Einfach, fast schon zu einfach, ausgetrickst und schon ist man mittendrin statt nur dabei – im Cybercrime. Die Geschichte von einem gekaperten Gmail Account, zwei simplen Filtereinstellungen und einer fast gelungenen betrügerischen Finanztransaktion.
Damals bei Evernote, letzte Woche bei Adobe – man gewöhnt sich ja schon fast daran, dass die bei einem Unternehmen hinterlegten Kreditkarteninfos und Nutzerdaten durch kriminelle Kräfte oder sonst wie geartete Aktivisten (und Regierungsorganisationen) eingesammelt werden. Passwort zurücksetzen, Kreditkartenabrechnung kontrollieren und hoffen, dass nichts weiter passiert. Bislang wurde ich persönlich mehr oder weniger, wenn, immer anonymes Opfer solcher Machenschaften, ein Teil der Masse.
Doch die Geschichte, die sich zum Ende dieser Woche ereignet hat, hat mich ehrlich gesagt doch schockiert, da sie irgendwie sehr persönlich war.
Kurze Vorgeschichte: Ich habe viele Kollegen und Geschäftspartner im Ausland. Kommunikation läuft sehr effektiv über Email. Da läuft fast alles über die digitale Kommunikation und es ist ja auch bequem. Fax als Email, Rechnungen als Email, ja fast alles geht per Email. Persönlich bin ich eigentlich immer sehr auf Sicherheit bedacht und behaupte, dass ich mich auch einigermaßen auskenne. Dazu gehört auch, dass man den Kollegen im Ausland, wo leider zum Teil kaum ein Bewusstsein für „Sicherheit im Internet“ existiert, gerne den einen oder anderen Tipp gibt und zumindest darauf hinweist, dass ein Passwort gewisse Standards aufweisen sollte. Aber dem nicht genug: Hat der Rechner eine Macke, gibt man ihn in irgendeine Bude zur Reparatur, wo dann zwielichtige Gestalten und selbsternannte IT Experten wer weiss was mit dem Rechner anstellen. Oder man kauft sich ein iPhone, welches, erneut von einer zwielichtigen Gestalt als Verkäufer, gleich mit iTunes ID des Verkäufers und „must have apps“ eingerichtet wird. Lange rede kurzer Sinn: Das Verständnis für Sicherheit und Gefahren ist halt (fast) nicht vorhanden, es gibt noch viel zu lernen und man kann nur hoffen, dass es besser wird.
Jetzt aber die eigentliche Geschichte…
Einige Kollegen haben auch Konten in Deutschland und wollen ab und zu Überweisungen tätigen. Schnell ein Fax an die Bank und der Geldtransfer kann starten. So auch diesmal, nur, dass das Faxgerät kaputt ist. Also schnell ein Foto des Faxes mit dem Smartphone geschossen und an die Bank gemailt. Dann noch eine Email an Henning (also an mich), dass ich bitte der Bank sage, dass die Überweisung OK ist und möglichst schnell ausgeführt werden soll. Man hilft einem Freund ja gerne und ruft gleich die Bank an, dass man mit dem Kontoinhaber (der allen Beteiligten persönlich bekannt ist) in regem, stündlichen Email-Kontakt steht und die Überweisung in Ordnung ist. Doch die Bank besteht (zum Glück) auf ein „richtiges“ Fax. Also wieder Rück(Email)sprache mit dem Kollegen, dass man ein Fax für die Überweisung benötigt. „Aber das Fax ist leider kaputt und die Überweisung muss noch möglichst heute bei dem Empfänger (auf einem deutschen Konto) ankommen.“ Ich kann es mir vorstellen, denn das Faxgerät in unserem Büro in Maskat ist wirklich eine Katastrophe. Also versuche ich die heimische Bank zu überzeugen, die Überweisung auszuführen, ohne „richtiges“ Fax. Zwischenzeitlich tausche ich noch mehrere Emails mit meinem Kollegen aus und wir sprechen über verschiedene Projekte und die Geschichte geht in den zweiten Tag. Emails gehen hin und her. Alles ist wie immer, wir kennen uns ja schon lange und haben sicher tausende Emails ausgetauscht. Auch wieder die Frage, ob die Überweisung schon raus ist. „Leider nein“ sage ich und rufe noch mal die Bank an. Die wollen aber weiterhin ein Fax. Da man irgendwann das ganze Getippe leid ist greife ich nun zum guten alten Telefon. „Hallo, wir brauchen wirklich ein Fax von dir, sonst kann deine Überweisung nicht ausgeführt werden!“ – „Hallo, welche Überweisung?“ – „Na die, über die wir seit 2 Tagen sprechen (bzw. mailen)“ – „He, ich habe seit Tagen von dir keine Emails mehr bekommen„. Der Schock sitzt tief. Mit wem habe ich die letzten Tage korrespondiert? Wer hat meine Emails bekommen? Von wem habe ich Emails bekommen? Die waren doch alle von seiner Emailadresse (und dank der nützlichen Emailsoftware sogar mit seinem Profilbild daneben) – sah und sieht doch so ganz und gar Vertrauen erweckend aus; wie immer; überzeugend. Denkpause.
Nachdem im Anschluss an das bis dahin Unvorstellbare die Bank informiert wurde, dass wir hier einer Täuschung unterliegen, haben wir uns sofort auf Spurensuche begeben. Es war eigentlich klar, dass jemand seinen Email Account übernommen haben musste (was, siehe Oben, durchaus passieren kann, aber natürlich nicht passieren darf). Ich hab mir telefonisch die Zugangsdaten zum Gmail Account des Kollegen geben lassen und wollte schauen, was da los ist. Dachte mir aber, dass doch ein „Hacker“ sicher das Passwort ändert und ich keinen Zugang bekommen würde. Doch Überraschung, ich konnte mich einloggen. Ein voller, aktueller Posteingang, alles normal, nur keine Emails von mir!? Der Knaller kam dann beim durchforsten der Einstellungen, genauer, bei den eingerichteten Filtern. Dort war eingestellt, dass alle Emails von mir und der Domain der Bank sofort und ohne Umwege über den Posteingang in den Papierkorb verschoben werden. Nach kurzem Nachdenken die Erkenntnis: So einfach wie fast schon genial: Der rechtmäßige Nutzer bekommt von meinen und den Bank Emails gar nichts mit, sieht nichts auf seinem Handy oder im Posteingang, also „Email Business as usual“. Der hinterlistige Schurke hingegen konzentriert sich nur auf den Mülleimer und treibt dort sein falsches Spiel, schickt mir sogar plausible Emails zu anderen Inhalten. Das war eigentlich schon alles. Dabei hat sich der Schurke auch noch viel Mühe gegeben. Er hat wohl intensiv, wirklich sehr intensiv, im Email-Postfach gesucht. Sonst hätte er wahrscheinlich nicht ein altes Fax mit einer früheren Überweisungs-Anweisung gefunden, dieses heruntergeladen und mit Photoshop oder sonstiger Software fachmännisch für die angestrebte Überweisung modifiziert und an den richtigen Ansprechpartner der Bank gemailt… So einfach.
Um die Geschichte nicht noch länger zu machen: Natürlich hat der Kollege leichtfertig gehandelt und mit mehr Verständnis für Sicherheit wäre es wahrscheinlich nie zum kapern des Accounts gekommen; ich war fest davon überzeugt, dass die Emails von meinem Kollegen sind, irgendwie war es ein vertrauter Schreibstil (da hat sich einer richtig Mühe gegeben); die Bank hat zum Glück auf ein Fax bestanden und so die in der Summe wirklich nicht zu verachtende (!) Überweisung verhindert; die Analyse im Google Account hat gezeigt, dass es neben den berechtigten Logins aus Maskat und Schlangen an den Tagen auch Logins aus Malaysia und Toronto gab; die Kripo kümmert sich, als erster Anhaltspunkt dient der in der Überweisung genannte Empfänger (in einer deutschen Stadt eines Bundesligavereins); und ich habe viel gelernt…
… aber wer kann sich schon sicher sein, ob wirklich ich diesen Text geschrieben habe.