Hallo,

da ich es bisher nicht kannte:

Großkonzern fragt die Lieferung von Ware eines Hersteller an, den wir eigentlich nicht führen. Rund 40.000 Euro Einkaufswert.
Auffällig: Antwort-Emailadresse war ....@purchase-"großkonzern".com.
Beim Googeln findet man schnell den Lieferanten für dieses Produkt, einer erfolgreichen Geschäftsbeziehung steht also nicht im Weg?

Den Lieferanten und das Produkt gibt es aber gar nicht.
Was den "Lieferanten" aber nicht davon abhalten würde, sich die Bestellung per Vorkasse bezahlten zu lassen.

Also hätte man als "Zwischenhändler" die 40.000 Euro in den Sand gesetzt.

Viele Grüße

Johannes

Moin,

wow, dass ist in der Tat eine sehr geschickte Betrugsmasche, auf die - sauber umgesetzt - sicherlich welche reinfallen, weil sie das schnelle Geld wittern.

Auf dem ersten Blick würde ich sogar sagen, dass ist die raffinierteste Masche die ich in den letzten Jahren mitbekommen habe. Zeigt aber auch wieder wie wichtig es ist, alle Mitarbeiter zu sensibilisieren. Oftmals fällt sowas ja durch fehlerhafte Signaturen, komisches Wording und dergleichen auf...

regalboy hat geschrieben: ↑27. Sep 2022 10:28 Auffällig: Antwort-Emailadresse war ....@purchase-"großkonzern".com.

Die Masche ist nicht neu sondern fast so alt wie das Internet. Das Szenario ist hier ein neues, basiert aber einfach darauf, dass ein Mitarbeiter nicht richtig die Absenderadresse checkt.

Generell gilt aber: Was zu gut um wahr zu sein scheint, ist es meist auch Schnelles Geld und sowas vor allem da setzt bei manchen Menschen die Logik aus.

icstore hat geschrieben: ↑27. Sep 2022 12:22

regalboy hat geschrieben: ↑27. Sep 2022 10:28 Auffällig: Antwort-Emailadresse war ....@purchase-"großkonzern".com.

Die Masche ist nicht neu sondern fast so alt wie das Internet. Das Szenario ist hier ein neues, basiert aber einfach darauf, dass ein Mitarbeiter nicht richtig die Absenderadresse checkt.

Generell gilt aber: Was zu gut um wahr zu sein scheint, ist es meist auch Schnelles Geld und sowas vor allem da setzt bei manchen Menschen die Logik aus.

Ich würde das schonaufteilen in die Nutzung anderer Emailadressen (wenn die Betrüger clever gewesen wären hätten Sie als angezeigten "von Adresse" auch die Antwort an Adresse @purchase-"großkonzern".com verwendet.

Und den eigentlichen Betrug, für eine "Fremdbestellung" Vorkasse zu leisten, bei der die Ware und der Verkäufer Fake sind.

Der eigentliche Betrug ist hier irrelevant, denn man kann eine E-Mail Adresse nicht faken, so dass es 100% aussieht wie der echte Konzern, es sei denn man hackt das Postfach, das ist aber ein ganz höheres Level an Aufwand als schnell eine ähnliche Domain zu registrieren. Wenn der Mitarbeiter gut geschult ist merkt er sowas.

Selbst wenn das wirklich eine echte Firma wäre, würde ich skeptisch sein als solcher Mittelmann zu agieren, wieso bestellt die Firma nicht direkt beim Hersteller? (Insolvenz,Steuerumgehung,Geldwäsche,etc...)

icstore hat geschrieben: ↑27. Sep 2022 13:52 Der eigentliche Betrug ist hier irrelevant, denn man kann eine E-Mail Adresse nicht faken, so dass es 100% aussieht wie der echte Konzern, es sei denn man hackt das Postfach, das ist aber ein ganz höheres Level an Aufwand als schnell eine ähnliche Domain zu registrieren. Wenn der Mitarbeiter gut geschult ist merkt er sowas. ....

Du kennst von allen Konzernen und deren Firmengeflechten die 2nd level Domains?

2nd Level hat einen punkt. Also z.B. maxmustermann@purchase.siemens.de
purchase-siemens.de ist technisch gesehen eine fremde Domain, die jeder registrieren kann, wenn diese frei ist.

icstore hat geschrieben: ↑27. Sep 2022 13:52 Der eigentliche Betrug ist hier irrelevant, denn man kann eine E-Mail Adresse nicht faken, so dass es 100% aussieht wie der echte Konzern

Man kann die Absenderadresse mit ganz wenigen Klicks zumindest so gut faken dass zumindest 99% der User darauf hereinfällt. Die Mails von bill.gates@microsoft.com hatten wir schon vor 15 Jahren...

Ja, das ist richtig. Deshalb wenigstens die Nutzer, die Handelsbefugnisse über Firmengelder und solche Entscheidungen wie zum Betrug hier haben, sollte man darauf schulen sowas zu erkennen, bzw. sie sollten verdächtige Mails erstmal mit dem Chef/IT-Abteilung/etc prüfen.

icstore hat geschrieben: ↑27. Sep 2022 14:09 2nd Level hat einen punkt. Also z.B. maxmustermann@purchase.siemens.de
purchase-siemens.de ist technisch gesehen eine fremde Domain, die jeder registrieren kann, wenn diese frei ist.

Ob du es glaubst oder nicht - es gibt Firmen, die nutzen mehrere 2nd level domains.

Glaube ich schon, bleibt dann trotzdem dass allein schon so ein Konstrukt verdächtig ist, dann sollte man ja erst recht vorsichtig sein.

Wieso sollte eine Firma, die irgendein Produkt haben will, bei einem Zwischenhändler kaufen, der es sowieso nicht hat und somit zuerst mit dem Hersteller ein Geschäftsverhältnis schliessen muss, statt direkt beim Hersteller? Preise werden ja die selben (oder noch schlechter, denn du möchtest ja auch was verdienen), der Zwischenhändler kauft ja auch zum ersten mal beim Hersteller.

Aufpassen muss man immer, keine Frage..

icstore hat geschrieben: ↑27. Sep 2022 14:36 Wieso sollte eine Firma, die irgendein Produkt haben will, bei einem Zwischenhändler kaufen, der es sowieso nicht hat und somit zuerst mit dem Hersteller ein Geschäftsverhältnis schliessen muss, statt direkt beim Hersteller? Preise werden ja die selben (oder noch schlechter, denn du möchtest ja auch was verdienen), der Zwischenhändler kauft ja auch zum ersten mal beim Hersteller.

Zum Beispiel weil man nicht direkt beliefert wird? Den Fall hatten wir hier auch schon im Forum

Stimmt. Da habe ich nicht dran gedacht

langohr hat geschrieben: ↑27. Sep 2022 14:52

icstore hat geschrieben: ↑27. Sep 2022 14:36 Wieso sollte eine Firma, die irgendein Produkt haben will, bei einem Zwischenhändler kaufen, der es sowieso nicht hat und somit zuerst mit dem Hersteller ein Geschäftsverhältnis schliessen muss, statt direkt beim Hersteller? Preise werden ja die selben (oder noch schlechter, denn du möchtest ja auch was verdienen), der Zwischenhändler kauft ja auch zum ersten mal beim Hersteller.

Zum Beispiel weil man nicht direkt beliefert wird? Den Fall hatten wir hier auch schon im Forum

Oder weil man selbst immer nur innerhalb der EU / EFTA einkauft, viele Hersteller aber im Nicht-EU-Ausland sitzen.

marcibet hat geschrieben: ↑27. Sep 2022 14:16

icstore hat geschrieben: ↑27. Sep 2022 13:52 Der eigentliche Betrug ist hier irrelevant, denn man kann eine E-Mail Adresse nicht faken, so dass es 100% aussieht wie der echte Konzern

Man kann die Absenderadresse mit ganz wenigen Klicks zumindest so gut faken dass zumindest 99% der User darauf hereinfällt. Die Mails von bill.gates@microsoft.com hatten wir schon vor 15 Jahren...

Man kann eine E-Mail-Adresse sehr wohl zu 100% faken, dass es so aussieht.
E-Mails sind ähnlich, wie Postkarten. Ich kann da als Absender (From) reinschreiben, was ich will ....
Solange das Empfänger-Postfach den SPF nicht prüft, geht das auch durch. Und die meisten Empfänger prüfen den SPF nicht, weil sonst über die Hälfte aller Mails nicht mehr ankommen, weil kein SPF gesetzt ist.

Ein Beispiel in PHP:

<code>
<?php
$empfaenger = 'niemand@example.com';
$betreff = 'Der Betreff';
$nachricht = 'Hallo';
$header = 'From: info@konzern.de' . "\r\n" .
'Reply-To: info@purchase-konzern.de' . "\r\n" .
'X-Mailer: PHP/' . phpversion();

mail($empfaenger, $betreff, $nachricht, $header);
?>
</code>

Fairerweise muss man aber anmerken, das solche E-Mails oft im Spam-Ordner landen, weil die From-Adresse nicht dem Server übereinstimmt.
Oft landen sie aber nicht im Spam und dann könnte man eine E-Mail-Adresse auf den ersten Blick zu 100% fälschen. Außer man schaut in den Quellcode der E-Mail. Dann sieht man den Server, von dem die Mail versendet wurde.

E-Mail-Spoofing nimmt leider immer mehr zu:

https://de.wikipedia.org/wiki/Mail-Spoofing

Komm, das hat schon vor 10 Jahren bei den meisten E-Mail Providern nicht funktioniert und wurde als Spam erkannt, wessen Hoster/Mailserver das heutzutage nicht erkennt, kann auch direkt sein Firmenkapital aus dem Fenster schmeissen, da haben wenigstens mehr leute was von.

Flowe hat geschrieben: ↑7. Okt 2022 10:17 Man kann eine E-Mail-Adresse sehr wohl zu 100% faken, dass es so aussieht.
E-Mails sind ähnlich, wie Postkarten. Ich kann da als Absender (From) reinschreiben, was ich will ....

Absolut richtig. Ist die Absender-Mailadresse (FROM) korrekt, heißt das nicht, dass die Mail wirklich von dieser Adresse verschickt wurde. Da hilft nur auf die Mail zu antworten und rückzufragen. Wie gesagt, vorher sicherstellen, dass die Adresse 100% die richtig ist (wie auch immer). Denn Umleiten kann ein 'Angreifer' die Antwort nicht.

Allerdings(!): Manche Phisher setzen neben FROM eine andere Antwort-Adresse, die Mailclients dann automatisch beim Antworten verwenden statt FROM. Da gilt es auch darauf zu achten. Ein sehr guter Hinweis auf Spam.

Bei vielen landet das tatsächlich nicht im Spam ...
Die einzig wirkungsvolle Methode, wäre den SPF zu checken. Leider haben den SPF aber viele nicht gesetzt. Daher wird er in der Praxis auch oft nicht geprüft, da sonst unzählige Mails nicht ankommen würden.

Ich bin kein Mail-Experte aber Spamfilter arbeiten mit ziemlich vielen Parametern. U.a. scannen die auch den Text nach "spam words", etc.
Und Spammer schicken ihre Mails ja nicht an 100, 1000, oder 10000 Empfänger sondern an 100.000, bzw. 1.000.000. Und da sind immer welche dabei, die darauf reinfallen.

hissenit hat geschrieben: ↑7. Okt 2022 10:51

Flowe hat geschrieben: ↑7. Okt 2022 10:17 Man kann eine E-Mail-Adresse sehr wohl zu 100% faken, dass es so aussieht.
E-Mails sind ähnlich, wie Postkarten. Ich kann da als Absender (From) reinschreiben, was ich will ....

Absolut richtig. Ist die Absender-Mailadresse (FROM) korrekt, heißt das nicht, dass die Mail wirklich von dieser Adresse verschickt wurde. Da hilft nur auf die Mail zu antworten und rückzufragen. Wie gesagt, vorher sicherstellen, dass die Adresse 100% die richtig ist (wie auch immer). Denn Umleiten kann ein 'Angreifer' die Antwort nicht.

Allerdings(!): Manche Phisher setzen neben FROM eine andere Antwort-Adresse, die Mailclients dann automatisch beim Antworten verwenden statt FROM. Da gilt es auch darauf zu achten. Ein sehr guter Hinweis auf Spam.

Genau. Sehr wirkungsvoll ist diese Methode bei Phishing-Mails, wo die Empfänger nicht über die E-Mail direkt antworten, sondern auf irgendwelche bösen Links klicken ...