Es ist mittlerweile gängige Praxis, dass sich die Firmen gegen Bedrohungen aus dem Internet (Cyber-Crime) schützen. Die Angriffsvektoren sind heute sehr vielseitig und werden mittlerweile sehr breit sowie gezielt ausgenutzt. In den letzten Jahren sind vermehrt Inhaber von KMUs auf uns zugekommen und haben unsere Unterstützung angefordert.

In diesem Beitrag zeigen wir Ihnen die neuste Masche von Kriminellen auf, die gezielt bei kleinen KMUs in der Schweiz Anwendung finden. Sofern wir wissen, sind diese Fälle der Kantonspolizei Bern und Solothurn bekannt. Wir schreiben hier ausführlich über einen Fall den uns selbst erschreckt hat und ermutigt die Erfahrung an unsere Leser weiterzugeben.

Die neuste Masche zielt darauf ab kleine und mittelständische Unternehmen gezielt finanziell auszutrocknen oder nachhaltig zu schädigen. Oftmals vermuten wird die Auftraggeber hinter diesen Aktionen direkte Konkurrenten in der gleichen Branche. Dabei werden hinterlistige Tricks angewendet um gezielt Neukunden sowie Bestandskunden abzugraben. Es klingt wie ein guter Hollywood Blockbuster, jedoch ist dies mittlerweile gängige Praxis und traurige Realität.

Um die Firma zu schützen von der wir nachfolgend das Beispiel schildern, werden wir einen fiktiven Firmennamen, aber echten Ereignissen dokumentieren. Dieser Beitrag soll unseren Berufskollegen in der Informatikwelt helfen sich diesen Umständen bewusst zu machen und die eigenen Kunde zu sensibilisieren – oder vor allem ernst zu nehmen.

Falls du plötzlich mit deiner Firma vor der Tatsache stehst, dass keine oder nur noch wenige Anrufe eingehen und oder keine Aufträge oder Offertanfragen eingehen, solltest du unbedingt bis zu Schluss weiterlesen. Falls du bereits ahnst, dass bei deiner Firma etwas nicht stimmt, rufe uns direkt an oder schreibe uns per Kontaktformular! Wir helfen dir gerne weiter.

 

Die Firma

Unser Kunde Hans Müller ist Gründer und Inhaber der mittlerweile über 30-jährigen Firma Hans Müller AG (fiktive Firma) in Kanton Solothurn. Hans ist mit seiner Firma in der Dienstleistung Branche tätig. Das Unternehmen ist ein klassisches Familienunternehmen und konnte sich in den über 30 Jahren am Markt einen Namen machen sowie einen soliden Kundenstamm aufbauen. Die Firma hat einen äusserst guten Ruf in der Region, ein aufrechter Umgang mit Kunden und eine professionelle Ausrüstung, um die Arbeiten gewissenhaft ausführen zu können. Das Unternehmen hat rund 10 motivierte Mitarbeiter und 3 Arbeitsplätze. Das Unternehmen wird im Bereich Informatik durch uns betreut und ist im Bereich der Informatik Infrastruktur auf dem neusten Stand.

 

Die Branche und Situation am Markt

In den letzten 20 Jahren hat sich in der Schweiz gesellschaftlich viel verändert. Demographisch gesehen ist eine neue Generation an Menschen in allen Bereichen der Gesellschaft empor gegangen. Dieser Wandel bringt zusammen mit der Digitalisierung grosse Verhaltensveränderungen der einzelnen Individuen ans Tageslicht. Wie mittlerweile viele Branchen, ist auch die Dienstleistungsbranche mit Lohndumping konfrontiert. Viele Unternehmen und Inverstoren sind dazu angehalten, den eigenen Profit zu erhöhen und vergeben dadurch oftmals Aufträge dem billigsten anstatt dem besten am Markt. Dieses Verhalten löst ein Prozess des Preiszerfalls von Waren und Güter sowie Dienstleistungen aus. Auch ruft dieser Prozess viele neue Firmen (oftmals auch Firmen aus dem Ausland) auf den Plan welche augenscheinlich die gleiche Arbeit wie das Schweizer-Unternehmen ausführen aber zu einem Bruchteil des Preises anbieten. Der Endkunde ist erstmals überzeugt ein gutes Geschäft gemacht zu haben. Auf den zweiten Blick und nach kurzer Zeit kommen die Mängel der Billigfirma ans Tageslicht. Garantiearbeiten werden nicht oder nur minderwertig ausgeführt, oder Garantieansprüche laufen ins Leere, weil die Firma nicht registriert ist. u.s.w. Die Schweizer-Firma wird letztendlich nicht mehr angefragt, weil der Kunde der Branche misstrauisch gegenübersteht. Der Endkunde erleidet dadurch einen grösseren finanziellen Aufwand oder Schaden.

Dadurch das es viele neue Firmen am Markt gibt, spielt der Preis. Das ist ein natürlicher Prozess wird sich der eine oder andere Leser sagen. Ja, das stimmt! Jedoch, wer sich mit Firmeninhaber aus den jeweiligen Branchen unterhält, stellt schnell fest; die aktuelle Situation ist alles andere als natürlich. Viele Firmeninhaber und Branchenkenner sagen: Zitat:

…viele diese Firmen mit Rechtsform AG wurden erst gerade mit CHF 100’000.- Stammkapital gegründet. Sie sind wenige Monate alt und haben bereits sehr viele Kunden und Aufträge. Die Inhaber (oftmals nicht Schweizer Unternehmer ) sind an mehreren frisch gegründeten Firmen beteiligt…

Ein Schelm, wer schlimmes denkt?
Nein, wir wollen in keinem Fall rassistisch wirken oder gar falsche Anschuldigungen machen. Das liegt uns fern. Wir haben viele ausländische Bekannte und Freunde und die wissen Bescheid.
Die Fakten sowie die Realität sprechen für sich. Diese Informationen kann jeder selbst nachprüfen und sich ein Bild davon machen. Wer etwas Recherche betreibt, kommt zu den Informationen, um sich eine Meinung zu bilden.

 

Der Betrug

Hans Müller ist auf uns zugekommen und sagte: Wir haben seit Wochen kaum Anrufe und Sprachnachrichten von neuen Kunden. Wir bedienen noch etwas Bestandkunden, jedoch sind wir nicht in der Lage neue Kunden aufzubauen. Aus diesem Grund haben wir uns entschieden bei Google AdWords eine Werbekampagne zu starten, damit wir bei gewissen Suchwörtern an erster Stelle stehen. Hans meinte, es könne einfach etwas nicht stimmen. In den letzten rund 30 Jahren ist das noch nie vorgekommen.

Wir haben als Informatik Dienstleister als erstes alle Zugänge überprüft, Zugriffsprotokolle auf E-Mail und Dateien ausgewertet sowie die Website auf Manipulationen (Hijacking) untersucht. Bei unserer Analyse haben wir keine Unregelmässigkeiten festgestellt. Wir waren mit Hans Müller in einem intensiven Austausch und haben alle Sicherheitsrelevanten Aspekte erfragt.  Dabei war Hans selbst aktiv und hat plötzlich festgestellt, dass bei Google auf dem Handy eine Merkwürdige Werbung geschaltet ist.

Hans Müller hat selbst festgestellt, dass zwar die richtige Rufnummer in der Werbung angezeigt wird. Aber wenn die Nummer zum Wählen angeklickt wird, kommt der potenzielle Kunde eine fremde Rufnummer angezeigt:

Mit Schrecken haben wir festgestellt, dass eine andere Rufnummer als die der Firma gewählt wird so bald auf die Anzeige geklickt wird. Noch merkwürdiger ist, dass die Rufnummer nach jedem neuen Laden der Google Website geändert wird. Folgende Rufnummern wurden abwechselnd angezeigt. Wir haben uns diese notiert:

032 560 00 28
032 560 00 59
032 560 00 97
032 560 01 49
032 560 01 77
032 560 02 07
032 560 02 49

Wir waren zuerst verwirrt und konnte nicht glauben was sich da vor unseren Augen abspielt. Wir haben Hans Müller gefragt, ob der Ansagetext der Sprachnachricht aktuell sei. Nein. Antwortete Hans Müller, es ist eine alte Ansage. Der Fall wurde immer wie kurioser. Eine weitere Feststellung: die Anzeige wurde nur auf Geräten angezeigt, welche über das Mobilenetz die Dienstleistung bei Google eingegeben haben. Wenn wir mit unserem Smartphone das WLAN aktiviert hatten, wurde diese Werbung nicht angezeigt.

Wir haben uns die Frage gestellt, ob sich jemand im Namen von Hans Müller AG eine Werbung schaltet und dabei eine falsche Rufnummer angibt, um allfällige Aufträge abzugraben und an neue Kunden zu kommen. Wir haben auf die Rufnummer angerufen und festgestellt, dass die Sprachmailbox Ansage der Firma Hans Müller AG ertönt, ohne dass das Mobiltelefon von Hans Müller geklingelt hat!

Unsere erste Erklärung war folgende: Es handelt sich hier vermutlich um einen böswilligen Akteur, der sich einen Rufnummern-Block gemietet und anschliessend der Mailbox-Ansagetext der Firma Hans Müller AG aufgezeichnet/kopiert und im Hintergrund eine intelligente Möglichkeit geschaffen hat, bei Google im Namen von etablierten Firmen wie Hans Müller Werbung zu schalten um damit unter vortäuschen von falschen Tatsachen schnell an neue Kunden und Aufträge zu kommen. Da Hans Müller in seiner Firma einen Notfalldienst anbietet, würden viele Leute keinen Einwand haben, wenn anstatt Hans Müller plötzlich der böswillige Akteur beim Kunde auftaucht und sagt: «Hans Müller» hat mich zu Ihnen geschickt, er hat leider selbst nicht Zeit den Auftrag anzunehmen. Gerne helfe ich Ihnen weiter.» 

Wow! Dachten wir uns, das ist ja verrückter als jeder Krimi. Würde sich das Bewahrheiten, wäre das eine total gerissene Sache.
Unser Puls hat sich ab dem Zeitpunkt entschieden einen halben Takt schneller zu schlagen. Nach einer Tasse Kaffee und mehrmaliges Durchatmen, haben wir uns entschieden zu recherchieren und Fragen zu stellen die uns weiterbringen:

  • Wem gehören diese Rufnummern?
  • Verbindungsnachweis?
  • Was sagt die Swisscom dazu?
  • Welche Handlungsmöglichkeiten haben wir?
  • Gibt es ähnliche Fälle?
  • Stehen wir uns selbst auf den Füssen?

 

Wem gehören diese merkwürdigen Rufnummern?

Wir haben mit der Swisscom Kontakt aufgenommen, um die Information zu erhalten, wer hinter dieser Rufnummer steckt, welche bei der Google-Werbung im Namen der Firma geschalten wird. Die Swisscom hat uns lediglich mitteilen können «Diese Rufnummer ist nicht bei uns registriert.» Können Sie sagen welcher Provider diese Rufnummer vergibt? «Swisscom: Nein leider nicht. Unser Tool zeigt leider nur an, ob eine Festnetz Rufnummer bei uns läuft oder nicht. Wenn es eine Mobile Rufnummer wäre, könnte ich Ihnen mehr sagen.» Wir haben uns bedankt aufgelegt.

Jede Festnetz Rufnummer, welche vergeben wird, muss irgendwo ja hinterlegt werden. Wer ist für die Vergabe von Festnetznummer in der Schweiz verantwortlich? Richtig, das BAKOM! Als wir gesehen, haben, dass diese eine eGoverment UVEK Plattform eingerichtet haben, sahen wir eine Chance.

Unsere Suche auf der UVEK-Plattform hat ergeben, diese Rufnummer wird von der Firma Colt Technology Services AG verwaltet und an Endkunden vermietet:

Wir waren uns sicher, diese Informationen stellen ein Erfolg dar und würden uns offenbaren, wer die Rufnummern beim Provider Colt mietet, um falsche Werbung im Namen unseres Kunden zu schalten. Wir haben noch tiefer gegraben…

 

Verbindungsnachweis

Herr Müller hat bei der Swisscom einen Verbindungsnachweis angefordert. Das ist ein Protokoll, welches bei der Swisscom angefordert werden kann. Darauf sind alle Anrufe und Verbindungsdaten der eigenen Handynummer aufgelistet. Dies ist hilfreich, wenn du mal Kosten auf der Handyrechnung hast, bei der du nicht weisst, woher diese stammen.
Es ist alles ersichtlich: Wer hat wem und wann wie lange angerufen.

Auf dem Verbindungsnachweis ist immer wieder eine Rufnummer aufgetaucht welche die Combox (Sprachmailbox) angerufen hat. Hans Müller ist die Rufnummer 079 499 79 79 nicht bekannt und hat auch nie mit dieser interagiert. Schreck?

Originalfoto: Verbindungsnachweis.

Was meint die Swisscom dazu?

Der Verbindungsnachweis hat uns schwarz auf weiss gezeigt, dass eine fremde Rufnummer in regelmässigen Abständen die Mailbox von Hans Müller anruft.
Wow! Ist das wirklich so? Wir haben als nächstes erneut der Swisscom angerufen und folgende Fragen gestellt:

Können Sie bitte die Verbindungen der Handynummer von Hans Müller aufrufen wir haben ein paar Fragen dazu?
Swisscom: Ja sehr gern. Einen Moment bitte. Wie lautet die Rufnummer…?

Sehen Sie die Anrufe der fremden Handynummer 079 499 79 79 an die Combox von Hans Müller?
Swisscom: Ja, die kann ich sehen.

In dem Fall kann eine fremde Handnummer einer fremden Mailbox anrufen?
Swisscom: Ja das geht. Für Fälle aus dem Ausland zum Beispiel. Die Mailbox ist aber mit einem 4-stelligen PIN geschützt.

Können Sie bitte prüfen, ob die Mailbox von Hans Müller mit einem PIN geschützt ist?
Swisscom: Aktuell ist die Mailbox nicht aktiviert. Warten Sie, ich setzen einen neuen PIN (Autsch!)

Wenn jemand der PIN weiss, könnte dieser jemand mit böswilligen Absichten fremde Mailbox Nachrichten abhören?
Swisscom: Ja, das wäre theoretisch möglich. (Autsch!)

Mal angenommen, wenn dieser jemand der Prozess automatisiert hat fremde Mailboxen mit PINs durchzuprobieren wäre dies möglich? Gibt es eine Limitierung seitens der Swisscom fremde Mailboxen anzurufen und den Pin falsch einzugeben?
Swisscom: So viel ich weiss, ist keine Limitierung hinterlegt. Aber Ihre Überlegung ist demnach so möglich.  (Autsch! Autsch!)

Können Sie uns bitte sagen, wem diese Handyrufnummer gehört? Wir haben da bei Local Search einen Namen recherchiert.
Swisscom: Nein, das kann ich Ihnen aus Gründen des Datenschutzes nicht mitteilen.

Wir haben dem Swisscom Mitarbeiter aufgezeigt das dies ein Anrgriffsvektor ist (also ein ziemlich grosses klaffendes Sicherheitsloch). Es könnte so theoretisch von jedem Mobilebesitzer die Mailbox Nachrichten mitgehört werden. Er solle dies Bitte mit der Security Abteilung Swisscom Intern bestätigen lassen und uns nochmals zurückrufen.

Wenn alle 30 Sekunden automatisiert einen Versuch gemacht wird, einen 4-stelligen PIN zu erfragen. sind alle 1000 Kombinationen (inklusive 0000) in rund 120 Tagen(!!) durchprobiert und der Zugang ist geknackt (!!) Das kann doch nicht sein haben wir uns gesagt. Das wäre ein ziemlich grosser Skandal für die Swisscom.

Wir: Sie können ja nur mit «ja» oder «nein» Antworten, ob der Name zutrifft. Wir bitten Sie. Wie Sie selbst am Verbindungsnachweis nachvollziehen können, hier stimmt etwas nicht. Es ist mittlerweile die Polizei und Staatsanwaltschaft eingeschaltet und wir benötigen Hinweise, um im Fall weiterzukommen bzw. zu lösen. (Dies entsprach zu diesem Zeitpunkt auch der Wahrheit. Hans Müller hat die gesagten Behörden vorinformiert. )
Swisscom: Komischerweise ist die Rufnummer 079 499 79 79 zweimal registriert. (Autsch?)

Wir: wie kann das sein?
Swisscom: Das muss ein Fehler sein, ich muss das kurz prüfen… Nach einem kurzen Moment: Die Rufnummer ist nur einmal registriert. Der Local Search Eintrag ist fehlerhaft. Die Rufnummer ist aktuell auf eine Aktiengesellschaft mit Sitz in «Baden» registriert…

Wir haben uns sehr bedankt und aufgelegt. Der Swisscom Mitarbeiter war so nett uns den Namen der Firma bekannt gegeben. Die zusammengetragenen Informationen sind von Hans Müller an die Kantonspolizei und Staatsanwaltschaft weitergeleitet worden.

Bei Moneyhouse gibt es Interessante Informationen bezüglich Handelsregister Einträge, Gründernamen, Inhaber sowie Kapitaleinlagen, Verbundene Unternehmen und Personen usw.  Wir werden hier bewusst keine Details nennen und Firmen oder Personen an den Pranger stellen. Uns geht es vielmehr darum diese Machenschaften aufzudecken und die Menschen da draussen zu sensibilisieren. Wenn Sie bis hierhin den gesamten Text gelesen haben, können wir hier nur unterschreichen was wir im Abschnitt «Die Branche und Situation am Markt» erläutert haben. Wir sind hier auf so einen Fall gestossen!

Der nette Mann von der Swisscom hat tatsächlich Hans Müller zurückgerufen und folgendes mitgeteilt:
Die Swisscom hat die Regeln für die PIN-Abfrage seit «einiger Zeit» angepasst. Der Kunde (oder jemand fremdes) hat nach 5-maliger Falscheingabe des PINS, sich an die Hotline zu wenden. Dies wird gemacht, um genau den von uns erwähnten Angriffsvektor zu eliminieren.

Ach wirklich? Dachten wir uns.
Liebe Swisscom, wäre es nicht besser, wenn nur die eigene Rufnummer die Mailbox abfragen kann? Alle anderen Anfragen wären blockiert und PIN-Anforderungen über die Hotline oder Cockpit zu lösen? Es würde sich hier bestimmt eine Kreative Lösung anbieten um alle Support-Fälle bei der Swisscom miteinzubeziehen.

 

Welche Handlungsmöglichkeiten haben wir?

Polizei und Staatsanwaltschaft. Uns wurde mitgeteilt, solche Fälle müssen über die Polizei mittels einer Anzeige in Gang gesetzt werden.
Wir wissen jedoch von mehreren persönlichen Kontakten, dass die Polizei seit Corona mit Personal massiv unterbesetzt ist und bestehende Polizisten verlängerte Schichten gemacht werden müssen.

 

Gibt es ähnliche Fälle?

Leider gibt es in Internet nur vereinzelt Fälle, welche vermutlich auf den gleichen Nenner zusammenlaufen wie unser Fall von Hans Müller.

 

Stehen wir uns selbst auf den Füssen?

Mit etwas Recherche haben wir zum Glück selbst rausgefunden, dass es sich bei der Google Werbung um eine Sackgasse handelt. Google AdWords bietet eine sogenannte Call-Reporting Funktion an, welches die Anrufe registriert, welche über die Werbung angeklickt werden:

https://support.google.com/google-ads/answer/2382961?hl=en
https://support.google.com/google-ads/answer/9141717

Hans Müller hat bei Google AdWords Call-Reporting Einstellung deaktiviert. Ab diesem Zeitpunkt waren die merkwürdigen Rufnummern verschwunden und die Werbeanzeige hat die richtige Geschäftsnummer angezeigt. Die Polizei hat uns bestätigt, die Rufnummer welche die Firma Colt Technology Services AG als Provider verwaltet, von Google Schweiz gemietet wird.
Dies war also definitiv eine Fehlanzeige. Aber es ist sicherlich besser kritisch zu sein, als gar keine Fragen zu stellen.

Der restliche Fall wird von der Kantonspolizei und der Staatsanwaltschaft bearbeitet.
Wir wünschen der Polizei viel Erfolg bei der Aufdeckung des Betrugs welche durch das Abhören von fremden Sprachnachrichten seinen Ursprung hat. Informationen machen frei und wir finden es wichtig zu wissen, dass Betrüger mittels Informatik immer versierter und gerissener gegen Schweizer Firmen abgesehen haben.

Hans Müller war uns sehr dankbar, dass wir Ihn ernst genommen haben. Die Behörden haben es teilweise nicht getan. Auch sind die Zusammenhänge hinter den technischen Details teilweise zu Komplex für einen «einfachen Büetzer». Wir haben immer wieder die Komplexität mittels einfacher Metaphern erklären können.

Solltest du dich in einen ähnlichen Fall wiederfinden, melde dich bei uns. Wir helfen dir gerne alle Fragen zu beantworten und einen allfälligen Betrug aufzudecken und abzuwenden.