Das folgende reale Ereignis innerhalb der Berndorf Gruppe soll einmal mehr die Gefahr von Phishing-Mails und Logins, die ohne 2. Faktor abgesichert sind, aufzeigen. Ablauf, Zeitpunkte und Schadenshöhe entsprechen den Tatsachen und sind nicht erfunden.
Die Ausgangssituation
Ende September 2020 findet eine Konversation per eMail zwischen Mitarbeitern und Kunde bzgl. scheinbar ungerechtfertigter Verpackungskosten statt. Am 21.10. übernimmt der zuständige Kundenbetreuer, der bis dahin auf Urlaub war, sichert dem Kunden eine neue Auftragsbestätgung ohne Verpackungskosten zu und weist gleichzeit darauf hin, dass noch Rechnungen mit mehr als EUR 100k (2 Rechnungen, insgesamt 160k) offen sind. Der Kunde weist den Mitarbeiter darauf hin, dass noch bei anderen Aufträgen Verpackungskosten zu unrecht verrechnet wurden und ersucht um eine Gutschrift. Zusätzlich weist er darauf hin, dass lt. ihrer Buchhaltung keine Rechnungen offen sind und bittet um eine entsprechende Liste. Die Konversation geht noch ein paar Mal bzgl. Vertragsauslegungen hin und her.
Der Hack
Am 17.11. erhält unser Mitarbeiter in Phishing-Mail, scheinbar mit neuen Voice-Mails aus dem Office 365. Er wird zu einer manipulierten Seite umgeleitet und gibt seine Zugangsdaten ein. Die Angreifer kompromittieren unmittelbar danach den Account und beginnen die Mails mitzulesen. Parallel (als unangenehmer Zufall) wird das eMail-Schema zu dieser Zeit in der Tochtergesellschaft umgestellt.
Der Betrug
Am 1.12. steigen die Hacker in die Konversation ein, erstellen eine eMail-Regel, die sämtliche Mails vom Kunden in einen versteckten Unterordner umleiten (diese sind ab jetzt von unserem Mitarbeiter nicht mehr zu sehen) und ersuchen den Kunden die offenen Rechnungen dringend zu überweisen, allerdings auf ein anderes Konto, da durch eine "interne Überprüfung" derzeit keine Zahlungen auf die bekannte Bankverbindung möglich sind.
Der Kunde reagiert grundsätzlich richtig, wechselt den Kommunikationskanal und fragt per SMS "bzgl. der Überweisungsanforderung und ob die Änderung der eMail-Adresse korrekt ist" - unser Mitarbeiter bestätigt "die Änderung der Absende-Adresse". Darauf hin geht die Konversation wieder per eMail (an die Hacker) weiter.
Der Kunde fordert (ihrer Security-Policy gemäß und "um einem möglichen Betrug" vorzubeugen) die Rechnungen nochmals mit der geänderten Bankverbindung und eine Bestätigung der Bank, dass der Kontoinhaber unsere Gesellschaft ist. Rechnungen als auch Bestätigung werden gefälscht an den Kunden übermittelt. Dann wird Zeitruck aufgebaut.
Mehrfach fordern die Hacker eine Bestätigung, dass die Überweisungen durchgeführt wurden, der Kunde vertröstet noch ein paar Mal, da sie intern prüfen, die Hacker loben den "umsichtigen Umgang", ein Wochenende kommt noch dazwischen und am 10.12. bestätigt der Kunde, dass die Überweisung erfolgt ist. Zum Beweis übermittelt er die Durchführungsbestätigung der Bank. Die Hacker bedanken sich höflich und ziehen sich zurück.
Das Nachspiel
Anfang Jänner konfrontiert der Kunde unsere Gesellschaft mit der Vermutung, dass möglicherweise eine Kompromittierung eines Mail-Accounts bei uns stattgefunden hat. Die Bank hätte sich mit der Frage gemeldet, ob es üblich sei, dass derartige Beträge auf ein Privatkonto überwiesen werden. Unsere Geschäftsführung reagiert und schaltet den externen IT-Dienstleister ein. Dieser bestätigt Zugriffe von unüblichen IP-Adressen auf das betroffene Mail-Konto. Das Security Team der Berndorf AG wird aktiviert. Die Überprüfung der relevanten Log-Dateien bestätigen den Verdacht und eine forensische Untersuchung des Notebooks des Mitarbeiters fördert auch das auslösende Phishingmail und die manipulierte Loginseite im Browserverlauf zu Tage.
Wie ging es weiter?
Der Kunde sieht keinen Fehler bei sich, hält sich bedeckt und fordert eine Bestätigung, dass die "IT wieder sauber ist". Anzeigen bei der Polizei und der Datenschutzbehörde wurden durchgeführt. Wir versuchen zu klären, inwieweit die Versicherungen hier schadenersatzpflichtig sind, eine rechtlich nicht ganz eindeutige Situation. Rechsanwälte prüfen die Sachverhalte, die Versicherung erkennt keinen unmittelbaren Schaden und die Fronten verhärten sich. Nachdem klar ist, dass keine friedliche Einigung möglich ist und die Kosten auf allen Seiten nur deutlich steigen können, übernimmt die Versicherung "in Kulanz" einen Teil des Schadens.
Lessions learned?
Die Analyse zeigt hier eindeutig, dass bei einer Verkettung unglücklicher, zufälliger Ereignisse, auch bei der offensichtlichen Einhaltung von Security-Richtlinien, enorme finanzielle Schäden entstehen können. Phishing-Mails sind die Bedrohung Nr. 1 und werden immer besser.
Die Absicherung des Logins durch einen zweiten Faktor hätte diesen Betrug verhindert.