Finanzieller Betrug per Man-in-the-Middle und Quishing

Doch es gibt noch andere Möglichkeiten für Cyberkriminelle, Leute um ihr Geld zu bringen. Jede Einzelne von diesen aufzuzählen würde den Rahmen dieses Standpunkts sprengen, daher möchte ich hier auf zwei Angriffsformen eingehen, die in den letzten Monaten häufiger vorkommen: Man-in-the-Middle-Angriffe für Rechnungen sowie „Quishing“.

Erstere Angriffsform nutzt dabei klassische Ansätze des Social Engineering, Quishing nutzt die Bequemlichkeit, jedoch auch die schlechte bis nicht vorhandene Lesbarkeit von QR-Codes aus. Was genau steckt dahinter?

Man-in-the-Middle und Rechnungen

Auch wenn wir in der Informationssicherheit viele Formen des „Man-in-the-Middle“-Angriffs kennen, vom Abhören von Kommunikation bis hin zur Manipulation von Daten, sind diese meistens mit verschiedenen technischen Ansätzen auf Netzwerkebene verbunden.

Seit einigen Monaten gibt es eine neue Form von „Man-in-the-Middle“, die auch in den allgemeinen Medien zu finden ist: Hier werden E-Mail-Accounts von Dienstleistern und Handwerkern geknackt, meistens per Social Engineering oder Phishing.

Der Clou bei der Sache: Hat ein Angreifer Zugriff auf das E-Mail-Postfach einer Firma, werden bereits an Kunden versandte Rechnungen manipuliert und erneut verschickt. Die Manipulation betrifft dabei insbesondere die aufgeführte Bankverbindung. Natürlich ist es verdächtig, wenn ein Kunde zweimal die gleiche Rechnung mit einer anderen IBAN erhält. Daher wird (vom Angreifer) zusätzlich darauf hingewiesen, dass sich die Bankverbindung geändert hat und daher die Rechnungssumme auf das „neue“ Konto zu überweisen ist. Dieses Konto gehört natürlich nicht der kompromittierten Firma, sondern dem Angreifer oder einem Strohmann. Und hat das Opfer, dem die Rechnung zugeschickt wird, erst einmal bezahlt, kommt irgendwann die Mahnung mit den korrekten Bankdaten. Zu diesem Zeitpunkt ist das auf das falsche Konto überwiesene Geld schon weg.

Der Begriff „Man-in-the-Middle“ trifft es also schon recht gut, und es gibt viele Parallelen zu Man-in-the-Middle-Angriffen z.B. auf Webseiten, bei denen ein Angreifer die Daten, die ein Client von einem Server erhält, manipuliert. Hier haben sich allerdings Mechanismen wie TLS durchgesetzt und machen die Angriffe speziell im Internet deutlich schwieriger.

Bei der neuen Angriffsform spielt, wie so häufig, der menschliche Faktor eine große Rolle. Bei der kompromittierten Firma ist es ein eventuell schlecht abgesichertes E-Mail-Postfach, beim zahlenden Opfer das Vertrauen in seinen Dienstleister und die Angst, etwas falsch zu machen.

Kann man sich gegen diese Angriffsform schützen? Natürlich, und in vielen Fällen wird dies auch schon umgesetzt. Zum Schutz des E-Mail-Postfachs reichen die schon lange bekannten Ansätze von starken Passwörtern und einer Zweifaktor-Authentisierung häufig aus.

Beim „Zahlenden“ ist es das Vertrauen in einen bekannten Dienstleister, das ausgenutzt wird. Ein Schutz an dieser Stelle bedeutet nicht, dass niemandem mehr vertraut werden soll. Man sollte nur nicht jeder E-Mail blind Glauben schenken.

Ich persönlich würde sogar sagen, dass die richtige Art des Vertrauens in seinen Dienstleister helfen kann: Man sollte darauf vertrauen, dass dieser eine freundliche Rückfrage, ob die geänderten Daten in der „neuen“ Rechnung so korrekt sind, ebenso freundlich beantwortet. Wenn man dann noch auf die aktuellen Meldungen verweist und seine eigene Unsicherheit zugibt, wird man eventuelle Unklarheiten schnell und für alle Parteien zufriedenstellend beseitigen können. Im besten Fall werden die Änderungen bestätigt. Im schlimmsten Fall erhält der Dienstleister so einen Hinweis darauf, dass vielleicht etwas schiefgegangen ist.

Quishing – die neue Art des Phishings

Phishing und seine diversen Abarten, z. B. das Vishing, sind hinlänglich bekannt. Früher waren entsprechende E-Mails sehr einfach als solche zu erkennen, doch das ändert sich zunehmend, und der Einsatz von künstlicher Intelligenz (KI) macht es Cyberkriminellen noch einfacher.

Es gibt eine neue Form des Phishings, die zwar moderne Technologien benutzt, diese jedoch in der physischen Welt einsetzt, um wenig technikaffine Opfer um ihr Geld zu bringen.

Was ist also Quishing? Der Begriff setzt sich aus „QR-Code“ und „Phishing“ zusammen. QR-Codes werden dabei an verschiedenen Stellen im öffentlichen Raum eingesetzt, um Opfer auf nicht vertrauenswürdige Webseiten zu leiten. Die Idee ist dabei nicht neu. Schon vor Jahren wurde davor gewarnt, unbekannte QR-Codes zu scannen und den in diesen Codes hinterlegten Links zu folgen. Wo ist also neuerdings der Unterschied?

Bei der modernen Form des Quishings werden QR-Codes nicht einfach „irgendwo“ platziert, sondern über QR-Codes geklebt, die zu Zahlungsanbietern führen. Die aktuell häufigste Stelle sind Ladesäulen für Elektroautos. Manche Anbieter platzieren auf ihren Ladesäulen QR-Codes, damit (potentielle) Kunden einfach die notwendige App herunterladen oder über eine entsprechende Webseite bezahlen können. Häufig sind diese QR-Codes dabei Teil der Lackierung bzw. der Oberfläche der Ladesäule. Diese lassen sich aber leicht überkleben.

Damit ist der QR-Code für das Opfer an der erwarteten Stelle, und der im QR-Code hinterlegte Link führt auf eine Webseite, die einem „echten“ Zahlungsanbieter zum Verwechseln ähnlichsieht. Und hier passiert dann etwas zum oben erläuterten Man-in-the-Middle-Angriff Äquivalentes: Man zahlt auf ein Konto ein, dass einem Angreifer gehört. Je nach Art der gefälschten Webseite können sogar Kreditkarten-Daten abgegriffen und noch wesentlich mehr Schaden angerichtet werden.

Eine Ursache für den Erfolg dieser Angriffsform ist die Kombination aus Bequemlichkeit und schlechter Überprüfbarkeit bei QR-Codes. Wer kann einen QR-Code schon im Kopf in eine URL umwandeln?

Wie sieht hier der Schutz aus? Einerseits kann man (falls vorhanden) die App des jeweiligen Anbieters direkt aus dem jeweiligen App Store herunterladen. Andererseits kann man auch überprüfen, ob der QR-Code nur aufgeklebt ist. Wenn ja, ist das schon verdächtig. Hier hilft, wie im Fall oben, eine Nachfrage. Alternativ kann man auch zu einem dedizierten QR-Code-Scanner greifen und den Inhalt des QR-Codes überprüfen, bevor man die hinterlegte Webseite besucht!

Fazit

Die hier dargestellten Angriffe mögen aus IT-Sicht etwas seltsam wirken und sind vielleicht auch nicht so aufsehenerregend wie ein großer Ransomware-Befall, doch zeigen sie, dass Werkzeuge und Entwicklungen aus der IT sehr wohl auch im Bereich „Low-Tech“ Angriffe ermöglichen. Gerade das häufig fehlende oder unvollständige Verständnis der Technologie in Verbindung mit einem großen Vertrauen in eben diese Technologie können zu einem falschen Gefühl der Sicherheit führen.

Auf der anderen Seite kennen wir schon lange Gegenmaßnahmen, sowohl auf technischer als auch auf menschlicher Ebene. Wir sollten versuchen, diese Ansätze besser zu erklären. Und damit kommen wir auch zur effektivsten Maßnahme auf allen Ebenen: eine gute, zielführende und verständnisvolle Kommunikation. Das bedeutet nachfragen, wenn man sich unsicher ist, Technologie und ihre Grenzen offen kommunizieren und Maßnahmen erklären, insbesondere die Motivation dahinter sowie den Nutzen.