Viele kleine und mittelgroße Unternehmen benutzen das beliebte Programm QuickBooks von Intuit. Sie nutzen in der Regel zuerst das benutzerfreundliche Basis-Buchhaltungsprogramm. Anschließend wirbt das QuickBooks-Programm intensiv für weitere Zusatzfunktionen. Eine dieser Zusatzfunktionen ist die Möglichkeit, Kundenrechnungen per E-Mail zu versenden. Der Zahlungsempfänger kann in der E-Mail auf eine Schaltfläche „Prüfen und bezahlen" klicken, um die Rechnung zu bezahlen. Diese Funktion war früher kostenlos, aber nicht so fortschrittlich, und kostet heute extra. Wenn Sie QuickBooks für Ihre Buchhaltung nutzen, ist die Möglichkeit, Rechnungen an einem Ort zu erstellen, zu versenden, zu empfangen und elektronisch nachzuverfolgen, trotzdem eine ziemlich gute Lösung. Intuit wirbt damit, dass QuickBooks Rechnungen per E-Mail versenden kann.
Leider nutzen Phishing-Angreifer die Beliebtheit von QuickBooks, um BEC-Betrügereien (Business-E-Mail Compromise) zu verschicken. Dabei sehen die E-Mails so aus, als kämen sie von einem seriösen Anbieter, der QuickBooks verwendet. Bei Zahlung der Rechnung wird der Betrag jedoch an die Betrüger überwiesen. Noch schlimmer ist, dass die Zahlungsaufforderung verlangen kann, dass der Zahlungsempfänger die ACH-Methode (automated clearing house) verwendet, bei der der Zahlungsempfänger seine Bankdaten eingeben muss. Wenn das Opfer also auf den Betrug hereinfällt, hat der Kriminelle jetzt seine Bankverbindung.
Hinweis: Einige andere QuickBooks-Betrugswarnungen weisen Sie darauf hin, dass QuickBooks niemals nach Ihren ACH- oder Bankdaten fragen wird. Dies ist nicht ganz richtig. QuickBooks, das Unternehmen und seine Support-Mitarbeiter, werden nie danach fragen, aber QuickBooks-E-Mail-Zahlungsanforderungen tun dies oft.
QuickBooks E-Mail-Beispiel
So sieht eine rechtmäßige QuickBooks-Zahlungsanforderung aus. Ich habe sie kürzlich für ein Unternehmen erhalten, das mein Boot gereinigt hat.
Die gefälschten QuickBooks-Zahlungs-E-Mails sehen sehr ähnlich aus. Der einzige Unterschied ist, dass sie von einem Unternehmen stammen könnten, das Sie nicht kennen. Es gibt noch einen zweiten Hinweis, auf den ich weiter unten näher eingehen werde.
Der Link verweist auf die Domain intuit.com, von der auch die E-Mail stammt. Das ist ein wichtiges Indiz dafür, dass diese E-Mail-Zahlungsanforderung echt ist.
Ein Blick in die Kopfzeile der E-Mail gibt weitere Hinweise darauf, dass diese E-Mail wirklich von Intuit stammt. Die erste Zeile „Received:" (unten in der Kopfzeile), aus der hervorgeht, von welchem E-Mail-Server die Nachricht stammt, ist unten abgebildet:
Der E-Mail-Server des Absenders behauptet, von der Domäne intuit.com zu stammen. Diese E-Mail enthält SPF-, DKIM- und DMARC-Informationen in der Kopfzeile, anhand derer der E-Mail-Empfänger erkennen kann, ob die behauptete Absenderdomäne (in diesem Fall intuit.com) wirklich der Absender der E-Mail ist.
Hier sind die relevanten SPF-, DKIM- und DMARC-Header-Informationen aus der legitimen E-Mail.
Die E-Mail hat die SPF-, DKIM- und DMARC-Prüfungen bestanden. Diese E-Mail-Rechnung wurde tatsächlich von intuit.com gesendet. Die betrügerischen Rechnungen stammen in der Regel nicht von intuit.com. Die echten QuickBooks-Rechnungen kommen von Intuit.com und nicht von dem Anbieter, der QuickBooks verwendet, weil Intuit es so eingestellt hat. Intuit möchte die Kontrolle über die Rechnungen behalten, sie bei Bedarf aktualisieren und die Nutzung und andere damit verbundene Statistiken erfassen. Die Rechnungen werden von der QuickBooks-Instanz des ursprünglichen Anbieters erstellt und generiert, aber die eigentliche Rechnung wird von Intuit.com und nicht vom Anbieter verschickt.
QuickBooks-Betrugsrechnungen könnten von Intuit.com stammen, wenn der Betrüger QuickBooks gekauft und die echte QuickBooks-Fakturierungsfunktion erworben und verwendet hat. Wenn Sie also eine QuickBooks-Rechnung sehen, die tatsächlich von intuit.com stammt, dann ist das ein deutlicher Hinweis darauf, dass die Rechnung wirklich von demjenigen stammt. Jedoch ist das nicht immer der Fall (d. h. ein legitimer QuickBooks-Kunde könnte kompromittiert sein), aber es ist ein ziemlich zuverlässiger Indikator für die Legitimität.
Beispiel für einen Phishing-Betrug mit gefälschten Rechnungen
Hier ein Beispiel für einen gefälschten QuickBooks-Rechnungsbetrug, der mir von einem Kunden per E-Mail zugeschickt wurde.
Auf den ersten Blick sieht die E-Mail ziemlich genau so aus, wie eine Rechtmäßige. Einer der ersten Hinweise darauf, dass etwas nicht stimmt, ist die Grußformel "Lieber Kunde". Die echte QuickBooks-E-Mail war namentlich an mich gerichtet. Sie enthielt auch eine PDF-Version der Rechnung. Darin waren die für mich geleisteten Arbeiten aufgelistet, so dass ich mich vergewissern konnte, dass es sich um Arbeiten handelte, für die ich eine Rechnung erhalten sollte. Ein Angreifer könnte einen gefälschten PDF-Rechnungsanhang erstellen und sogar versuchen, darin Malware oder einen bösartigen Link einzuschleusen. Er würde aber wahrscheinlich keine Einzelaufstellung der erwarteten Arbeit enthalten.
Aber der eigentliche Schlüssel zur eindeutigen Identifizierung dieser zweiten E-Mail als betrügerische E-Mail lag in der Kopfzeile der E-Mail-Nachricht. Der erste Anhaltspunkt war der Server, von dem die E-Mail stammt.
Sowohl SPF als auch DKIM wurden also akzeptiert (DMARC war nicht aktiviert). Die E-Mail kam wirklich von emsd4.com. Bei der Domäne handelt es sich um einen E-Mail-Dienst, der auf Amazons AWS läuft (ein häufiges Ziel von Cyberkriminellen aufgrund ihrer kostenlosen bis sehr günstigen Ressourcen).
Emsd4.com könnte eine legitime Domain sein, und E-Mail-Dienste wie Gmail.com und Outlook.com werden täglich tausende Male unrechtmäßig genutzt. Aber als ich den Domänennamen in das Tool zur Überprüfung der schwarzen Liste von MXToolbox eingab, wurde dies angezeigt:
Die Domain wurde an mindestens vier oder mehr verschiedene Blacklists gemeldet, darunter auch an dieselbe IP-Adresse. Andere haben es also für nötig befunden, emsd4.com wegen früherer schändlicher Aktivitäten zu melden. Das ist kein gutes Zeichen.
Mein Kunde hatte den starken Verdacht, dass es sich um einen Betrug handelte, noch bevor er die Kopfzeilen der E-Mail entzifferte und sie an mich schickte. Er tat, was wir alle tun sollten, wenn wir verdächtige Anfragen erhalten: Er kontaktierte den betreffenden Absender auf einem anderen, legitimen Weg über die direkte Website des Anbieters und erkundigte sich nach der unerwarteten Rechnung.
Es stellte sich heraus, dass die dritte Partei, die als angeblicher Absender beteiligt war, nichts mit der E-Mail zu tun hatte. Es reichte ein einziger Kontakt mit dem betreffenden Anbieter, um herauszufinden, dass es sich um eine betrügerische Anfrage handelte. Die ganze Welt wäre ein besserer Ort, wenn wir alle diese eine einfache Sache als erstes machen würden.
Andere Arten von QuickBooks-Phishing-Betrug
Beachten Sie, dass ich oben eine bestimmte Art von QuickBooks-Betrug behandelt habe. Es gibt zahlreiche andere, die nichts mit dieser Art von Betrug zu tun haben, einschließlich:
- Betrügerische Anrufe, die sich als QuickBooks-Support-Mitarbeiter ausgeben und Sie auffordern, Ihre Lizenz zu erneuern
- Betrügerische E-Mails, die vorgeben, QuickBooks Sicherheitsupdates für Notfälle zu sein
- E-Mails über angebliche Preisnachlässe
Intuit hat hier eine Liste bekannter Phishing-Betrügereien mit Intuit-Marken.
Fazit
Millionen von Menschen und Unternehmen nutzen QuickBooks, um ihre Geschäfte zu führen. Viele Kunden sind daran gewöhnt, von QuickBooks erstellte Rechnungen per E-Mail zu bekommen und zu bezahlen. Wenn Angreifer QuickBooks-Phishing-E-Mails versenden, wird es einen gewissen Prozentsatz von Empfängern geben, die wahrscheinlich auf den Betrug hereinfallen. Wenn es sich um eine unerwartete, mit QuickBooks erstellte E-Mail-Rechnung handelt, überprüfen Sie die Kopfzeile der E-Mail, um festzustellen, ob sie von intuit.com kommt oder nicht. Oder setzen Sie sich mit dem betreffenden angeblichen Anbieter über eine vertrauenswürdige alternative Zahlungsmethode in Verbindung. Ich denke, wir werden in Zukunft noch viele QuickBooks-Betrugsmaschen erleben.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo
