher halten".
Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst zu
signieren. Das setzt zwar wiederum voraus, dass die fakturierende Stelle
sicher ist, aber da kann man leicht(er) für den Einsatz von
Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
hp
> "Wendelin Uez" <wu...@online.de>:
>>> Der Fehler ist ja eindeutig auf Seiten der Solarfirma
>>> passiert:
>>>
>>
>> Weder eindeutig noch gesichert ein Fehler des Lieferanten,
>>
>
> Doch, das ist es: Der Lieferant hat es unterlassen,
> sicherzustellen, dass den Empfänger betrügerische Rechnungen
> nicht unentdeckt erreichen.
>
>
> Um da seiner Pflicht nachzukommen, kann er entweder auf E‐Mail
> ganz verzichten und mit dem Empfänger vereinbaren, dass die
> Rechnung per Post kommt (das hat er offensichtlich nicht getan),
> oder er kann einen E‐Mail‐Provider nutzen, der nur Nachrichten
> mit korrektem Absender („From“‐ oder „Sender“‐Vorspannfeld)
> verschickt und kryptografisch unterschreibt (DKIM), und dann
> seinen Zugang zum E‐Mail‐Konto (starkes Passwort) sicher halten
> (das hat er vermutlich auch nicht getan, denn der Zugang wurde
> missbraucht), oder er leistet die kryptografische Unterschrift
> (OpenPGP, S/MIME) selbst (das hat er auch nicht getan).
So wie Du es geschildert hast, hatte der Angreifer Zugriff auf das
>>> passiert:
>>>
>>
>> Weder eindeutig noch gesichert ein Fehler des Lieferanten,
>>
>
> Doch, das ist es: Der Lieferant hat es unterlassen,
> sicherzustellen, dass den Empfänger betrügerische Rechnungen
> nicht unentdeckt erreichen.
>
>
> Um da seiner Pflicht nachzukommen, kann er entweder auf E‐Mail
> ganz verzichten und mit dem Empfänger vereinbaren, dass die
> Rechnung per Post kommt (das hat er offensichtlich nicht getan),
> oder er kann einen E‐Mail‐Provider nutzen, der nur Nachrichten
> mit korrektem Absender („From“‐ oder „Sender“‐Vorspannfeld)
> verschickt und kryptografisch unterschreibt (DKIM), und dann
> seinen Zugang zum E‐Mail‐Konto (starkes Passwort) sicher halten
> (das hat er vermutlich auch nicht getan, denn der Zugang wurde
> missbraucht), oder er leistet die kryptografische Unterschrift
> (OpenPGP, S/MIME) selbst (das hat er auch nicht getan).
(Mail-)System des Lieferanten. In dem Fall nützt DKIM nichts (denn die
Mail kommt ja von einem authentifizierten und autorisierten Absender)
und selbst bei Einsatz von PGP oder S/MIME ist der Nutzen fraglich (je
nachdem, wie das technisch gelöst ist, hätte der Angreifer
möglicherweise seine Mail auch signieren können).
Der Punkt der übrig bleibt, ist "Zugang zum E‐Mail‐Konto sicher halten".
Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst zu
signieren. Das setzt zwar wiederum voraus, dass die fakturierende Stelle
sicher ist, aber da kann man leicht(er) für den Einsatz von
Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
hp
Stephan Seitz
Feb 15, 2024, 3:10:00 PM2/15/24
to
Wendelin Uez <wu...@online.de> wrote:
> Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
> akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
> Papier.
Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
> Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
> akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
> Papier.
(bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
du das Geld dann überweisen sollst).
Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
wenn du die entsprechende App verwendest.
Stephan
--
| Stephan Seitz E-Mail: stse+...@rootsland.net |
| If your life was a horse, you'd have to shoot it. |
Marc Haber
Feb 16, 2024, 1:36:41 AM2/16/24
to
"Peter J. Holzer" <hjp-u...@hjp.at> wrote:
>Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst zu
>signieren. Das setzt zwar wiederum voraus, dass die fakturierende Stelle
>sicher ist, aber da kann man leicht(er) für den Einsatz von
>Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
>"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
>eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
Eine qualifizierte (sic!) elektronische Signatur war für
>Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst zu
>signieren. Das setzt zwar wiederum voraus, dass die fakturierende Stelle
>sicher ist, aber da kann man leicht(er) für den Einsatz von
>Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
>"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
>eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
E-Mail-Rechnungen in Deutschland auch lange vorgeschrieben; ihr Fehlen
hat die Rechnung nicht ungültig gemacht, aber sie war zum
Vorsteuerabzug nicht zu gebrauchen.
Das wurde von Millionen von Absendern UND von Millionen von Empfängern
jahrelang ignoriert, die Steuerprüfer haben da wohl auch nur in ganz
krassen Fällen draufgehauen, vor ein paar Jahren hat man diese
Anforderung dann endlich eingestampft.
Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Marc Haber
Feb 16, 2024, 1:37:52 AM2/16/24
to
Michael 'Mithi' Cordes <ne...@2024-01.dvd-welt.de> wrote:
>Helmut Waitzmann füllte insgesamt 314 Zeilen u.a. mit:
>
>Date: Wed, 14 Feb 2024 00:01:29 +0100
>Message-ID: <83y1bok...@helmutwaitzmann.news.arcor.de>
>
>Date: Wed, 14 Feb 2024 00:06:00 +0100
>Message-ID: <83o7cjq...@helmutwaitzmann.news.arcor.de>
>
>Helmut Waitzmann füllte insgesamt 314 Zeilen u.a. mit:
>
>Date: Wed, 14 Feb 2024 00:01:29 +0100
>Message-ID: <83y1bok...@helmutwaitzmann.news.arcor.de>
>
>Date: Wed, 14 Feb 2024 00:06:00 +0100
>Message-ID: <83o7cjq...@helmutwaitzmann.news.arcor.de>
>
>War beim Ersten Posting eine falsche Bankverbindung angegeben?
Das hat mir doch jetzt tatsächlich ein Schmunzeln abgenötigt. Vielen
Dank dafür!
Peter J. Holzer
Feb 16, 2024, 8:07:21 AM2/16/24
to
On 2024-02-16 06:36, Marc Haber <mh+usene...@zugschl.us> wrote:
> "Peter J. Holzer" <hjp-u...@hjp.at> wrote:
>>Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
>>"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
^^^^^^^^^^^
> "Peter J. Holzer" <hjp-u...@hjp.at> wrote:
>>Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
>>"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
>>eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
>
> Eine qualifizierte (sic!) elektronische Signatur war für
^^^^^^^^^^^^^
>
> Eine qualifizierte (sic!) elektronische Signatur war für
Ja, Du hast natürlich recht. Da haben die Finger was anderes getippt als
das Hirn gedacht hat.
hp
Marc Haber
Feb 16, 2024, 11:00:54 AM2/16/24
to
"Peter J. Holzer" <hjp-u...@hjp.at> wrote:
>On 2024-02-16 06:36, Marc Haber <mh+usene...@zugschl.us> wrote:
>> "Peter J. Holzer" <hjp-u...@hjp.at> wrote:
>>>Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
>>>"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
> ^^^^^^^^^^^
>>>eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
>>
>> Eine qualifizierte (sic!) elektronische Signatur war für
> ^^^^^^^^^^^^^
>Ja, Du hast natürlich recht. Da haben die Finger was anderes getippt als
>das Hirn gedacht hat.
Ich war mir nur nicht sicher ob in Österreich vielleicht andere
>On 2024-02-16 06:36, Marc Haber <mh+usene...@zugschl.us> wrote:
>> "Peter J. Holzer" <hjp-u...@hjp.at> wrote:
>>>Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
>>>"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
> ^^^^^^^^^^^
>>>eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
>>
>> Eine qualifizierte (sic!) elektronische Signatur war für
> ^^^^^^^^^^^^^
>Ja, Du hast natürlich recht. Da haben die Finger was anderes getippt als
>das Hirn gedacht hat.
Begrifflichkeiten ("Paradeiser", "Obers") in Gebrauch sind ;-)
Helmut Waitzmann
Feb 16, 2024, 4:41:28 PM2/16/24
to
"Peter J. Holzer" <hjp-u...@hjp.at>:
> So wie Du es geschildert hast, hatte der Angreifer Zugriff auf
> das (Mail-)System des Lieferanten. In dem Fall nützt DKIM nichts
> (denn die Mail kommt ja von einem authentifizierten und
> autorisierten Absender) und selbst bei Einsatz von PGP oder
> S/MIME ist der Nutzen fraglich (je nachdem, wie das technisch
> gelöst ist, hätte der Angreifer möglicherweise seine Mail auch
> signieren können).
>
>
> Der Punkt der übrig bleibt, ist "Zugang zum E‐Mail‐Konto sicher
> halten".
>
>
> Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst
> zu signieren. Das setzt zwar wiederum voraus, dass die
> fakturierende Stelle sicher ist, aber da kann man leicht(er) für
> den Einsatz von Hardware-Tokens argumentieren.
>
Danke für die Zusammenfassung. Es läuft immer darauf hinaus:
Ohne kryptografische Signatur können per E‐Mail verschickte
Daten unbemerkbar verfälscht werden.
Der Empfänger der Nachricht muss das Zertifikat (den öffentlichen
Schlüssel) des Absenders kennen. (Im geschliderten Fall könnte
das beispielsweise geschehen, indem der Lieferant der
Solaranlage, wenn er sie liefert, einen Zettel mit dem
Fingerprint seines Zertifikats mitbringt.)
Das System, das die kryptografische Signatur erstellt, darf nicht
kompromittiert sein und muss einen geeigneten Zugriffsschutz
bieten, damit der Eigentümer unter Kontrolle hat, welche Daten in
seinem Namen signiert werden.
Im geschilderten Fall hat es am Zugriffsschutz gemangelt
(schwaches Passwort).
Um mit EDV richtig umzugehen, muss man kein Digital Native sein;
vielmehr kommt es darauf an, kein Digital Naive zu sein.
> So wie Du es geschildert hast, hatte der Angreifer Zugriff auf
> das (Mail-)System des Lieferanten. In dem Fall nützt DKIM nichts
> (denn die Mail kommt ja von einem authentifizierten und
> autorisierten Absender) und selbst bei Einsatz von PGP oder
> S/MIME ist der Nutzen fraglich (je nachdem, wie das technisch
> gelöst ist, hätte der Angreifer möglicherweise seine Mail auch
> signieren können).
>
>
> Der Punkt der übrig bleibt, ist "Zugang zum E‐Mail‐Konto sicher
> halten".
>
>
> Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst
> zu signieren. Das setzt zwar wiederum voraus, dass die
> fakturierende Stelle sicher ist, aber da kann man leicht(er) für
> den Einsatz von Hardware-Tokens argumentieren.
>
Ohne kryptografische Signatur können per E‐Mail verschickte
Daten unbemerkbar verfälscht werden.
Der Empfänger der Nachricht muss das Zertifikat (den öffentlichen
Schlüssel) des Absenders kennen. (Im geschliderten Fall könnte
das beispielsweise geschehen, indem der Lieferant der
Solaranlage, wenn er sie liefert, einen Zettel mit dem
Fingerprint seines Zertifikats mitbringt.)
Das System, das die kryptografische Signatur erstellt, darf nicht
kompromittiert sein und muss einen geeigneten Zugriffsschutz
bieten, damit der Eigentümer unter Kontrolle hat, welche Daten in
seinem Namen signiert werden.
Im geschilderten Fall hat es am Zugriffsschutz gemangelt
(schwaches Passwort).
Um mit EDV richtig umzugehen, muss man kein Digital Native sein;
vielmehr kommt es darauf an, kein Digital Naive zu sein.
Peter J. Holzer
Feb 16, 2024, 5:08:54 PM2/16/24
to
On 2024-02-16 21:37, Helmut Waitzmann <nn.th...@xoxy.net> wrote:
> "Peter J. Holzer" <hjp-u...@hjp.at>:
>> So wie Du es geschildert hast, hatte der Angreifer Zugriff auf
>> das (Mail-)System des Lieferanten. In dem Fall nützt DKIM nichts
>> (denn die Mail kommt ja von einem authentifizierten und
>> autorisierten Absender) und selbst bei Einsatz von PGP oder
>> S/MIME ist der Nutzen fraglich (je nachdem, wie das technisch
>> gelöst ist, hätte der Angreifer möglicherweise seine Mail auch
>> signieren können).
>>
>>
>> Der Punkt der übrig bleibt, ist "Zugang zum E‐Mail‐Konto sicher
>> halten".
>>
>>
>> Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst
>> zu signieren. Das setzt zwar wiederum voraus, dass die
>> fakturierende Stelle sicher ist, aber da kann man leicht(er) für
>> den Einsatz von Hardware-Tokens argumentieren.
>>
>
> Danke für die Zusammenfassung. Es läuft immer darauf hinaus:
>
>
> Ohne kryptografische Signatur können per E‐Mail verschickte
> Daten unbemerkbar verfälscht werden.
Diese Betrugsmasche hätte allerdings mit per Post verschickter Rechnung
> "Peter J. Holzer" <hjp-u...@hjp.at>:
>> So wie Du es geschildert hast, hatte der Angreifer Zugriff auf
>> das (Mail-)System des Lieferanten. In dem Fall nützt DKIM nichts
>> (denn die Mail kommt ja von einem authentifizierten und
>> autorisierten Absender) und selbst bei Einsatz von PGP oder
>> S/MIME ist der Nutzen fraglich (je nachdem, wie das technisch
>> gelöst ist, hätte der Angreifer möglicherweise seine Mail auch
>> signieren können).
>>
>>
>> Der Punkt der übrig bleibt, ist "Zugang zum E‐Mail‐Konto sicher
>> halten".
>>
>>
>> Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst
>> zu signieren. Das setzt zwar wiederum voraus, dass die
>> fakturierende Stelle sicher ist, aber da kann man leicht(er) für
>> den Einsatz von Hardware-Tokens argumentieren.
>>
>
> Danke für die Zusammenfassung. Es läuft immer darauf hinaus:
>
>
> Ohne kryptografische Signatur können per E‐Mail verschickte
> Daten unbemerkbar verfälscht werden.
auf Papier (eventuell begleitet von einem "erklärenden" Telefonanruf)
genauso funktioniert. Ist ja nicht so, dass das fälschungssicher wäre.
hp
Helmut Waitzmann
Feb 16, 2024, 9:14:38 PM2/16/24
to
"Peter J. Holzer" <hjp-u...@hjp.at>:
Die Fälschung per Post würde vielleicht etwas erschwert, wenn die
Rechnung von Hand unterschrieben wäre (keine Fotografie der
Unterschrift!) und der Empfänger die Unterschrift des Absenders
kennte. Wohl aus diesem Grund habe ich in einer Bank schon die
Unterschriften der Mitarbeiter aushängen sehen.
Rechnung von Hand unterschrieben wäre (keine Fotografie der
Unterschrift!) und der Empfänger die Unterschrift des Absenders
kennte. Wohl aus diesem Grund habe ich in einer Bank schon die
Unterschriften der Mitarbeiter aushängen sehen.
Helmut Waitzmann
Feb 16, 2024, 9:45:12 PM2/16/24
to
Andreas Kohlbach <a...@spamfence.net>:
> Gerade neulich hatte ich irgendwo gelesen, dass vor dieser Masche
> in Kanada gewarnt würde: Kriminelle holen sich an Tagen, an denen
> bekannt ist, dass Rechnungen über Steuer oder so eingehen, Post
> aus den Briefkästen, und tauschen die gegen gefälschte Briefe mit
> Kontonummer des Betrügers aus. Wenn das auffliegt, hat dieser das
> Konto längst abgeräumt, und ist über alle Berge.
>
Und wenn es auf dem Steuerbescheid, wie so oft zu lesen, heißt:
„Dieser Steuerbescheid wurde maschinell erstellt und ist ohne
Unterschrift gültig“, muss der Betrüger noch nicht einmal die
Unterschrift der Steuerbeamten fälschen.
Wie ist das eigentlich? Ist der Steuerpflichtige, der aufgrund
des Betrugs und des maschinell erstellten, ohne Unterschrift
gültigen Steuerbescheids seine Steuer dem Betrüger statt dem
Finanzamt überwiesen hat, dem Finanzamt gegenüber aus dem
Schneider? Schließlich hat einerseits er – analog zum ausgangs
geschilderten Fall – keine Möglichkeit, den Betrug zu erkennen,
und andererseits das Finanzamt es unterlassen, den Bescheid
händisch zu unterschreiben (und dem Steuerpflichtigen eine
Unterschriftenprobe auszuhändigen).
Wenn der Schaden nicht so groß wäre, würde ich dem Betrüger
gratulieren, weil er an den Tag bringt, was schon lange im Argen
liegt.
Mit digitalen Methoden ist das Problem (s. o.) lösbar – wenn die
Beteiligten keine Digital Naives sind.
> in Kanada gewarnt würde: Kriminelle holen sich an Tagen, an denen
> bekannt ist, dass Rechnungen über Steuer oder so eingehen, Post
> aus den Briefkästen, und tauschen die gegen gefälschte Briefe mit
> Kontonummer des Betrügers aus. Wenn das auffliegt, hat dieser das
> Konto längst abgeräumt, und ist über alle Berge.
>
Und wenn es auf dem Steuerbescheid, wie so oft zu lesen, heißt:
„Dieser Steuerbescheid wurde maschinell erstellt und ist ohne
Unterschrift gültig“, muss der Betrüger noch nicht einmal die
Unterschrift der Steuerbeamten fälschen.
Wie ist das eigentlich? Ist der Steuerpflichtige, der aufgrund
des Betrugs und des maschinell erstellten, ohne Unterschrift
gültigen Steuerbescheids seine Steuer dem Betrüger statt dem
Finanzamt überwiesen hat, dem Finanzamt gegenüber aus dem
Schneider? Schließlich hat einerseits er – analog zum ausgangs
geschilderten Fall – keine Möglichkeit, den Betrug zu erkennen,
und andererseits das Finanzamt es unterlassen, den Bescheid
händisch zu unterschreiben (und dem Steuerpflichtigen eine
Unterschriftenprobe auszuhändigen).
Wenn der Schaden nicht so groß wäre, würde ich dem Betrüger
gratulieren, weil er an den Tag bringt, was schon lange im Argen
liegt.
Mit digitalen Methoden ist das Problem (s. o.) lösbar – wenn die
Beteiligten keine Digital Naives sind.
Peter J. Holzer
Feb 17, 2024, 6:44:02 AM2/17/24
to
On 2024-02-17 02:14, Helmut Waitzmann <nn.th...@xoxy.net> wrote:
> "Peter J. Holzer" <hjp-u...@hjp.at>:
>> On 2024-02-16 21:37, Helmut Waitzmann <nn.th...@xoxy.net> wrote:
>>> Danke für die Zusammenfassung. Es läuft immer darauf hinaus:
>>>
>>>
>>> Ohne kryptografische Signatur können per E‐Mail verschickte
>>> Daten unbemerkbar verfälscht werden.
>>>
>>
>> Diese Betrugsmasche hätte allerdings mit per Post verschickter
>> Rechnung auf Papier (eventuell begleitet von einem "erklärenden"
>> Telefonanruf) genauso funktioniert. Ist ja nicht so, dass das
>> fälschungssicher wäre.
>>
>
> Die Fälschung per Post würde vielleicht etwas erschwert, wenn die
> Rechnung von Hand unterschrieben wäre (keine Fotografie der
> Unterschrift!)
Nicht wirklich, weil
> "Peter J. Holzer" <hjp-u...@hjp.at>:
>> On 2024-02-16 21:37, Helmut Waitzmann <nn.th...@xoxy.net> wrote:
>>> Danke für die Zusammenfassung. Es läuft immer darauf hinaus:
>>>
>>>
>>> Ohne kryptografische Signatur können per E‐Mail verschickte
>>> Daten unbemerkbar verfälscht werden.
>>>
>>
>> Diese Betrugsmasche hätte allerdings mit per Post verschickter
>> Rechnung auf Papier (eventuell begleitet von einem "erklärenden"
>> Telefonanruf) genauso funktioniert. Ist ja nicht so, dass das
>> fälschungssicher wäre.
>>
>
> Die Fälschung per Post würde vielleicht etwas erschwert, wenn die
> Rechnung von Hand unterschrieben wäre (keine Fotografie der
> Unterschrift!)
> und der Empfänger die Unterschrift des Absenders kennte.
> Wohl aus diesem Grund habe ich in einer Bank schon die Unterschriften
> der Mitarbeiter aushängen sehen.
Schreiben ihrer Bank damit? Und selbst wenn: Wie groß ist die False
Positive/Negative-Rate beim Überprüfen von Unterschriften? Ich bin mir
nicht mal sicher, ob ich meine eigene Unterschrift zuverlässig von einer
Fälschung unterscheiden könnte.
hp
Wendelin Uez
Feb 20, 2024, 4:12:25 AM2/20/24
to
>> Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
>> akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung
>> in
>> Papier.
>
> Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
> (bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
> du das Geld dann überweisen sollst).
Was heißt u.a.? Zusätzlich? Welcher gewerbliche Verkäufer stellt den
>> akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung
>> in
>> Papier.
>
> Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
> (bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
> du das Geld dann überweisen sollst).
bitteschön keine Papierrechnung aus? Wenn der Verkäufer auf einem unsicheren
Zahlungsweg besteht, dann trägt er auch die Verantwortung dafür, sofern der
Kunde nicht fahrlässig oder grob fahrlässig handelt.
> Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
> wenn du die entsprechende App verwendest.
Kassenzettel ausgedruckt. Und auch auf elektronischem Weg bekommst du den
Kassenzettel nicht als fälschbare eMail, sondern kryptographisch gesichert
per Abruf vom Discounter-Server.
Jörg Lorenz
Feb 20, 2024, 4:54:22 AM2/20/24
to
On 15.02.24 21:09, Stephan Seitz wrote:
> Wendelin Uez <wu...@online.de> wrote:
>> Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
>> akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
>> Papier.
>
> Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
> (bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
> du das Geld dann überweisen sollst).
Mit Sicherheit nicht. Ganz generell sollte man sich überlegen, ob man
> Wendelin Uez <wu...@online.de> wrote:
>> Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
>> akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
>> Papier.
>
> Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
> (bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
> du das Geld dann überweisen sollst).
per ungeschütztem Mail Rechnungen akzeptieren will. Allenfalls bei per
MIME oder OpenPGP (wäre zu bevorzugen) abgesicherten/verschlüsselten
Rechnungen könnte man darüber reden.
> Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
> wenn du die entsprechende App verwendest.
--
"Ave Caesar! Morituri te salutant!"
Jörg Lorenz
Feb 20, 2024, 12:45:52 PM2/20/24
to
On 20.02.24 18:24, Andreas Kohlbach wrote:
> Dürfte "Quittung/Kassen-Bon" gemeint sein.
>
> Hier in Nordamerika kann ich bei einem Laden bei Vorzeigen einer
> Loyality-Card beim Self-Ceckout bestimmen, dass der Automat mir eine
> Quittung druckt, und/oder eine Mail schickt.
>
> Zahle ich an der Kasse, bekommt man nur die Quittung. Man kann seine
> Käufe aber online verfolgen, wenn man wieder seine Loyality-Card vorher
> scannen ließ.
Danke für die Erläuterung.
Das sind aber keineswegs betrügerische Rechnungen, die Transaktionen
auslösen können.
Gruss, Jörg
>
> Hier in Nordamerika kann ich bei einem Laden bei Vorzeigen einer
> Loyality-Card beim Self-Ceckout bestimmen, dass der Automat mir eine
> Quittung druckt, und/oder eine Mail schickt.
>
> Zahle ich an der Kasse, bekommt man nur die Quittung. Man kann seine
> Käufe aber online verfolgen, wenn man wieder seine Loyality-Card vorher
> scannen ließ.
Danke für die Erläuterung.
Das sind aber keineswegs betrügerische Rechnungen, die Transaktionen
auslösen können.
Gruss, Jörg
0 new messages