RUS-CERT-1765 – Archivierte Meldung

Meldung Nr: RUS-CERT-1765

[CEO Fraud] Gefälschte E-Mails von Vorgesetzten mit Aufforderung, Geld auszugeben
(2020-05-19 20:32:16.769119+00)

Derzeit erhalten Angehörige der Uni Stuttgart E-Mail, die angeblich von einem Vorgesetzen stammt. Wenn auf sie geantwortet wird, entsteht eine kurze Konversation an deren Schluss der Empfänger aufgefordert wird, Geschenkgutscheine zu erwerben und an den Sender zu schicken. Es wird versprochen, die Auslagen zu erstatten, "wenn ich im Büro bin". Diese Konversationen erfolgen wahlweise auf Englisch oder Deutsch. ACHTUNG! Es handelt sich um einen Betrugsversuch (sog. CEO Fraud). Befolgen Sie die Bitten keinesfalls sondern fragen Sie bei der betreffenden Person nach oder melden Sie den Vorgang dem RUS-CERT!

Inhalt

Zusammenfassung
Beschreibung
Beispiel eines Korrespondenzverlaufs auf Deutsch
Beispiel eines Korrespondenzverlaufs auf Englisch
Gegenmaßnahmen

Melden Sie Ihren Verdachtsfall der Stabsstelle Informationssicherheit (RUS-CERT)

Weitere Information zu diesem Thema

Zusammenfassung

Einfallstor:	E-Mail
Auswirkung:	Möglicher finanzieller Verlust
Typ:	CEO Fraud
Was tun?	Meldung an das RUS-CERT

Beschreibung

Zur Zeit werden E-Mails von Betrügern an Angehörige der Universität Stuttgart verschickt, die den Anschein erwecken sollen, dass sie von einem Vorgesetzten stammen. Die Mailings sind gut recherchiert und vorbereitet, so dass korrekte Namen und Positionen der Vorgesetzten vorgetäuscht werden: etwa dem zur angegriffenen Person passenden Abteilungsleiter oder die Professorin ihres Instituts.

Die Konversationen verlaufen offenbar immer nach demselben Schema mit vorgefertigten Textbausteinen und beginnen auf Deutsch. Wenn von der angegriffenen Person auf Englisch geantwortet wird, wird auf Englisch umgeschaltet, wobei die englischen Texte offenbar als Vorlage für die deutschen Texte gedient haben. Das Deutsch liest sich ein Wenig holperig (siehe die Beispiele weiter unten).

Zunächst wird behauptet, dass die vorgeblich vorgesetzte Person in einer Sitzung unbekannter Länge säße und sich daher ein Telefonat verböte. Dann wird darum gebeten, ganz diekret eine dringende Aufgabe für den Vorgesetzten zu erledigen, die dieser nicht selbst erledigen kann, weil er/sie in der Sitzung sitze. Der Angegriffene soll Geschenkgutscheine kaufen und per Mail an den Angreifer schicken, der sie "dringend" und unverzüglich an einen Kollegen weiterschicken muss. Es wird versprochen, die Auslagen zu erstatten "wenn ich im Büro bin".

Geschenkgutscheine sind bares Geld wert und stellen daher einen realen Gegenwert dar.

Bei dieser Masche handelt es sich um einen Betrugsversuch, bei dem der Angegriffene um reales Geld gebracht werden soll. Falls die angegriffene Person tatsächlich Geschenkgutscheine kauft und deren Codes an den Angreifer weiterschickt, ist ihr Geld verloren, denn natürlich weiß der reale Vorgesetzte nichts von dieser Aktion und wird dem Mitarbeiter nicht seine Auslagen erstatten.

Beispiel eines Korrespondenzverlaufs auf Deutsch

Hier wird unter Verwendung fiktiver Namen aber real in Angriffen verwendeter Texte ein Beispiel angegeben, wie diese Konversation auf Deutsch abläuft:

Mitarbeiter: Hans Mustermann, Institut für Weinbau
Vorgesetzter: Professor Heinz Schenk, Institut für Weinbau, Dekan der Fakultät für Agrarwissenschaften

Kontaktaufnahme:
```
Von: Heinz Schenk <mailto:heinz.schenk.iweb.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 11:20 AM
An:  hans.mustermann@iweb.uni-stuttgart.de <mailto:hans.mustermann@iweb.uni-stuttgart.de>
Betreff: DRINGEND

Hallo Hans!  Bist du verfügbar ?

Heinz Schenk
Professor und Dekan
Fakultät für Agrarwissenschaften
Zimmer 13.302
Pfaffenwaldring 55
Universität Stuttgart
70569 Stuttgart
Deutschland
```
Man beachte dabei, dass die persönlichen Daten von Prof. Schenk alle einschließlich der Büroadresse stimmen. Diese Person existiert wirklich, ist Professor und Dekan und Hans ist auch tatsächlich Mitarbeiter an seinem Institut. Diese Daten sind leicht aus den Instituts- oder Fakultätswebseiten ermittelbar, was in diesem Fall zur Vorbereitung auch gemacht wurde.
Hier kann man sehen, dass diese Nachricht von einer Adresse kommt, die nicht zur Uni gehört. Dies ist ersichtlich am Adressteil nach dem @-Zeichen, hier @my.com.

Herr Mustermann antwortet, was er schreibt ist dabei offenbar nicht wirklich von Belang, es ist offenbar lediglich wichtig, ob er auf Deutsch oder Englisch antwortet.


Von "Hans Mustermann"<mailto:hans.mustermann@iweb.uni-stuttgart.de>
Gesendet: Wednesday, 20 May 2020 11:30 AM
An: Heinz Schenk <mailto:heinz.schenk.iweb.uni-stut@my.com>
Betreff: AW: DRINGEND

Hallo Herr Prof. Schenk,

ja, ich bin erreichbar, was kann ich für Sie tun?

Mit freundlichen Grüßen
-- 
Hans Mustermann			
Wissenschaftlicher Mitarbeiter		
Institut für Weinbau
Universität Stuttgart

Die zweite Mail des falschen Herrn Schenk ist offenbar ebenfalls ein Standardtext.


Von: Heinz Schenk <mailto:heinz.schenk.iweb.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 11:20 AM
An:  hans.mustermann@iweb.uni-stuttgart.de <mailto:hans.mustermann@iweb.uni-stuttgart.de>
Betreff: Re: AW: DRINGEND

Sie müssen eine Aufgabe für mich diskret erledigen.  Ich bin jetzt in
einer Besprechung. Anrufe sind verboten, daher kann ich Sie nur per
E-Mail kontaktieren. Ich habe keine Ahnung, wann wir die Dinge hier
erledigen werden. Ich brauche jedoch wirklich Ihre Hilfe bei etwas, das
meine dringende Aufmerksamkeit erfordert.

Heinz Schenk
Professor und Dekan
Fakultät für Agrarwissenschaften
Zimmer 13.302
Pfaffenwaldring 55
Universität Stuttgart
70569 Stuttgart
Deutschland

Ob nun geantwortet wird oder nicht, ist offenbar egal. Es folgt eine weitere Nachricht, die den eigentlichen Betrugsversuch enthält:


Von: Heinz Schenk <mailto:heinz.schenk.iweb.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 11:25 AM
An:  hans.mustermann@iweb.uni-stuttgart.de <mailto:hans.mustermann@iweb.uni-stuttgart.de>
Betreff: Re: AW: DRINGEND

Sie müssem mir helfen. Geschenkkarten aus jedem Geschäft zu bekommen.
Ich werde Sie erstatten, wenn ich im Büro bin.  Ich muss es an einen
Kollegen senden und es ist sehr wichtig, weil ich noch bei der
Besprechung bin und es so schnell wie möglich erhalten muss.  Kannst du
das bitte für mich tun?

Heinz Schenk
Professor und Dekan
Fakultät für Agrarwissenschaften
Zimmer 13.302
Pfaffenwaldring 55
Universität Stuttgart
70569 Stuttgart
Deutschland

Wenn nun Herr Mustermann Gutscheine im Internet kauft (etwa bei Amazon) und die Einlösecodes an den vermeintlichen Chef schickt, ist er sein Geld los.

Beispiel eines Korrespondenzverlaufs auf Englisch

Hier ein Beispiel mit neuen fiktiven Personen, wie die Korrespondez auf Englisch abläuft. Man erkennt, dass die hier verwendeten Texte offenbar die Vorlage für die relativ gute, im Detail jedoch holperigen deutschen Texte ist. Bemerkenswert ist, dass die Kontaktaufnahme auf Deutsch beginnt.

Mitarbeiter: Oliver Hardy, Institut für Schwarz-Weiß-Film
Vorgesetzte: Professorin Martina Hill, Institut für Schwarz-Weiß-Film, Prodekanin der Fakultät für Filmwissenschaften

Auch hier sind die persönlichen Daten der Vorgesetzten wohl recherchiert und stimmen bis auf Details im Vokabular.

Kontaktaufnahme (in Deutsch):


Von: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 10:12 AM
An:  oliver.hardy@iswf.uni-stuttgart.de <mailto:oliver.hardy@iswf.uni-stuttgart.de>
Betreff: DRINGEND

Hallo Oliver!  Bist du verfügbar ?

Martina Hill
Professor und Vizedekan
Fakultät für Filmwissenschaften
Zimmer 17.08
Keplerstraße 11
Universität Stuttgart
70174 Stuttgart
Deutschland

Herr Hardy antwortet auf Englisch, was dazu führt, dass die falsche Frau Hill auf Englisch umschaltet. Der Inhalt Herrn Hardys Nachricht scheint wieder eher unwichtig zu sein.


Von "Oliver Hardy"<mailto:oliver.hardy@iswf.uni-stuttgart.de>
Gesendet: Wednesday, 20 May 2020 10:22 AM
An: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Betreff: AW: DRINGEND

Hello Prof. Hill,

I apologize as I was in the cutting room, working on our newest project.
Now I am available, how may I help?

Best regards 
-- 
Oliver Hardy		
Institut fuer Schwarz-Weiss-Film
Universitaet Stuttgart

Die zweite Mail der angeblichen Frau Hill ist offenbar nun ein Standardtext in Englisch.


Von: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 10:23 AM
An:  oliver.hardy@iswf.uni-stuttgart.de <mailto:oliver.hardy@iswf.uni-stuttgart.de>
Betreff: Re: AW: DRINGEND

Okay, I need you to complete a task for me discreetly. I am in a meeting
now. Calls are prohibited, hence, I can only contact you via mail, I
have no idea when we will finish things here, however, I really need
your help with something that requires my urgent attention remotely.

Martina Hill
Professor und Vizedekan
Fakultät für Filmwissenschaften
Zimmer 17.08
Keplerstraße 11
Universität Stuttgart
70174 Stuttgart
Deutschland

Hier wird geantwortet.


Von "Oliver Hardy"<mailto:oliver.hardy@iswf.uni-stuttgart.de>
Gesendet: Wednesday, 20 May 2020 10:23 AM
An: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Betreff: AW: Re: AW: DRINGEND

Ok, I will try my very best.

Best regards
Ollie
-- 
Oliver Hardy		
Institut fuer Schwarz-Weiss-Film
Universitaet Stuttgart

Dies ruft aber nur die im Inhalt selbe Antwort wie oben hervor, nun aber auf Englisch. Auch diese Nachricht enthält den eigentlichen Betrugsversuch.


Von: Martina Hill <mailto:martina.hill.iswf.uni-stut@my.com>
Gesendet: Wednesday, 20 May 2020 10:23 AM
An:  oliver.hardy@iswf.uni-stuttgart.de <mailto:oliver.hardy@iswf.uni-stuttgart.de>
Betreff: Re: AW: Re: AW: DRINGEND

I need you to help me get  gift cards from any store, i will reimburse
you when i get to the office. I need to send it to a colleague and it is
very important cause i'm still at the meeting and i need to get it sent
Asap. Can you do that for me please ?

Martina Hill
Professor und Vizedekan
Fakultät für Filmwissenschaften
Zimmer 17.08
Keplerstraße 11
Universität Stuttgart
70174 Stuttgart
Deutschland

Diese Texte der Angreifer kamen in dieser oder nur leicht abgewandelter Form in allen bisher an uns gemeldeten Vorfällen vor.

Gegenmaßnahmen

Technisch gibt es so gut wie keine Gegenmaßnahmen gegen diese Art von Angriffen. Es gibt nur organisatorische Maßnahmen und die gute Informiertheit der Benutzer, die sie in die Lage versetzt, solche Angriffe rasch zu erkennen und abzuwehren. Da der Angriff nicht auf IT-Technik und ihren Schwachstellen sondern ausschließlich auf Verfahren des Social Engineering beruht, reicht das Erkennen der Absicht und Ignorieren der Nachrichten dafür aus. Dafür sollten folgende Regeln befolgt werden:

Seien Sie als Empfänger solcher Nachrichten wachsam! Sobald Sie auch nur den kleinsten Verdacht an der Plausibilität haben, werden Sie misstrauisch! Zweifeln sie lieber einmal zu oft als zu selten solche ungewöhnlichen Anliegen an.
Ein Punkt, der in vorliegendem Fall sofort stutzig machen sollte, ist die Absenderadresse, die nicht zur Uni Stuttgart gehört. Die Mail kommt aus der Domain my.com, ersichtlich an dem Adressteil nach dem @-Zeichen, hier @my.com. Hier würde man erwarten, dass die Adresse den Domain-Teil @uni-stuttgart.de haben würde. Jedoch ist eine in diesem Sinne unverdächtige Absenderadresse kein starkes Kriterium für die Echtheit einer Mail, da solche Adressen leicht gefälscht werden können. Näheres zu E-Mail-Adressen und der Analyse von E-Mail-Headers finden sie auf unserer Seite E-Mail-Header richtig lesen.
Sobald es um Geld geht, insbesondere Ihr Privatgeld, sollten bei Ihnen alle Alarmglocken läuten. Verifizeren Sie auf anderen Wegen, ob es sich um eine legitime Angelegenheit handelt. Insbesondere größere Beträge müssen Sie dazu bewegen, die Sache zu stoppen. Dasselbe gilt für Information, die geheim ist, insbesondere Zugangsdaten zu Systemen und Prozessen. Diese sollten niemals per E-Mail weitergegeben werden.
Fragen Sie die Person, mit der Sie gerade (angeblich) kommunizieren über einen anderen Kanal, z.B. Telefon (auch wenn das gerade angeblich "verboten" ist). Ziehen Sie Kollegen zu Rate. Wenn es ein legitimes Anliegen ist, wird Ihr Kommunikationspartner nichts gegen eine Verifikation haben.
Als Vorgesetzter: Sorgen Sie in Ihrem Zuständigkeitsbereich für eine Atmosphäre, in der sich Mitarbeiter trauen dürfen, bei Anweisungen oder Bitten von Ihnen nachzufragen. Nichts spielt CEO Fraud mehr in die Hände als eine Arbeitsatmosphäre, die verhindert, dass Mitarbeiter Ihre Anweisungen verifizieren, wenn Sie Zweifel an deren Plausibilität haben.
Melden Sie Ihren Verdachtsfall der Stabsstelle Informationssicherheit (RUS-CERT). Melden Sie lieber einmal zu oft, als einmal zu wenig. Schicken Sie dabei alle Mails, die Sie zu einem Fall erhalten haben mit und stellen Sie sicher, dass sie dabei alle Headers dieser Nachrichten mitschicken. Nur so sind wir in der Lage, die Herkunft einer Nachricht zu ermitteln und ggf. den Betreiber des sendenden Mailservers über die Aktivitäten zu informieren.

Weitere Information zu diesem Thema

Wikipedia: CEO Fraud
Wikipedia: Social Engineering
RUS-CERT: Wie komme ich an die Header einer Nachricht?
RUS-CERT: E-Mail-Header richtig lesen
RUS-CERT: SPAM und die Folgen
RUS-CERT: Viren, Würmer, trojanische Pferde

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1765