Discussion:
Deutschlandfunk: Verbrauchertipp 2024-02-13T11:55: Neue
(zu alt für eine Antwort)
Helmut Waitzmann
2024-02-13 23:01:29 UTC
Permalink
Offener Brief an die Hörfunkredaktion des Verbrauchertipps beim
Deutschlandfunk/Deutschlandradio:


Sehr geehrte Redaktion,


ich möchte zur Hörfunksendung im


Deutschlandfunk: Verbrauchertipp vom 2024-02-13T11:55+01:00: Neue
Betrugsmasche: Gefälschte Rechnung per E‐Mail


Verschiedenes anmerken:


Zunächst, weil dieser Text auch ins Usenet
(de.comp.security.misc) geht:  Die Sendung kann nachträglich von


<https://www.deutschlandfunk.de/verbrauchertipp-neue-betrugsmasche-falsche-kontonummer-auf-der-rechnung-dlf-2a6116dd-100.html>


abgerufen werden.



Ein anonymisiertes Transkript folgt hier:


Redakteurin am Mikrofon:


Eine Studie des IT‐Branchenverbandes Bitkom aus dem vergangen
Jahr ergab, dass rund drei Viertel der befragten Unternehmen in
Deutschland von Cyber‐ oder Hacker‐Angriffen betroffen waren, und
auch bei Privatpersonen entstehen immer wieder Schäden.


Eine Masche, die nur sehr schwer zu erkennen ist: der Betrug mit
gefälschten Rechnungen im E‐Mail‐Postfach:  Firmen verschicken
vermeintlich Rechnungen, das Geld wird überwiesen, aber auf ein
falsches Konto.  Wie das abläuft, und wie man sich vor so einem
Betrug schützen kann, das schildert die Fachredakteurin im
Verbrauchertipp (Zuspielung):


Fachredakteurin:


Ein Bestattungsunternehmer hat eine Solaranlage installieren
lassen.  Als die erste Abschlagszahlung fällig wurde, bekam er
die Rechnung per Mail und dann noch eine zweite.


Der Bestattungsunternehmer:


Ne halbe Stunde später etwa kam die korrigierte Rechnung über
dieselbe E‐Mail‐Adresse – allerdings mit dem Hinweis, dass in der
ersten Rechnung ein Fehler drin wäre und wir bitte jetzt diese
Rechnung verwenden sollen.


Fachredakteurin:


N.N. ist Bestattungsunternehmer in Oberschwaben in
Baden‐Württemberg und dachte sich: kann mal passieren.  Er zahlte
die 17000 EUR – nach vier Wochen kam dann aber die Mahnung der
Solarfirma.


Der Bestattungsunternehmer:


Wir haben dann letztlich die Konto‐Verbindungen auch
abgeglichen.  Und da haben wir festgestellt, dass das ein fremdes
Konto ist.


Fachredakteurin:


Die 17000 EUR des Bestattungsunternehmers waren weg:  Zurückholen
konnte er sie nicht mehr.


N.N., Leiter der Abteilung für Wirtschaftskriminalität beim
Landeskriminalamt Baden‐Württemberg:


Je mehr Zeit vergangen ist, um so unwahrscheinlicher wird es,
weil das (??)[1] dann in große Geldwäsche‐Netzwerke eingeht.


Fachredakteurin:


N.N. leitet die Abteilung für Wirtschaftskriminalität beim
Landeskriminalamt Baden‐Württemberg.  Wenn man gezahlt habe und
Zweifel aufkommen, dann rät er, sich sehr schnell an die Polizei
zu wenden.


Leiter der Abt. Wirtschaftskriminalität beim LKA BW:


Dann haben wir die Gelegenheit, durch die internationale
Zusammenarbeit Konten auch in Europa zum Beispiel sehr schnell
einzufrieren, dass die Gelder nicht weitertransferiert werden.


Fachredakteurin:


Auch die eigene Bank könne Überweisungen innerhalb von 24 Stunden
noch zurückziehen.  Das Problem bei den gefälschten Rechnungen: 
Sie werden oft gar nicht als solche erkannt, denn die zweite
E‐Mail komme tatsächlich von der gleichen E‐Mail‐Adresse, möglich
über Hacker‐Angriffe im Verborgenen.


Leiter der Abt. Wirtschaftskriminalität beim LKA BW:


Die haben einen normalen Zugriff, so, wie Sie[2] das auch haben
und haben das dann im Prinzip dauerhaft, so lang, bis Sie[2] halt
Ihr[2] Passwort ändern, ja.


Fachredakteurin:


Kurz, nachdem bei einer Firma eine Rechnung raus geht,
verschicken Betrüger dann über Mail‐Programme wie Outlook oder
Thunderbird die E‐Mail noch mal.  Sie ändern die IBAN auf der
Rechnung im Anhang und weisen auch darauf hin wie bei dem
Bestattungsunternehmer, dass es sich bei der ersten Mail um einen
Fehler handelte.  In solchen Fällen sollten Verbraucherinnen
stutzig werden und beim Absender anrufen und nachfragen, ob
wirklich die neue Kontonummer stimmt.  Und der Polizist rät:


Leiter der Abt. Wirtschaftskriminalität beim LKA BW:


Privat ist es natürlich wichtig, dass man zunächst einmal seine
Viren‐Software aktuell hält, und, dass man auch das
Betriebssystem, die Applikationen, mit denen man solche
Überweisungen vielleicht durchführt, dass das alles so auf dem
marktaktuellen Stand ist.  Das ist sehr wichtig.


Fachredakteurin:


Auch ein doppelter Schutz bei Passwörtern hilft: die
Zwei‐Faktor‐Authentifizierung beim Einloggen, und auch sichere
komplizierte Passwörter regelmäßig ändern.


Leiter der Abt. Wirtschaftskriminalität beim LKA BW:


Im Kern bietet sich das schon an: jeden Monat, jede zwei Monate
tatsächlich mal zu ändern, ja.


Fachredakteurin:


Insbesondere Firmen sollten ihre E‐Mail‐Zugänge regelmäßig
überprüfen.


Leiter der Abt. Wirtschaftskriminalität beim LKA BW:


Wenn Sie ein Firmen‐Account haben zum Beispiel, dann könnte das
so ein IT‐Mitarbeiter feststellen, für wen Berechtigungen für Ihr
Konto vergeben sind, wo man dann schauen kann:  Wer ist
berechtigt, E‐Mails zu lesen?


Fachredakteurin:


Alle großen Versicherer bieten inzwischen auch
Cyber‐Versicherungen an.  Die Verbraucherzentrale rät aber, genau
zu prüfen:  Was wird da eigentlich abgesichert?  Manchmal seien
solche Schäden auch schon in bestehenden Verträgen wie in der
Haftpflicht abgedeckt.  Für Privatpersonen lohne sich eine
Extra‐Cyber‐Versicherung aber nicht, so die Verbraucherzentrale.



Fußnoten:


[1] Die Aufnahme ist hier unverständlich.


[2] Der Bezug ist nicht klar:  Beziehen sich die Pronomina auf
die Gesprächsparterin (denn ein anderes Bezugsziel wird nicht
genannt)?  Dann wären sie groß zu schreiben, aber sie wären
inhaltlich falsch, denn es geht um einen betrügerischen Zugriff
auf das E‐Mail‐Postfach nicht des Nachrichten‐Empfängers sondern
des ‐Absenders.  Oder beziehen sie sich auf die nicht genannte
Solarfirma, also den Absender?  Dann wären sie klein zu
schreiben, und sie wären der inhaltlich richtige Bezug auf die
Solarfirma, die man den Leiter der Abt. Wirtschaftskriminalität
beim LKA BW hier aber nicht nennen hört.  Wurde sie vielleicht
aus dem Interview herausgeschnitten, um Zeit zu sparen?  Außerdem
wären die Pronomina dann sehr uneindeutig, weil sie sich mit
derselben grammatischen Form (dritte Person Mehrzahl) sowohl auf
die Betrogenen als auch auf die Betrüger beziehen könnten.


So weit das Transkript.



Meine Kritik an der Sendung:


Der Ratschlag des Polizeibeamten, als Privatmann auf dem eigenen
Rechner Viren(!)‐Software, Betriebssystem und Applikationen
aktuell zu halten, ist in diesem Zusammenhang mit dem
geschilderten Betrug etwa so sinnvoll, wie der Rat, die eigene
Haustür stets gut abzuschließen und auch keine Balkontür offen
stehen zu lassen:  Sie mögen zwar, für sich genommen, sinnvoll
sein, sind beide aber kein Mittel gegen die betrügerische
Rechnung.


Ebenso verhält es sich mit dem Hinweis auf
Zwei‐Faktor‐Authentisierung beim Nachrichten‐Empfänger.


Der Rat, regelmäßig die Passwörter zu ändern, funktioniert nur
auf dem Papier, nicht aber in Wirklichkeit, weil Anwender nicht
bereit sind, sich alle zwei Monate neue komplizierte Passwörter
auszudenken und zu merken.  Also werden sie sich, wenn sie ihre
Passwörter ändern, neue einfache Passwörter ausdenken und merken,
und die Sicherheit wird erst recht verloren sein.


(Wie immer wäre der Standard‐Ratschlag auch hier, einen
Passwort‐Manager zu verwenden.  Dann braucht man sich nur ein
einziges Passwort, das dann auch ruhig länger sein darf, zu
merken.  Die im Passwort‐Manager gespeicherten Passwörter können
dann beliebig kompliziert sein, ohne, dass man sich mit ihnen
herumquälen muss.)


Das Thema EDV‐Sicherheit ist schon schwierig genug, da muss man
im Rundfunk nicht auch noch ein Interview bis zur Uneindeutigkeit
einkürzen und dabei auch noch Nebelkerzen werfen.


Wer kommt eigentlich in diesem Betrugsfall für den Schaden auf? 
Der Fehler ist ja eindeutig auf Seiten der Solarfirma passiert: 
Ihr Postfach, nicht das ihres Kunden, wurde vom Angreifer
gekapert, und in ihrem Namen wurde eine betrügerische Nachricht
versandt.  Damit müsste sie sich die gefälschte Rechnung
zuschreiben lassen und dürfte die verlorenen 17000 EUR nicht von
ihrem Kunden fordern.


Freundliche Grüße

Helmut Waitzmann
Wendelin Uez
2024-02-14 15:15:05 UTC
Permalink
Post by Helmut Waitzmann
Wer kommt eigentlich in diesem Betrugsfall für den Schaden auf?
Niemand. Wieso sollte jemand?
Weder eindeutig noch gesichert ein Fehler des Lieferanten, wohl aber einer
des Zahlers.
Post by Helmut Waitzmann
Ihr Postfach, nicht das ihres Kunden, wurde vom Angreifer gekapert
Da muß man kein Postfach kapern. Zum Versenden einer Mail unter einem
Fremdnamen braucht man im einfachsten Fall lediglich einen Provider, der
dies erlaubt. Ansonsten gibt es auch andere Möglichkeiten, eine Mail unter
falschem Namen aufzugeben.

Der Angreifer in diesem Fall musste sich maximal "nur" als man in the middle
positionieren können, die Mail mit der Rechnung mitlesen, eine Kopie mit
seiner IBAN versehen und auch diese Kopie unter dem Firmennamen zu
versenden.

Oder, old school, jemanden in der Firma sitzen haben, der ihm die Rechnung
und ihren Versand anderweitig zugänglich macht

Da der Firma ein Versäumnis nachzuweisen wird schwierig bis unmöglich sein.
Die Forma haftet ja nicht für kriminelle Handlungen Dritter.

Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
Papier.
Helmut Waitzmann
2024-02-15 19:37:03 UTC
Permalink
Post by Wendelin Uez
Post by Helmut Waitzmann
Wer kommt eigentlich in diesem Betrugsfall für den Schaden auf?
Niemand. Wieso sollte jemand?
Genau.  Also bleibt, sofern der Betrüger nicht gefasst wird, der
Absender der Nachricht auf seinem Schaden sitzen und muss ihn
selber tragen.
Post by Wendelin Uez
Post by Helmut Waitzmann
Der Fehler ist ja eindeutig auf Seiten der Solarfirma
Weder eindeutig noch gesichert ein Fehler des Lieferanten,
Doch, das ist es:  Der Lieferant hat es unterlassen,
sicherzustellen, dass den Empfänger betrügerische Rechnungen
nicht unentdeckt erreichen.


Um da seiner Pflicht nachzukommen, kann er entweder auf E‐Mail
ganz verzichten und mit dem Empfänger vereinbaren, dass die
Rechnung per Post kommt (das hat er offensichtlich nicht getan),
oder er kann einen E‐Mail‐Provider nutzen, der nur Nachrichten
mit korrektem Absender („From“‐ oder „Sender“‐Vorspannfeld)
verschickt und kryptografisch unterschreibt (DKIM), und dann
seinen Zugang zum E‐Mail‐Konto (starkes Passwort) sicher halten
(das hat er vermutlich auch nicht getan, denn der Zugang wurde
missbraucht), oder er leistet die kryptografische Unterschrift
(OpenPGP, S/MIME) selbst (das hat er auch nicht getan).


Ohne eine dieser Maßnahmen hat der Empfänger keine Möglichkeit,
echte von betrügerischen Nachrichten zu unterscheiden, und hat
deswegen nur zwei Möglichkeiten:  Entweder akzeptiert er beide
Nachrichten – das hat er getan – oder keine von beiden.


Die zweite Möglichkeit für den Empfänger scheidet aus, weil mit
dem Lieferanten der Versand der Rechnung per E‐Mail vereinbart
war.
Post by Wendelin Uez
wohl aber einer des Zahlers.
Das ganz gewiss nicht.  Der Zahler hat alles getan, was er
konnte, um betrügerische Nachrichten von echten zu
unterscheiden.  Alle kryptografischen Unterschriften, sofern
vorhanden, waren korrekt.  Davon ist auszugehen, denn es wurde
laut dem Rundfunkbeitrag nichts Gegenteiliges ermittelt.


Indem der Absender dem Empfänger erlaubt hat, eine Rechnung per
E‐Mail überhaupt zu akzeptieren – denn sonst hätte er das nicht
vereinbaren dürfen – hat er zugestimmt, dass er alle Risiken, die
mit dem Versand per E‐Mail einhergehen, selber trägt.
Post by Wendelin Uez
Post by Helmut Waitzmann
Ihr Postfach, nicht das ihres Kunden, wurde vom Angreifer
gekapert
Da muß man kein Postfach kapern.
Richtig.  Im geschilderten Fall war es aber so:  Der Betrüger
nutzte einen Zugang zum E‐Mail‐Konto des Absenders, um die
richtige Rechnung zu lesen, eine Kopie zu erstellen, die
Bankverbindung zu ändern und die geänderte Kopie zu verschicken.
Post by Wendelin Uez
Zum Versenden einer Mail unter einem Fremdnamen braucht man im
einfachsten Fall lediglich einen Provider, der dies erlaubt.
Gibt es solche Provider noch, und werden sie noch akzeptiert? 
Ich hätte jetzt erwartet, dass die ruckzuck auf schwarzen Listen
landen und ihre Nachrichten von allen gängigen E‐Mail‐Providern
abgelehnt werden.
Post by Wendelin Uez
Ansonsten gibt es auch andere Möglichkeiten, eine Mail unter
falschem Namen aufzugeben.
Der Angreifer in diesem Fall musste sich maximal "nur" als man
in the middle positionieren können,
Genau das hat er getan, indem er einen Zugang zum E‐Mail‐Konto
des Absenders genutzt hat.
Post by Wendelin Uez
die Mail mit der Rechnung mitlesen, eine Kopie mit seiner IBAN
versehen und auch diese Kopie unter dem Firmennamen zu
versenden.
Genau das hat er getan.
Post by Wendelin Uez
Da der Firma ein Versäumnis nachzuweisen wird schwierig bis
unmöglich sein.
Wenn die Logfiles des E‐Mail‐Providers bestätigen, dass der
Angreifer auf das E‐Mail‐Konto mit einem richtigen Passwort
zugegriffen hat, dann dürfte der E‐Mail‐Konto‐Inhaber den
Schwarzen Peter haben.


Wenn ihm die vom E‐Mail‐Provider angebotene Sicherheit nicht
genügt, muss er seine Nachrichten selber kryptografisch signieren
(beispielsweise nach dem OpenPGP‐Standard).  Das hat er auch
nicht getan.


Das hätte es dem Angreifer verunmöglicht, eine Nachricht
unentdeckbar zu fälschen, und dem Empfänger ermöglicht, die
gefälschte Nachricht anhand der Signatur zu entlarven.
Post by Wendelin Uez
Die Forma haftet ja nicht für kriminelle Handlungen Dritter.
Sie muss sich aber, wenn sie vom Empfänger verlangt, Rechnungen
per E‐Mail zu akzeptieren, Schäden, die daraus entstehen, dass
sie ihre Rechnungen nicht ausreichend sichert, selber zuschreiben
lassen.
Post by Wendelin Uez
Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail
zu akzeptieren.
Nein.  Naiv ist es, solche Rechnungen ohne ausreichende Sicherung
per E‐Mail zu verschicken und vom Empfänger zu verlangen, sie zu
akzeptieren.
Post by Wendelin Uez
Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
Papier.
Weil Aldi & Co. nicht so naiv ist, zu glauben, dass ungesicherte
Nachrichten per E‐Mail nicht unentdeckbar gefälscht werden
können.
Peter J. Holzer
2024-02-15 20:08:15 UTC
Permalink
Post by Helmut Waitzmann
Post by Wendelin Uez
Post by Helmut Waitzmann
Der Fehler ist ja eindeutig auf Seiten der Solarfirma
Weder eindeutig noch gesichert ein Fehler des Lieferanten,
Doch, das ist es:  Der Lieferant hat es unterlassen,
sicherzustellen, dass den Empfänger betrügerische Rechnungen
nicht unentdeckt erreichen.
Um da seiner Pflicht nachzukommen, kann er entweder auf E‐Mail
ganz verzichten und mit dem Empfänger vereinbaren, dass die
Rechnung per Post kommt (das hat er offensichtlich nicht getan),
oder er kann einen E‐Mail‐Provider nutzen, der nur Nachrichten
mit korrektem Absender („From“‐ oder „Sender“‐Vorspannfeld)
verschickt und kryptografisch unterschreibt (DKIM), und dann
seinen Zugang zum E‐Mail‐Konto (starkes Passwort) sicher halten
(das hat er vermutlich auch nicht getan, denn der Zugang wurde
missbraucht), oder er leistet die kryptografische Unterschrift
(OpenPGP, S/MIME) selbst (das hat er auch nicht getan).
So wie Du es geschildert hast, hatte der Angreifer Zugriff auf das
(Mail-)System des Lieferanten. In dem Fall nützt DKIM nichts (denn die
Mail kommt ja von einem authentifizierten und autorisierten Absender)
und selbst bei Einsatz von PGP oder S/MIME ist der Nutzen fraglich (je
nachdem, wie das technisch gelöst ist, hätte der Angreifer
möglicherweise seine Mail auch signieren können).

Der Punkt der übrig bleibt, ist "Zugang zum E‐Mail‐Konto sicher halten".

Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst zu
signieren. Das setzt zwar wiederum voraus, dass die fakturierende Stelle
sicher ist, aber da kann man leicht(er) für den Einsatz von
Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
eingeführt wurde. Ich weiß nicht, ob das noch gilt.)

hp
Marc Haber
2024-02-16 06:36:39 UTC
Permalink
Post by Peter J. Holzer
Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst zu
signieren. Das setzt zwar wiederum voraus, dass die fakturierende Stelle
sicher ist, aber da kann man leicht(er) für den Einsatz von
Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
Eine qualifizierte (sic!) elektronische Signatur war für
E-Mail-Rechnungen in Deutschland auch lange vorgeschrieben; ihr Fehlen
hat die Rechnung nicht ungültig gemacht, aber sie war zum
Vorsteuerabzug nicht zu gebrauchen.

Das wurde von Millionen von Absendern UND von Millionen von Empfängern
jahrelang ignoriert, die Steuerprüfer haben da wohl auch nur in ganz
krassen Fällen draufgehauen, vor ein paar Jahren hat man diese
Anforderung dann endlich eingestampft.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Peter J. Holzer
2024-02-16 13:07:19 UTC
Permalink
Post by Marc Haber
Post by Peter J. Holzer
Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
^^^^^^^^^^^
Post by Marc Haber
Post by Peter J. Holzer
eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
Eine qualifizierte (sic!) elektronische Signatur war für
^^^^^^^^^^^^^
Ja, Du hast natürlich recht. Da haben die Finger was anderes getippt als
das Hirn gedacht hat.

hp
Marc Haber
2024-02-16 16:00:52 UTC
Permalink
Post by Peter J. Holzer
Post by Marc Haber
Post by Peter J. Holzer
Hardware-Tokens argumentieren. (Tatsächlich war in Österreich eine
"qualitative Signatur" für PDF-Rechnungen sogar vorgeschrieben, als das
^^^^^^^^^^^
Post by Marc Haber
Post by Peter J. Holzer
eingeführt wurde. Ich weiß nicht, ob das noch gilt.)
Eine qualifizierte (sic!) elektronische Signatur war für
^^^^^^^^^^^^^
Ja, Du hast natürlich recht. Da haben die Finger was anderes getippt als
das Hirn gedacht hat.
Ich war mir nur nicht sicher ob in Österreich vielleicht andere
Begrifflichkeiten ("Paradeiser", "Obers") in Gebrauch sind ;-)

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Helmut Waitzmann
2024-02-16 21:37:02 UTC
Permalink
Post by Peter J. Holzer
So wie Du es geschildert hast, hatte der Angreifer Zugriff auf
das (Mail-)System des Lieferanten. In dem Fall nützt DKIM nichts
(denn die Mail kommt ja von einem authentifizierten und
autorisierten Absender) und selbst bei Einsatz von PGP oder
S/MIME ist der Nutzen fraglich (je nachdem, wie das technisch
gelöst ist, hätte der Angreifer möglicherweise seine Mail auch
signieren können).
Der Punkt der übrig bleibt, ist "Zugang zum E‐Mail‐Konto sicher halten".
Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst
zu signieren. Das setzt zwar wiederum voraus, dass die
fakturierende Stelle sicher ist, aber da kann man leicht(er) für
den Einsatz von Hardware-Tokens argumentieren.
Danke für die Zusammenfassung.  Es läuft immer darauf hinaus:


Ohne kryptografische Signatur können per E‐Mail verschickte
Daten unbemerkbar verfälscht werden.


Der Empfänger der Nachricht muss das Zertifikat (den öffentlichen
Schlüssel) des Absenders kennen.  (Im geschliderten Fall könnte
das beispielsweise geschehen, indem der Lieferant der
Solaranlage, wenn er sie liefert, einen Zettel mit dem
Fingerprint seines Zertifikats mitbringt.)


Das System, das die kryptografische Signatur erstellt, darf nicht
kompromittiert sein und muss einen geeigneten Zugriffsschutz
bieten, damit der Eigentümer unter Kontrolle hat, welche Daten in
seinem Namen signiert werden.


Im geschilderten Fall hat es am Zugriffsschutz gemangelt
(schwaches Passwort).


Um mit EDV richtig umzugehen, muss man kein Digital Native sein;
vielmehr kommt es darauf an, kein Digital Naive zu sein.
Peter J. Holzer
2024-02-16 22:08:53 UTC
Permalink
Post by Helmut Waitzmann
Post by Peter J. Holzer
So wie Du es geschildert hast, hatte der Angreifer Zugriff auf
das (Mail-)System des Lieferanten. In dem Fall nützt DKIM nichts
(denn die Mail kommt ja von einem authentifizierten und
autorisierten Absender) und selbst bei Einsatz von PGP oder
S/MIME ist der Nutzen fraglich (je nachdem, wie das technisch
gelöst ist, hätte der Angreifer möglicherweise seine Mail auch
signieren können).
Der Punkt der übrig bleibt, ist "Zugang zum E‐Mail‐Konto sicher halten".
Eine weitere Möglichkeit wäre, das PDF mit der Rechnung selbst
zu signieren. Das setzt zwar wiederum voraus, dass die
fakturierende Stelle sicher ist, aber da kann man leicht(er) für
den Einsatz von Hardware-Tokens argumentieren.
Ohne kryptografische Signatur können per E‐Mail verschickte
Daten unbemerkbar verfälscht werden.
Diese Betrugsmasche hätte allerdings mit per Post verschickter Rechnung
auf Papier (eventuell begleitet von einem "erklärenden" Telefonanruf)
genauso funktioniert. Ist ja nicht so, dass das fälschungssicher wäre.

hp
Andreas Kohlbach
2024-02-17 00:25:06 UTC
Permalink
Post by Peter J. Holzer
Post by Helmut Waitzmann
Ohne kryptografische Signatur können per E‐Mail verschickte
Daten unbemerkbar verfälscht werden.
Diese Betrugsmasche hätte allerdings mit per Post verschickter Rechnung
auf Papier (eventuell begleitet von einem "erklärenden" Telefonanruf)
genauso funktioniert. Ist ja nicht so, dass das fälschungssicher wäre.
Gerade neulich hatte ich irgendwo gelesen, dass vor dieser Masche in
Kanada gewarnt würde: Kriminelle holen sich an Tagen, an denen bekannt
ist, dass Rechnungen über Steuer oder so eingehen, Post aus den
Briefkästen, und tauschen die gegen gefälschte Briefe mit Kontonummer des
Betrügers aus. Wenn das auffliegt, hat dieser das Konto längst abgeräumt,
und ist über alle Berge.
--
Andreas
Helmut Waitzmann
2024-02-17 02:34:11 UTC
Permalink
Post by Andreas Kohlbach
Post by Peter J. Holzer
Post by Helmut Waitzmann
Ohne kryptografische Signatur können per E‐Mail verschickte
Daten unbemerkbar verfälscht werden.
Diese Betrugsmasche hätte allerdings mit per Post verschickter
Rechnung auf Papier (eventuell begleitet von einem
"erklärenden" Telefonanruf) genauso funktioniert. Ist ja nicht
so, dass das fälschungssicher wäre.
Gerade neulich hatte ich irgendwo gelesen, dass vor dieser Masche
in Kanada gewarnt würde: Kriminelle holen sich an Tagen, an denen
bekannt ist, dass Rechnungen über Steuer oder so eingehen, Post
aus den Briefkästen, und tauschen die gegen gefälschte Briefe mit
Kontonummer des Betrügers aus. Wenn das auffliegt, hat dieser das
Konto längst abgeräumt, und ist über alle Berge.
Und wenn es auf dem Steuerbescheid, wie so oft zu lesen, heißt: 
„Dieser Steuerbescheid wurde maschinell erstellt und ist ohne
Unterschrift gültig“, muss der Betrüger noch nicht einmal die
Unterschrift der Steuerbeamten fälschen.


Wie ist das eigentlich?  Ist der Steuerpflichtige, der aufgrund
des Betrugs und des maschinell erstellten, ohne Unterschrift
gültigen Steuerbescheids seine Steuer dem Betrüger statt dem
Finanzamt überwiesen hat, dem Finanzamt gegenüber aus dem
Schneider?  Schließlich hat einerseits er – analog zum ausgangs
geschilderten Fall – keine Möglichkeit, den Betrug zu erkennen,
und andererseits das Finanzamt es unterlassen, den Bescheid
händisch zu unterschreiben (und dem Steuerpflichtigen eine
Unterschriftenprobe auszuhändigen).


Wenn der Schaden nicht so groß wäre, würde ich dem Betrüger
gratulieren, weil er an den Tag bringt, was schon lange im Argen
liegt.


Mit digitalen Methoden ist das Problem (s. o.) lösbar – wenn die
Beteiligten keine Digital Naives sind.
Helmut Waitzmann
2024-02-17 02:14:03 UTC
Permalink
Post by Peter J. Holzer
Post by Helmut Waitzmann
Ohne kryptografische Signatur können per E‐Mail verschickte
Daten unbemerkbar verfälscht werden.
Diese Betrugsmasche hätte allerdings mit per Post verschickter
Rechnung auf Papier (eventuell begleitet von einem "erklärenden"
Telefonanruf) genauso funktioniert. Ist ja nicht so, dass das
fälschungssicher wäre.
Die Fälschung per Post würde vielleicht etwas erschwert, wenn die
Rechnung von Hand unterschrieben wäre (keine Fotografie der
Unterschrift!) und der Empfänger die Unterschrift des Absenders
kennte.  Wohl aus diesem Grund habe ich in einer Bank schon die
Unterschriften der Mitarbeiter aushängen sehen.
Christian @Soemtron
2024-03-02 22:11:00 UTC
Permalink
und der Empfänger die Unterschrift des Absenders kennte.
das im Allgemeinen nicht gegeben ist.
Und wenn doch, geht trotzdem jede Fälschung durch, die nicht gerade
völlig dilettantisch ausgeführt wurde.

Aber solange die Mißbrauchsquote niedrig genug ist, ist das wohl ok. so.
Jedes Verfahren hat seine eigenen Risiken und 100% Sicherheit hat man
sowieso nie.
Wohl aus diesem Grund habe ich in einer Bank schon die
Unterschriften der Mitarbeiter aushängen sehen.
Und wieviele Kunde fotographieren diese Aushänge und vergleichen
Schreiben ihrer Bank damit? Und selbst wenn: Wie groß ist die False
Positive/Negative-Rate beim Überprüfen von Unterschriften? Ich bin
mir nicht mal sicher, ob ich meine eigene Unterschrift zuverlässig
von einer Fälschung unterscheiden könnte.
[+1] Und jetzt alle: "Wir brauchen mehr KI". Dann wird alles gut. :->

cu,
Christian

PGP Key available.
Stephan Seitz
2024-02-15 20:09:58 UTC
Permalink
Post by Wendelin Uez
Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
Papier.
Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
(bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
du das Geld dann überweisen sollst).

Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
wenn du die entsprechende App verwendest.

Stephan
--
| Stephan Seitz E-Mail: stse+***@rootsland.net |
| If your life was a horse, you'd have to shoot it. |
Wendelin Uez
2024-02-20 09:12:00 UTC
Permalink
Post by Stephan Seitz
Post by Wendelin Uez
Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
Papier.
Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
(bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
du das Geld dann überweisen sollst).
Was heißt u.a.? Zusätzlich? Welcher gewerbliche Verkäufer stellt den
bitteschön keine Papierrechnung aus? Wenn der Verkäufer auf einem unsicheren
Zahlungsweg besteht, dann trägt er auch die Verantwortung dafür, sofern der
Kunde nicht fahrlässig oder grob fahrlässig handelt.
Post by Stephan Seitz
Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
wenn du die entsprechende App verwendest.
Das mußt du aber selbst aktivieren, ohne Zustimmung bekommst du einen
Kassenzettel ausgedruckt. Und auch auf elektronischem Weg bekommst du den
Kassenzettel nicht als fälschbare eMail, sondern kryptographisch gesichert
per Abruf vom Discounter-Server.
Helmut Waitzmann
2024-02-22 21:55:56 UTC
Permalink
Post by Wendelin Uez
Post by Stephan Seitz
Post by Wendelin Uez
Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail
zu akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent
eine Rechnung in Papier.
Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per
Mail (bei Barkauf teilweise mit einem Link zu einem
Dienstleister, zu dem du das Geld dann überweisen sollst).
Was heißt u.a.? Zusätzlich? Welcher gewerbliche Verkäufer stellt
den bitteschön keine Papierrechnung aus? Wenn der Verkäufer auf
einem unsicheren Zahlungsweg besteht, dann trägt er auch die
Verantwortung dafür, sofern der Kunde nicht fahrlässig oder grob
fahrlässig handelt.
Post by Stephan Seitz
Und bei ALDI und Co. kannst du teilweise auch auf papierlos
umstellen, wenn du die entsprechende App verwendest.
Das mußt du aber selbst aktivieren, ohne Zustimmung bekommst du
einen Kassenzettel ausgedruckt. Und auch auf elektronischem Weg
bekommst du den Kassenzettel nicht als fälschbare eMail, sondern
kryptographisch gesichert per Abruf vom Discounter-Server.
Hat dir also der Discounter auf unfälschbarem Weg seinen
öffentlichen Schlüssel zukommen lassen mit der (notariell
beglaubigten) Zusicherung, dass alle Rechnungen, die damit
unterschrieben sind, als von ihm stammend echt anzusehen und
deshalb maßgeblich für das Schuldverhältnis sind?


Und dann trägt der Kassenzettel eine kryptografische Unterschrift
von diesem Schlüssel, die du sowohl selber prüfen kannst (weil du
den Schlüssel kennst), als auch beispielsweise in dem Fall, dass
der Verkäufer wie im OP behauptet, die Kontonummer auf der
Rechnung sei gefälscht, sollte das nötig sein, in einem
Gerichtsverfahren als Beweis vorlegen kannst?


Oder sprichst du nur von Transportverschlüsselung (https), so
dass du nach dem Abruf vom Discounter‐Server nur einen
unsignierten Kassenzettel als Datei vorliegen hast?
Christian Garbs
2024-02-22 23:18:18 UTC
Permalink
Mahlzeit!
Post by Helmut Waitzmann
Und dann trägt der Kassenzettel eine kryptografische Unterschrift
von diesem Schlüssel, die du sowohl selber prüfen kannst (weil du
den Schlüssel kennst), als auch beispielsweise in dem Fall, dass
der Verkäufer wie im OP behauptet, die Kontonummer auf der
Rechnung sei gefälscht, sollte das nötig sein, in einem
Gerichtsverfahren als Beweis vorlegen kannst?
Müssen nicht Kassenzettel neuerdings tatsächlich irgendwelche
Hashes/Fingerprints aufweisen gegen Steuerhinterziehung?

Da gab es doch letztes Jahr so einen Aufschrei, weil sie jetzt viel
länger sind und weil jetzt auch der Bäcker immer Kassenbons drucken
muss, den der Kunde gar nicht mitnehmen will, von wegen
Papierverschwendung und sowas.

Gruß
Christian
--
....Christian.Garbs....................................https://www.cgarbs.de
Barometer, n.: An ingenious instrument which indicates what kind of
weather we are having.
-- Ambrose Bierce, "The Devil's Dictionary"
Udo Steinbach
2024-02-23 13:40:46 UTC
Permalink
Post by Christian Garbs
Müssen nicht Kassenzettel neuerdings tatsächlich irgendwelche
Hashes/Fingerprints aufweisen
Signatur über den Bon + der letzten Signatur. Bei Ausfall der Signatur-
Einheit sind sie baldigst nachzuholen, bis dahin der Ausfall in Text
kenntlich zu machen.
Post by Christian Garbs
gegen Steuerhinterziehung?
Und morgen kommt der Weihnachtsmann.
--
Fahrradverkehr in Deutschland: http://radwege.udoline.de/
GPG: A245 F153 0636 6E34 E2F3 E1EB 817A B14D 3E7E 482E
Wendelin Uez
2024-02-25 12:39:02 UTC
Permalink
Post by Wendelin Uez
Das mußt du aber selbst aktivieren, ohne Zustimmung bekommst du einen
Kassenzettel ausgedruckt. Und auch auf elektronischem Weg bekommst du den
Kassenzettel nicht als fälschbare eMail, sondern kryptographisch
gesichert per Abruf vom Discounter-Server.
Hat dir also der Discounter auf unfälschbarem Weg seinen öffentlichen
Schlüssel zukommen lassen mit der (notariell beglaubigten) Zusicherung,
dass alle Rechnungen, die damit unterschrieben sind, als von ihm stammend
echt anzusehen und deshalb maßgeblich für das Schuldverhältnis sind?
Wozu sollte er?

Zum Abruf benötigst du seine App, die macht das für dich.

Wie stark die das verschlüsselt ist eine andere Frage, u.a. ist schon
Transportverschlüsselung auch eine Verschlüsselung, oder nicht?
Helmut Waitzmann
2024-02-25 23:08:06 UTC
Permalink
Post by Wendelin Uez
Post by Helmut Waitzmann
Post by Wendelin Uez
Das mußt du aber selbst aktivieren, ohne Zustimmung bekommst
du einen Kassenzettel ausgedruckt. Und auch auf
elektronischem Weg bekommst du den Kassenzettel nicht als
fälschbare eMail, sondern kryptographisch gesichert per Abruf
vom Discounter-Server.
Hat dir also der Discounter auf unfälschbarem Weg seinen
öffentlichen Schlüssel zukommen lassen mit der (notariell
beglaubigten) Zusicherung, dass alle Rechnungen, die damit
unterschrieben sind, als von ihm stammend echt anzusehen und
deshalb maßgeblich für das Schuldverhältnis sind?
Wozu sollte er?
Damit er nachher beweisen kann, wenn du ihm eine gefälschte
Rechnung (mit falscher Kontonummer) („Das habe ich von Ihnen
erhalten!“) vorlegst, dass das nicht die von ihm erstellte
Rechnung ist.


Im OP ging es um folgenden (auf das wesentliche
zusammengekürzten) Sachverhalt:  Der Rechnungssteller hat mit dem
Empfänger vereinbart, dass er die Rechnung per E‐Mail
übermittelt, und der Empfänger hat den darauf genannten Betrag an
das darauf genannte Konto überwiesen.


Auf welches Konto der Empfänger den Betrag überwiesen hat, wird
von niemandem angezweifelt (Die Bank kann sicher Auskunft
geben.).


Anschließend behauptet der Rechnungssteller:  „Der Empfänger hat
den geforderten Betrag an jemand anderes, dessen Kontonummer
nicht auf meiner Rechnung steht, überwiesen.  Ich habe nichts
erhalten“.


Der Empfänger behauptet:  „Die Rechnung hat alle in sie
eingebauten Echtheitsprüfungen bestanden“.  Und damit hat er
recht, denn – zumindest war davon nichts zu lesen – der
Rechnungssteller hat keine Echtheitsprüfmöglichkeiten eingebaut. 
Also muss und darf der Empfänger sich darauf verlassen, dass sie
vom Rechnungssteller stammt.


=> Ein Rechnungssteller, der seine Rechnung per E‐Mail
verschickt, ohne sie kryptografisch zu signieren, fährt hohes
Risiko.  Ein dabei auftretender Betrug ist nicht dem Empfänger
zuzurechnen, weil der alles ihm mögliche unternommen hat, den
Betrug zu entdecken.


Wenn die Rechnung kryptografisch korrekt ende‐zu‐ende‐signiert
ist, kommt es darauf an, dass der Rechnungssteller dem Empfänger
vertraglich zugesichert hat, dass er der Eigentümer des für die
Signatur verwendeten Zertifikats (öffentlichen Schlüssels) ist,
und, dass deshalb alles, was mit diesem Zertifikat korrekt
signiert ist, als von ihm, dem Rechnungssteller, stammend
anzusehen ist.
Post by Wendelin Uez
Zum Abruf benötigst du seine App, die macht das für dich.
Und im Fall des Falles soll dann der Rechnungsempfänger vor
Gericht dem Richter sein Smartphone mit der App hinhalten:  „Da! 
Sehen Sie, so sieht die Rechnung aus, die ich erhalten habe!“


Was, wenn der Rechnungssteller dann behauptet:  „Die App, die Sie
auf Ihrem Smartphone da präsentieren, kommt nicht von mir.  Sie
gehen einer gefälschten App auf den Leim!“.  Oder:  „Die
Rechnung, die Sie da auf Ihrem Smartphone präsentieren, stammt
nicht von mir.  Sie gehen einer gefälschten Rechnung auf den
Leim!“.


Wie will der Rechnungsempfänger beweisen, dass sowohl die App als
auch die darin gezeigte Rechnung wirklich vom Rechnungssteller
kommen und nicht etwa gefälscht sind?


Anders ausgedrückt:  Es kommt darauf an, dass jeder – auch der
Richter – sich jederzeit nachträglich davon überzeugen kann, dass
die Rechnung, die er vom Rechnungsempfänger(!) zur nachträglichen
Überprüfung erhält, korrekt mit dem Zertifikat signiert ist, von
dem der Rechnungssteller mit dem Rechnungsempfänger vereinbart
hat, dass es das richtige Zertifikat ist.


Das funktioniert dann, wenn der Empfänger vor Gericht die
Vereinbarung mit dem Rechnungssteller über das richtige
Zertifikat sowie die signierte Rechnung vorlegen kann.  Dem
Richter nur ein Smartphone vor die Nase zu halten, dürfte eher
nicht genügen (sofern der Richter kryptografischen Sachverstand
entweder selber hat oder Fachleute hinzuzieht).


(Nochmal zitiert:)
Post by Wendelin Uez
Zum Abruf benötigst du seine App, die macht das für dich.
Die App rückt wahrscheinlich weder das Zertifikat noch die
Rechnung mitsamt der Signatur raus, sie zeigt die Rechnung nur an
und dazu ein Schild „Signaturprüfung bestanden“.  Das genügt
nicht.
Post by Wendelin Uez
Wie stark die das verschlüsselt ist eine andere Frage, u.a. ist
schon Transportverschlüsselung auch eine Verschlüsselung, oder
nicht?
Selbstverständlich ist eine Transportverschlüsselung eine
Verschlüsselung.  (Hier geht es übrigens nicht ums Verschlüsseln
sondern ums Unterschreiben.)  Eine Transport‐Unterschrift (in der
App) ist aber keine Ende‐zu‐Ende‐Unterschrift, die vom
Rechnungssteller bis zum Empfänger und vor das Gericht, das den
Sachverhalt klären soll, reicht.


Rechtlich gesehen kommt es nicht einmal darauf an, wie stark die
kryptografischen Verfahren sind, die da verwendet werden, ja,
sogar, ob überhaupt kryptografische Verfahren vewendet werden. 


Es kommt nur darauf an, dass die digital übermittelte Rechnung
die Überprüfung mit dem (kryptografischen) Verfahren, das der
Rechnungssteller gewählt und dem Empfänger vertraglich mitgeteilt
hat, besteht.  Tut sie das, ist der Empfänger im Fall, dass die
Rechnung gefälscht ist, aus dem Schneider.


Insofern verfehlt die Hörfunksendung im OP ihr Ziel:


Die Rechnungsempfänger hätte sie darüber aufklären müssen, dass
es notwendig und hinreichend ist, dass die Rechnung die mit dem
Rechnungssteller vereinbarten Prüfverfahren besteht.


Den Rechnungsstellern hätte sie ans Herz legen sollen, ein
kryptografisches Verfahren zur digitalen Unterschrift zu
verwenden, um Fälschungen zu verunmöglichen.
Christian @Soemtron
2024-03-02 22:01:00 UTC
Permalink
Risiko. Ein dabei auftretender Betrug ist nicht dem Empfänger
zuzurechnen, weil der alles ihm mögliche unternommen hat, den
Betrug zu entdecken.
Naja... den Header zu überprüfen, ist m.E. durchaus zuzumuten. Aber Du
hast Recht: Signaturüberprüfung sollte maßgeblich sein. Ist es allerdings
nicht. Ist eben alles noch Neuland...
Das funktioniert dann, wenn der Empfänger vor Gericht die
Vereinbarung mit dem Rechnungssteller über das richtige
Zertifikat sowie die signierte Rechnung vorlegen kann. Dem
Richter nur ein Smartphone vor die Nase zu halten, dürfte eher
nicht genügen (sofern der Richter kryptografischen Sachverstand
entweder selber hat oder Fachleute hinzuzieht).
Hoffentlich.
Wie so oft.

cu,
Christian

PGP Key available.
Andreas Kohlbach
2024-02-26 00:01:24 UTC
Permalink
Post by Wendelin Uez
Post by Helmut Waitzmann
Post by Wendelin Uez
Das mußt du aber selbst aktivieren, ohne Zustimmung bekommst du
einen Kassenzettel ausgedruckt. Und auch auf elektronischem Weg
bekommst du den Kassenzettel nicht als fälschbare eMail, sondern
kryptographisch gesichert per Abruf vom Discounter-Server.
Hat dir also der Discounter auf unfälschbarem Weg seinen
öffentlichen Schlüssel zukommen lassen mit der (notariell
beglaubigten) Zusicherung, dass alle Rechnungen, die damit
unterschrieben sind, als von ihm stammend echt anzusehen und deshalb
maßgeblich für das Schuldverhältnis sind?
Wozu sollte er?
Zum Abruf benötigst du seine App, die macht das für dich.
Wie stark die das verschlüsselt ist eine andere Frage, u.a. ist schon
Transportverschlüsselung auch eine Verschlüsselung, oder nicht?
Was redet ihr hier? Oder bekommt man beim deutschen Discounter jetzt
schon eine digital signierte Rechnung?

Sonst ist das eine dumme Quittung fast ohne jede Intelligenz. Die dient
Bestenfalls zur Reklamierung. Muss dann nur vorgezeigt werden. Ggf. wird
noch ein Bar- oder QR-Code eingescannt.
--
Andreas
Wendelin Uez
2024-02-26 15:15:17 UTC
Permalink
Post by Andreas Kohlbach
Was redet ihr hier? Oder bekommt man beim deutschen Discounter jetzt
schon eine digital signierte Rechnung?
Ich hatte geschrieben
" Und auch auf elektronischem Weg bekommst du den
Kassenzettel nicht als fälschbare eMail, sondern kryptographisch gesichert
per Abruf vom Discounter-Server"

Eine normale Mail ist wesentlich leichter zu fälschen als der Kassenzettel
in der Disounter-App.

Die vom Discounter-Server direkt übermittelten Daten kommen ja nicht
ungesichert über die Letung, man kann allenfalls der Grad der Sicherung
hinterfragen. Dann werden die Daten in der App angezeigt. Sollte man sie auf
irgendeine Weise aus der App extrahieren, ist der Export natürlich nicht
mehr kryptografisch abgesichert.

Eine fehlende Anzeige bzw. Verfügbarkeit des Schlüssels hebt eine vorhandene
Verschlüsselung ja nicht auf, und es ist auch nicht davon auszugehen, daß
die Disounter-App die Daten manipuliert.
Helmut Waitzmann
2024-02-26 18:26:35 UTC
Permalink
Post by Wendelin Uez
Post by Andreas Kohlbach
Was redet ihr hier? Oder bekommt man beim deutschen Discounter
jetzt schon eine digital signierte Rechnung?
Ich hatte geschrieben
" Und auch auf elektronischem Weg bekommst du den Kassenzettel
nicht als fälschbare eMail, sondern kryptographisch gesichert per
Abruf vom Discounter-Server"
Eine normale Mail ist wesentlich leichter zu fälschen als der
Kassenzettel in der Disounter-App.
Das zu fälschen ist relativ einfach:  Man entwickelt sich eine
gefälschte Discounter‐App, die nur genau so aussieht wie das
Original, aber etwas anderes tut, und dann fälscht man noch den
Kassenzettel und schiebt ihn in die gefälschte App.  Die wird
dann zwar keine Signaturprüfung vornehmen, aber ebenso Stein und
Bein schwören wie die Original‐App, dass der angezeigte (in
Wirklichkeit gefälschte) Kassenzettel echt ist.
Post by Wendelin Uez
Die vom Discounter-Server direkt übermittelten Daten kommen ja
nicht ungesichert über die Letung, man kann allenfalls der Grad
der Sicherung hinterfragen.
So weit, so gut, und ich nehme mal an, der Grad der Sicherung ist
hoch genug.
Post by Wendelin Uez
Dann werden die Daten in der App angezeigt.
Und da liegt der Hase im Pfeffer:  Man sieht den angezeigten
Daten nicht mehr an, ob sie echt sind.
Post by Wendelin Uez
Sollte man sie auf irgendeine Weise aus der App extrahieren, ist
der Export natürlich nicht mehr kryptografisch abgesichert.
Das heißt, man kriegt die Daten nur ohne die Signatur heraus. 
Damit kann man sie von gefälschten Daten nicht mehr
unterscheiden.
Post by Wendelin Uez
Eine fehlende Anzeige bzw. Verfügbarkeit des Schlüssels hebt
eine vorhandene Verschlüsselung ja nicht auf,
Hier geht es nicht um eine Verschlüsselung, sondern um einen
Echtheitsnachweis, und nicht nur um den dafür verwendeten
Schlüssel (auch Zertifikat genannt), sondern auch um die
Unterschrift.  Wenn nicht beides beim Empfänger – sei es der
Kunde oder der Richter – vorliegt, ist eine Prüfung nicht
möglich.
Post by Wendelin Uez
und es ist auch nicht davon auszugehen, daß die Disounter-App
die Daten manipuliert.
Aber es ist davon auszugehen, dass ein betrügerischer Kunde
versuchen wird, sich mit einer gefälschten App und einem
gefälschten Kassenzettel „Rabatt“ zu verschaffen.


Wenn zwei Parteien sich vor Gericht treffen, muss man immer auch
die Möglichkeit in Betracht ziehen, dass es jemanden gibt, der
unredliche Absichten hat.  Das kann eine der beiden Parteien sein
oder auch, wie in der Hörfunksendung geschildert, ein Dritter.


Da würde der Richter dann sagen:  „Tut mir leid, das Ihnen sagen
zu müssen, Herr Rechnungssteller, aber für den Empfänger waren
beide Nachrichten gleich echt.  Er hat getan, was er konnte
(nämlich nichts), um Fälschungen zu entdecken, und sich nichts
zuschuldenkommen lassen.  Sie können deshalb von ihm nicht
verlangen, dass er nochmal bezahlt.  Und für die Zukunft empfehle
ich Ihnen, Ihre digitalen Rechnungen kryptografisch zu
unterschreiben und ein stärkeres Passwort zu wählen.  Dann kann
der Empfänger echte von gefälschten unterscheiden.“.
Peter J. Holzer
2024-02-26 19:24:33 UTC
Permalink
Post by Helmut Waitzmann
Da würde der Richter dann sagen:  „Tut mir leid, das Ihnen sagen
zu müssen, Herr Rechnungssteller, aber für den Empfänger waren
beide Nachrichten gleich echt.  Er hat getan, was er konnte
(nämlich nichts), um Fälschungen zu entdecken, und sich nichts
^^^^^^^^^^^^^^
Das ist falsch. Auch bei unsignierten Mails gibt es
Plausibilitätschecks, die man machen kann (und sollte). Ob der Empfänger
das gemacht hat, geht aus dem Beitrag nicht hervor.

Sicher, die Merkmale, auf die solche Checks abzielen, sind wesentlich
leichter zu fälschen als eine kryptografische Signatur, aber erstens
werden sie oft nicht (oder sehr schlecht) gefälscht und zweitens gehen
wir hier davon aus, dass die IT-Infrastruktur des Senders kompromittiert
war - dann ist aber auch eine Signatur nicht mehr sicher.

hp
Helmut Waitzmann
2024-03-02 22:46:28 UTC
Permalink
Post by Peter J. Holzer
Post by Helmut Waitzmann
Da würde der Richter dann sagen:  „Tut mir leid, das Ihnen sagen
zu müssen, Herr Rechnungssteller, aber für den Empfänger waren
beide Nachrichten gleich echt.  Er hat getan, was er konnte
(nämlich nichts),
^^^^^^^^^^^^^^
Post by Helmut Waitzmann
um Fälschungen zu entdecken, und sich nichts
Das ist falsch. Auch bei unsignierten Mails gibt es
Plausibilitätschecks, die man machen kann (und sollte). Ob der
Empfänger das gemacht hat, geht aus dem Beitrag nicht hervor.
Aus dem Beitrag geht hervor, dass die gefälschte Rechnung
versandt werden konnte, weil der Angreifer einen Zugriff auf das
Postfach des Rechnungsstellers hatte.  Deshalb nehme ich an, dass
die gefälschte Rechnung nach technischen Kriterien genau so echt
war wie die richtige.


Andererseits traue ich es Betrügern zu, den Originaltext so
abzuwandeln oder zu ergänzen, dass er die
Plausibilitätskontrolle, in vernünftigem Deutsch verfasst zu
sein, besteht.  Mittels Cut‐and‐Paste den folgenden Absatz
unmittelbar nach der Anrede am Anfang einzufügen, dürfte nicht
allzu schwer sein:


Leider ist uns bei der Erstellung der Rechnung ein Fehler
unterlaufen:  Unsere Bankverbindung hat sich geändert.  Deshalb
erhalten Sie eine korrigierte Fassung.  Bitte verwenden Sie
diese.


Der Rest der Nachricht kann dann wörtlich vom Original kopiert
werden.
Post by Peter J. Holzer
Sicher, die Merkmale, auf die solche Checks abzielen, sind
wesentlich leichter zu fälschen als eine kryptografische
Signatur, aber erstens werden sie oft nicht (oder sehr schlecht)
gefälscht
In geschilderten Fall musste da keines dieser Merkmale gefälscht
werden, weil die betrügerische Fassung vom selben E‐Mail‐Konto
kam wie das Original.  Deshalb überlebte der Betrug jeden dieser
Checks.


Im übrigen:  Welche Merkmale sollten das sein, die der Empfänger
hätte überprüfen sollen?
Post by Peter J. Holzer
und zweitens gehen wir hier davon aus, dass die IT-Infrastruktur
des Senders kompromittiert war -
Nein, davon gehen wir hier nicht aus, denn es war nur die Rede
davon, dass der Angreifer Zugang zum E‐Mail‐Konto hatte – und
zwar so lange, bis man das Passwort änderte –, nicht zur ganzen
IT‐Infrastruktur:  Es wurde ausdrücklich erwähnt, dass der
Angreifer die gefälschte Nachricht mit einem E‐Mail‐Programm wie
Outlook oder Thunderbird verschickt (und nicht etwa die
IT‐Infrastruktur des Rechnungsstellers missbraucht).
Post by Peter J. Holzer
dann ist aber auch eine Signatur nicht mehr sicher.
Das ist richtig.  Wenn das tatsächlich der Fall ist, dass die
IT‐Infrastruktur des Rechnungsstellers in der Hand des Angreifers
ist, bedeutet das in der Konsequenz, dass der Versand der
Rechnung – sowohl des Originals, als auch der Fälschung – in
jedem Fall als unsicher anzusehen ist.  Ein Rechnungssteller, der
vom Empfänger verlangt, in Betracht zu ziehen, dass die
IT‐Infrastruktur des Rechnungsstellers in der Hand eines
Angreifers sein könnte, verlangt vom Empfänger, eine nur per
(kryptografisch signierter) E‐Mail‐Nachricht erhaltene Rechnung
nicht zu akzeptieren (und die Zahlung so lange zu verschieben,
bis eine Rechnung auf sichererem Weg eintrifft), obwohl der
Rechnungsversand per E‐Mail vereinbart ist.


Und außerdem – das ist viel wichtiger – ist für die Sicherheit
der IT‐Infrastruktur des Rechnungsstellers der Rechnungssteller
selber (oder der von ihm beauftragte IT‐Dienstleister)
verantwortlich.  Wenn dabei geschlampert wird und daraus Schäden
entstehen, kann man das nicht dem Nachrichtenempfänger anlasten.
Peter J. Holzer
2024-03-03 00:27:14 UTC
Permalink
Post by Helmut Waitzmann
Post by Peter J. Holzer
Post by Helmut Waitzmann
Da würde der Richter dann sagen:  „Tut mir leid, das Ihnen sagen
zu müssen, Herr Rechnungssteller, aber für den Empfänger waren
beide Nachrichten gleich echt.  Er hat getan, was er konnte
(nämlich nichts),
^^^^^^^^^^^^^^
Post by Helmut Waitzmann
um Fälschungen zu entdecken, und sich nichts
Das ist falsch. Auch bei unsignierten Mails gibt es
Plausibilitätschecks, die man machen kann (und sollte). Ob der
Empfänger das gemacht hat, geht aus dem Beitrag nicht hervor.
Aus dem Beitrag geht hervor, dass die gefälschte Rechnung
versandt werden konnte, weil der Angreifer einen Zugriff auf das
Postfach des Rechnungsstellers hatte.
Nicht wirklich. Zwar sagt der Bestattungsunternehmer, dass die Rechnung
"über dieselbe E‐Mail‐Adresse" gekommen sein. Aber das sagt wenig aus,
solange wir nicht wissen, was er damit meint und wie er es überprüft
hat. Auch die Angabe des Leiter der Abt. Wirtschaftskriminalität beim
LKA BW über den Modus Operandi ist ja allgemein gehalten und wir wissen
nicht, ob das im konkreten Fall so war.

(Versteh mich nicht falsch: Ich *glaube* auch, dass das so war. Aber
eine Radiosendung ist eine verdammt schlechte Quelle für technische
Details. Also *weiß* ich es nicht.)
Post by Helmut Waitzmann
  Deshalb nehme ich an, dass die gefälschte Rechnung nach technischen
Kriterien genau so echt war wie die richtige.
Das kann man annehmen. Aber um das festzustellen, muss man diese
Kriterien erst einmal überprüfen. Hat er das getan? Wir wissen es nicht.
Wenn er es nicht getan hat, dann hat er nicht getan, was er konnte. Wenn
er es getan hat, dann hat er nicht "nichts" getan. (Etwas zu tun heißt
ja nicht notwendigerweise, dass es zum Erfolg führt.)
Post by Helmut Waitzmann
Post by Peter J. Holzer
und zweitens gehen wir hier davon aus, dass die IT-Infrastruktur
des Senders kompromittiert war -
Nein, davon gehen wir hier nicht aus, denn es war nur die Rede
davon, dass der Angreifer Zugang zum E‐Mail‐Konto hatte
Das E-Mail-Konto ist Teil der IT-Infrastruktur. Auch dann, wenn es
outgesourct ist.

hp
Helmut Richter
2024-03-03 09:06:48 UTC
Permalink
Post by Peter J. Holzer
Das kann man annehmen. Aber um das festzustellen, muss man diese
Kriterien erst einmal überprüfen. Hat er das getan? Wir wissen es nicht.
Wenn er es nicht getan hat, dann hat er nicht getan, was er konnte. Wenn
er es getan hat, dann hat er nicht "nichts" getan. (Etwas zu tun heißt
ja nicht notwendigerweise, dass es zum Erfolg führt.)
Sich in die Interna der beteiligten Protokolle einzuarbeiten, um die
Kriterien zu überprüfen, sollte genauso selbstverständlich vom Empfänger
einer E-Mail verlangt werden, wie es auch vom Empfänger eines Papierbriefs
verlangt wird, diesen auf Fingerabdrücke zu untersuchen.
--
Helmut Richter
Helmut Waitzmann
2024-03-03 19:46:59 UTC
Permalink
Post by Peter J. Holzer
Post by Helmut Waitzmann
Post by Peter J. Holzer
Post by Helmut Waitzmann
Da würde der Richter dann sagen:  „Tut mir leid, das Ihnen sagen
zu müssen, Herr Rechnungssteller, aber für den Empfänger waren
beide Nachrichten gleich echt.  Er hat getan, was er konnte
(nämlich nichts),
^^^^^^^^^^^^^^
Post by Helmut Waitzmann
um Fälschungen zu entdecken, und sich nichts
Das ist falsch. Auch bei unsignierten Mails gibt es
Plausibilitätschecks, die man machen kann (und sollte). Ob der
Empfänger das gemacht hat, geht aus dem Beitrag nicht hervor.
Aus dem Beitrag geht hervor, dass die gefälschte Rechnung
versandt werden konnte, weil der Angreifer einen Zugriff auf
das Postfach des Rechnungsstellers hatte.
Nicht wirklich. Zwar sagt der Bestattungsunternehmer, dass die
Rechnung "über dieselbe E‐Mail‐Adresse" gekommen sein. Aber das
sagt wenig aus, solange wir nicht wissen, was er damit meint und
wie er es überprüft hat. Auch die Angabe des Leiter der
Abt. Wirtschaftskriminalität beim LKA BW über den Modus Operandi
ist ja allgemein gehalten und wir wissen nicht, ob das im
konkreten Fall so war.
Nein, die Angabe des Leiters der Abt. Wirtschaftskriminalität
beim LKA BW ist nicht allgemein gehalten.  Es ist ausdrücklich
vom Zugriff auf das Postfach mit Hilfe des Passworts die Rede,
und, dass der Angreifer genau dann nicht mehr zugreifen kann,
wenn der Eigentümer des Postfachs sein Passwort ändert.
Post by Peter J. Holzer
(Versteh mich nicht falsch: Ich *glaube* auch, dass das so war.
Aber eine Radiosendung ist eine verdammt schlechte Quelle für
technische Details. Also *weiß* ich es nicht.)
Aber ich stimme zu:  Die Hörfunksendung war zu sehr eingekürzt. 
15 statt 5 Minuten mit einer ausführlichen Erklärung des
Angriffsvektors und den daraus folgenden vorhandenen und eben
auch nicht vorhandenen Möglichkeiten der Betrugsaufdeckung hätten
ihr durchaus gutgetan.  Und darüber hinaus wäre sie eher etwas
für Rechnungssteller als für Rechnungsempfänger gewesen.
Post by Peter J. Holzer
Post by Helmut Waitzmann
Deshalb nehme ich an, dass die gefälschte Rechnung nach
technischen Kriterien genau so echt war wie die richtige.
Das kann man annehmen. Aber um das festzustellen, muss man diese
Kriterien erst einmal überprüfen. Hat er das getan? Wir wissen es nicht.
Wenn die Hörfunksendung den LKA‐Beamten sagen lässt, dass der
Zugriff mittels des Passworts aufs E‐Mail‐Postfach möglich war,
ich aber gleichzeitig annehmen muss, dass er nicht darüber
erfolgte, dann muss man der Sendung grobe Irreführung vorwerfen. 
Und davon gehe ich eigentlich nicht aus.


Vielmehr schließe ich aus dem Umstand, dass der Zugriff mittels
des Passworts genannt wird, dass Ermittlungen im Nachhinein
ergeben haben, dass der Angreifer genau so vorgegangen ist.


Und wenn das wirklich der Fall ist, dann ist die gefälschte
Nachricht nach e‐mail‐technischen Kriterien genau so echt wie die
vorangegangene richtige.  Dann hat der Empfänger keine
e‐mail‐technischen Kriterien mehr übrig, nach denen er die
Fälschung als Fälschung entlarven kann.  Deshalb habe ich
geschrieben:  Er hat alles getan, was er konnte: nichts.
Post by Peter J. Holzer
Wenn er es nicht getan hat, dann hat er nicht getan, was er
konnte. Wenn er es getan hat, dann hat er nicht "nichts" getan.
(Etwas zu tun heißt ja nicht notwendigerweise, dass es zum
Erfolg führt.)
Welche Kriterien siehst du hier für den Empfänger noch übrig, die
er überprüfen könnte?  Ich kann keine entdecken.
Post by Peter J. Holzer
Post by Helmut Waitzmann
Post by Peter J. Holzer
und zweitens gehen wir hier davon aus, dass die
IT-Infrastruktur des Senders kompromittiert war -
Nein, davon gehen wir hier nicht aus, denn es war nur die Rede
davon, dass der Angreifer Zugang zum E‐Mail‐Konto hatte
Das E-Mail-Konto ist Teil der IT-Infrastruktur. Auch dann, wenn
es outgesourct ist.
Wenn es outgesourct ist, kann man daraus aber nicht schließen,
dass auch der Teil der IT‐Infrastruktur, mit dem kryptografische
Signaturen erstellt werden, betroffen ist und der Angreifer
deshalb auch eine kryptografische Signatur im Namen des
Rechnungsstellers erstellen kann.
Peter J. Holzer
2024-03-03 21:49:11 UTC
Permalink
Post by Helmut Waitzmann
Post by Peter J. Holzer
Post by Helmut Waitzmann
Aus dem Beitrag geht hervor, dass die gefälschte Rechnung
versandt werden konnte, weil der Angreifer einen Zugriff auf
das Postfach des Rechnungsstellers hatte.
Nicht wirklich. Zwar sagt der Bestattungsunternehmer, dass die
Rechnung "über dieselbe E‐Mail‐Adresse" gekommen sein. Aber das
sagt wenig aus, solange wir nicht wissen, was er damit meint und
wie er es überprüft hat. Auch die Angabe des Leiter der
Abt. Wirtschaftskriminalität beim LKA BW über den Modus Operandi
ist ja allgemein gehalten und wir wissen nicht, ob das im
konkreten Fall so war.
Nein, die Angabe des Leiters der Abt. Wirtschaftskriminalität
beim LKA BW ist nicht allgemein gehalten.
Zumindest aus dem von Dir veröffentlichen Transkript geht nicht hervor,
dass der sich auf den Fall des Bestattungsunternehmers bezieht.
Vermutlich spricht er vom üblichen Modus Operandi in solchen Fällen. Das
ist ja auch sinnvoller als einen konkreten Fall im Detail zu
analysieren. Er spricht ja auch recht allgemein (und ein bisschen
zusammenhanglos) von Sicherheitsmaßnahmen im privaten Bereich wie
Virenschutz. Da wurden zwei Leute interviewt und Soundbytes aus beiden
zusammengeschnitten.

hp
Stephan Seitz
2024-03-03 13:32:27 UTC
Permalink
Post by Helmut Waitzmann
jedem Fall als unsicher anzusehen ist.  Ein Rechnungssteller, der
vom Empfänger verlangt, in Betracht zu ziehen, dass die
IT‐Infrastruktur des Rechnungsstellers in der Hand eines
Angreifers sein könnte, verlangt vom Empfänger, eine nur per
(kryptografisch signierter) E‐Mail‐Nachricht erhaltene Rechnung
nicht zu akzeptieren (und die Zahlung so lange zu verschieben,
bis eine Rechnung auf sichererem Weg eintrifft), obwohl der
Rechnungsversand per E‐Mail vereinbart ist.
Öh, was ist denn ein sicherer Weg? Wenn die IT-Infrakstruktur als
unsicher gilt, kannst du davon ausgehen, daß der Angreifer auch eine
Rechnung auf Briefpapier durch die automatische
Drucker-/Frankierstraße durchbekommt.

Stephan
--
| Stephan Seitz E-Mail: stse+***@rootsland.net |
| If your life was a horse, you'd have to shoot it. |
Stefan Kanthak
2024-02-26 19:25:52 UTC
Permalink
"Helmut Waitzmann" <***@xoxy.net> schrieb:

[ unsaeglich klaeglichen Troll entsorgt ]
Post by Helmut Waitzmann
Post by Wendelin Uez
und es ist auch nicht davon auszugehen, daß die Disounter-App
die Daten manipuliert.
Aber es ist davon auszugehen, dass ein betrügerischer Kunde
versuchen wird, sich mit einer gefälschten App und einem
gefälschten Kassenzettel "Rabatt" zu verschaffen.
Ebenso solltest Du davon ausgehen, dass eine andere auf solchem
Spielzeug installierte "App" diese Discounter-"App" oder deren
Daten manipuliert: siehe eID-"App"

Stefan

JFTR: Dein Vorposter darf in keinem gutsortierten Killfile fehlen!
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Wendelin Uez
2024-02-28 18:26:39 UTC
Permalink
Post by Stefan Kanthak
JFTR: Dein Vorposter darf in keinem gutsortierten Killfile fehlen!
Da du meine Beiträge offensichtlich dennoch liest scheinst du deine eigenen
Ratschläge nicht anzuwenden.

Kann ich verstehen, wer beherzigt auch blöde Sprüche :-).
Helmut Waitzmann
2024-03-02 21:17:44 UTC
Permalink
Post by Stefan Kanthak
Ebenso solltest Du davon ausgehen, dass eine andere auf solchem
Spielzeug installierte "App" diese Discounter-"App" oder deren
Daten manipuliert: siehe eID-"App"
Spielst du auf CVE-2024-23674
<https://www.dropbox.com/scl/fi/2powlii0dnmr7p7v5ijhc/2024_German_eID_02_Spoofing_PACE_final.pdf?rlkey=nx0ffmmbq3hffgxsuqwf0f45z&dl=1>
an?
Post by Stefan Kanthak
JFTR: Dein Vorposter darf in keinem gutsortierten Killfile fehlen!
Immerhin sind seine Beiträge sorgfältig in einem Deutsch, das man
lesen kann, verfasst – ganz im Gegensatz zu den Beiträgen manch
anderer, bei denen ich häufig beim Lesen zurücksetzen muss, weil
sie grammatisch defekte Sätze abliefern.


Außerdem kann ich bisher nicht erkennen, dass er an einer
sach‐orientieren Diskussion nicht interessiert wäre.
Stefan Kanthak
2024-03-03 09:56:14 UTC
Permalink
Post by Helmut Waitzmann
Post by Stefan Kanthak
Ebenso solltest Du davon ausgehen, dass eine andere auf solchem
Spielzeug installierte "App" diese Discounter-"App" oder deren
Daten manipuliert: siehe eID-"App"
Spielst du auf CVE-2024-23674
<https://www.dropbox.com/scl/fi/2powlii0dnmr7p7v5ijhc/2024_German_eID_02_Spoofing_PACE_final.pdf?rlkey=nx0ffmmbq3hffgxsuqwf0f45z&dl=
1>
Post by Helmut Waitzmann
an?
Ja.
Post by Helmut Waitzmann
Post by Stefan Kanthak
JFTR: Dein Vorposter darf in keinem gutsortierten Killfile fehlen!
[...]
Post by Helmut Waitzmann
Außerdem kann ich bisher nicht erkennen, dass er an einer
sach-orientieren Diskussion nicht interessiert wäre.
Wer VORSAETZLICH "attribution lines" loescht gehoert in JEDES Killfile!

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Wendelin Uez
2024-03-03 12:24:39 UTC
Permalink
Post by Stefan Kanthak
Wer VORSAETZLICH "attribution lines" loescht gehoert in JEDES Killfile!
Was dir zweifellos freisteht.
Nur scheint es nicht so zu sein, daß du deine eigene Regel beherzigst.

Aber was hindert dich eigentlich daran, deinen Newsreader so einzustellen,
daß er das, was dir fehlt, sichtbar macht? Ich mein, gucken und lesen mußt
du schon selber, das nimmt dir nicht mal Mutti ab.

So eine Haltung, es muß was da sein, egal, ob es nützt oder hindert, es ist
Vorschrift (was es übrigens nicht ist), ist unverzichtbare Basis jeder
Bürokratie. Kann ich mitfühlen, manche geraten schon ins Schwimmen, wenn die
Reihenfolge ihrer Buntstifte durcheinander kommt.

Aber das Leben ist hart. Nimm die intellektuelle Herausforderung an und such
den Vorposter, du willst ja sowieso auf ihn und nicht auf seine Argumente
eindreschen. Jedenfalls kommt da bislang nix.
Helmut Waitzmann
2024-03-03 18:35:40 UTC
Permalink
Post by Stefan Kanthak
Wer VORSAETZLICH "attribution lines" loescht gehoert in JEDES
Killfile!
Gefallen tut mir das auch nicht, und bisher habe ich noch kein
Argument gelesen, warum das Stehenlassen der Zuschreibungszeilen
beim Verfassen eines Beitrags einen unverhältnismäßig hohen
Aufwand bedeutet oder sonst irgendwelche Nachteile für den
Verfasser oder die Leser bewirkt.


Ich stimme zu:  Wer gelesen werden will, mache es den Lesern
leicht.  Dazu gehört für mich auch, Zuschreibungszeilen, die die
Urheberschaft der zitierten Textteile anzeigen, zu verwenden.


Das Fehlen der Zuschreibungszeilen wiegt mir im Allgemeinen aber
nicht so schwer, dass ich allein deshalb auf die Beiträge des
Verfassers nicht mehr reagiere.  (Schwerer wiegt für mich
beispielsweise, wenn jemand Texte schreibt, die von
Grammatikfehlern nur so strotzen und mich deshalb zwingen, in
jedem Satz nach dem ersten Lesen die Grammatikfehler dingfest zu
machen und unter den Korrekturmöglichkeiten die semantisch
passende zu ermitteln, um schließlich hinter den Sinn der Aussage
zu kommen.  Da kann es durchaus vorkommen, dass ich entscheide,
ein OP solch eines Verfassers gar nicht erst zu lesen, weil mir
der Zeitaufwand dafür zu groß ist.)


Crosspost & Followup-To: de.soc.usenet
Helmut Waitzmann
2024-03-17 18:15:41 UTC
Permalink
Post by Helmut Waitzmann
Post by Stefan Kanthak
Ebenso solltest Du davon ausgehen, dass eine andere auf solchem
Spielzeug installierte "App" diese Discounter-"App" oder deren
Daten manipuliert: siehe eID-"App"
Spielst du auf CVE-2024-23674
<https://www.dropbox.com/scl/fi/2powlii0dnmr7p7v5ijhc/2024_German_eID_02_Spoofing_PACE_final.pdf?rlkey=nx0ffmmbq3hffgxsuqwf0f45z&dl=1>
an?
Ja.
Wie dort im proof of concept gezeigt, kann ein Angreifer ein
Angriffsopfer dazu verleiten, ein falsches Update der
Governikus‐AusweisApp oder eine andere App, die vorgibt, die
eID‐Funktion für etwas anderes zu brauchen, sie dabei aber auch
missbraucht, zu installieren.  Da scheint der app store review
process nicht die Sicherheit zu bieten, die man sich von ihm
erhofft.
Stefan Kanthak
2024-03-17 19:34:34 UTC
Permalink
Post by Helmut Waitzmann
Post by Helmut Waitzmann
Post by Stefan Kanthak
Ebenso solltest Du davon ausgehen, dass eine andere auf solchem
Spielzeug installierte "App" diese Discounter-"App" oder deren
Daten manipuliert: siehe eID-"App"
Spielst du auf CVE-2024-23674
<https://www.dropbox.com/scl/fi/2powlii0dnmr7p7v5ijhc/2024_German_eID_02_Spoofing_PACE_final.pdf?rlkey=nx0ffmmbq3hffgxsuqwf0f45z&dl=
1>
Post by Helmut Waitzmann
Post by Helmut Waitzmann
an?
Ja.
Wie dort im proof of concept gezeigt, kann ein Angreifer ein
Angriffsopfer dazu verleiten, ein falsches Update der
Governikus-AusweisApp oder eine andere App, die vorgibt, die
eID-Funktion für etwas anderes zu brauchen, sie dabei aber auch
missbraucht, zu installieren. Da scheint der app store review
process nicht die Sicherheit zu bieten, die man sich von ihm
erhofft.
Richtig, Allerdings ist das NICHT die einzige derartige Schwachstelle:
JEDE (vom Hersteller, vom Verkaeufer, vom Nutzer) installierte "App"
kann die Daten oder Funktion(en) anderer "Apps" kompromittieren, z.B.
ueber Schwachstellen der "App", des darunterliegenden Betruebssystems
oder vom Installateur (zu) "grosszuegig" erteilte Berechtigungen.

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Jörg Lorenz
2024-02-20 09:54:19 UTC
Permalink
Post by Stephan Seitz
Post by Wendelin Uez
Im übrigen ist es schon naiv, fünfstellige Rechnungen als Mail zu
akzeptieren. Be Aldi & Co. erhalte ich selbst für 99 Cent eine Rechnung in
Papier.
Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
(bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
du das Geld dann überweisen sollst).
Mit Sicherheit nicht. Ganz generell sollte man sich überlegen, ob man
per ungeschütztem Mail Rechnungen akzeptieren will. Allenfalls bei per
MIME oder OpenPGP (wäre zu bevorzugen) abgesicherten/verschlüsselten
Rechnungen könnte man darüber reden.
Post by Stephan Seitz
Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
wenn du die entsprechende App verwendest.
Und die genannten Etablissements verschicken Rechnungen? Wäre mir neu.
--
"Ave Caesar! Morituri te salutant!"
Andreas Kohlbach
2024-02-20 17:24:14 UTC
Permalink
Post by Jörg Lorenz
Post by Stephan Seitz
Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
(bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
du das Geld dann überweisen sollst).
Mit Sicherheit nicht. Ganz generell sollte man sich überlegen, ob man
per ungeschütztem Mail Rechnungen akzeptieren will. Allenfalls bei per
MIME oder OpenPGP (wäre zu bevorzugen) abgesicherten/verschlüsselten
Rechnungen könnte man darüber reden.
Post by Stephan Seitz
Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
wenn du die entsprechende App verwendest.
Und die genannten Etablissements verschicken Rechnungen? Wäre mir neu.
Dürfte "Quittung/Kassen-Bon" gemeint sein.

Hier in Nordamerika kann ich bei einem Laden bei Vorzeigen einer
Loyality-Card beim Self-Ceckout bestimmen, dass der Automat mir eine
Quittung druckt, und/oder eine Mail schickt.

Zahle ich an der Kasse, bekommt man nur die Quittung. Man kann seine
Käufe aber online verfolgen, wenn man wieder seine Loyality-Card vorher
scannen ließ.
--
Andreas
Jörg Lorenz
2024-02-20 17:45:49 UTC
Permalink
Post by Andreas Kohlbach
Post by Jörg Lorenz
Post by Stephan Seitz
Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
(bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
du das Geld dann überweisen sollst).
Mit Sicherheit nicht. Ganz generell sollte man sich überlegen, ob man
per ungeschütztem Mail Rechnungen akzeptieren will. Allenfalls bei per
MIME oder OpenPGP (wäre zu bevorzugen) abgesicherten/verschlüsselten
Rechnungen könnte man darüber reden.
Post by Stephan Seitz
Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
wenn du die entsprechende App verwendest.
Und die genannten Etablissements verschicken Rechnungen? Wäre mir neu.
Dürfte "Quittung/Kassen-Bon" gemeint sein.
Hier in Nordamerika kann ich bei einem Laden bei Vorzeigen einer
Loyality-Card beim Self-Ceckout bestimmen, dass der Automat mir eine
Quittung druckt, und/oder eine Mail schickt.
Zahle ich an der Kasse, bekommt man nur die Quittung. Man kann seine
Käufe aber online verfolgen, wenn man wieder seine Loyality-Card vorher
scannen ließ.
Danke für die Erläuterung.
Das sind aber keineswegs betrügerische Rechnungen, die Transaktionen
auslösen können.

Gruss, Jörg
--
"Ave Caesar! Morituri te salutant!"
Andreas Kohlbach
2024-02-21 03:25:18 UTC
Permalink
Post by Jörg Lorenz
Post by Andreas Kohlbach
Post by Jörg Lorenz
Post by Stephan Seitz
Hm, selbst beim Autokauf bekommst du Rechnungen u.a. auch per Mail
(bei Barkauf teilweise mit einem Link zu einem Dienstleister, zu dem
du das Geld dann überweisen sollst).
Mit Sicherheit nicht. Ganz generell sollte man sich überlegen, ob man
per ungeschütztem Mail Rechnungen akzeptieren will. Allenfalls bei per
MIME oder OpenPGP (wäre zu bevorzugen) abgesicherten/verschlüsselten
Rechnungen könnte man darüber reden.
Post by Stephan Seitz
Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
wenn du die entsprechende App verwendest.
Und die genannten Etablissements verschicken Rechnungen? Wäre mir neu.
Dürfte "Quittung/Kassen-Bon" gemeint sein.
Hier in Nordamerika kann ich bei einem Laden bei Vorzeigen einer
Loyality-Card beim Self-Ceckout bestimmen, dass der Automat mir eine
Quittung druckt, und/oder eine Mail schickt.
Zahle ich an der Kasse, bekommt man nur die Quittung. Man kann seine
Käufe aber online verfolgen, wenn man wieder seine Loyality-Card vorher
scannen ließ.
Danke für die Erläuterung.
Das sind aber keineswegs betrügerische Rechnungen, die Transaktionen
auslösen können.
Nein nein.

Wir sind — wie so oft — wieder weit von ursprünglichen Thema entfernt.
--
Andreas
Wendelin Uez
2024-02-28 18:34:59 UTC
Permalink
Post by Jörg Lorenz
Post by Stephan Seitz
Und bei ALDI und Co. kannst du teilweise auch auf papierlos umstellen,
wenn du die entsprechende App verwendest.
Und die genannten Etablissements verschicken Rechnungen? Wäre mir neu.
Installiere deren App, kauf damit ein und sie schicken dir den Bon aufs
Handy.
Ein solcher Bon ist eine Rechnung.
Auch wenn das Wort Rechnung nicht explizit draufsteht.
Loading...