Überweisung nur mit Lupe

[TischlerTheo]

Hallo
letztens wurde doch in der „Genau“ beschrieben wie der Handwerker die Schlussrechnung an den Architekten per PDF sendet- dieser diese an den Kunden weiterleitet ( als pdf) - und der Kunde wundert sich über die unbekannte IBAN Nummer. Sie wurde während des Email Versandes durch Kriminelle geändert!
Da macht der Versand per Post wieder Sinn.
Schöne Grüße
Theo

 

[inselino]

Am Ende ist es doch wie bei so vielen Regularien eine Frage, wer welche Sicherheit tragen will. Und ohne jetzt mit der großen Gesellschaftskritik-Keule anzukommen sehe ich darin ein großes Problem unserer Zeit. Jeder möchte bezahlt werden aber keiner möchte die Verantwortung tragen. Drum wälzt die Bank mit allen Mechanismen das Risiko auf den Kunden ab und jede Regelung wird im wesentlichen davon getrieben, dass irgendwer irgendwo betrügt. (Was ja leider auch passiert und dadurch das ganze vielleicht auch notwendig ist) manchmal aber zu absurden Situationen führt wie den ganzen ausgedruckten PDFs führt.

Ich stimme da auch fragnix zu. Wenn ich eine Rechnung im Original als PDF bekomme muss dies irgendwo abgespeichert werden und nicht nur als Ausdruck vorliegen, denn da kann ja schon auf dem Weg zum Blatt Papier genug manipuliert werden. Gleichzeitig gelten dann aber nur ausgedruckte Rechnungen als Beleg keine digitalen Scans. Die könnte man ja fälschen.
Naja es ist alles ein wenig absurd, manchmal unnötig komplex, manchmal unterschätzt man aber an vielen Stellen vermutlich auch die kriminelle Energie die da bei einigen vorherscht.

 

[Mitglied 59145]

Die Frage was jetzt Sinn macht ist da die entscheidende. Bewahre ich Lieferscheine überhaupt noch auf, nur um alle 4 Jahre bei einem Streitwert von 300€ Recht zu haben? Oder hebe ich die erst ab 400€ auf? Frage ich bei einem Überweisungsfehler mit Zahlendreher und 3 € Nachteil zu meinen Lasten nach? Prüfe ich sowas überhaupt und wieviel Mühe mache ich mir damit?

Wo reicht Plausibilität und wo "lohnt" es genau zu sein?

Ich beobachte dass ich da bei vielem nachlässiger werde, merke aber fast keine negativen Folgen.......

Klar Buchhaltung muss schon auf einem sauberen Fundament stehen, aber bei vielem alltäglichen bin ich inzwischen etwas lockerer.

 

[KalterBach]

Hallo
letztens wurde doch in der „Genau“ beschrieben wie der Handwerker die Schlussrechnung an den Architekten per PDF sendet- dieser diese an den Kunden weiterleitet ( als pdf) - und der Kunde wundert sich über die unbekannte IBAN Nummer. Sie wurde während des Email Versandes durch Kriminelle geändert!
Da macht der Versand per Post wieder Sinn.
Schöne Grüße
Theo

Schade, aber manch Handwerker signiert seine PDFs.

 

[FredT]

@inselino auch gedruckte Rechnungen kann man fälschen...

 

[inselino]

Ist jetzt die Frage wen du täuschen willst. Aber eine handschriftlich unterschriebene Rechnung die per Post zu gesendet wird gegen eine Fälschung mit anderen Beträgen zu tauschen macht schon mehr Aufwand als in einem PDF 2 Zahlen zu ändern.

Es geht ja oft nur um die Höhe der Hürde. Mit genug Aufwand kann man den heimischen PC Hacken aber ein WLAN mit vernünftigem Passwort, eine große Skepsis bei Mails und ein Plug In gegen automatische Java Ausführung auf Websites setzt die Hürde halt schon relativ hoch.

 

[WinfriedM]

Schade, aber manch Handwerker signiert seine PDFs.

Dann müsste der Empfänger aber wissen, dass die Rechnung signiert sein muss. Der Fälscher kann ja einfach eine gefälschte Rechnung ohne Signatur dranhängen.

 

[KalterBach]

Dann müsste der Empfänger aber wissen, dass die Rechnung signiert sein muss.

Ja. Online-Rechnungen müssten entweder einem offenen Standard mit entsprechender Sicherheit folgen, oder aber signiert sein.

Der Fälscher kann ja einfach eine gefälschte Rechnung ohne Signatur dranhängen.

Das kannst Du ohne Signatur nicht überprüfen.

 

[uli2003]

Ja. Online-Rechnungen müssten entweder einem offenen Standard mit entsprechender Sicherheit folgen, oder aber signiert sein.

Das steht bitte wo?

 

[Mitglied 59145]

Das steht bitte wo?

"müssten" schreibt er

 

[uli2003]

Stimmt, danke.

 

[KalterBach]

Das steht bitte wo?

Das sagt der gesunde Menschenverstand.

 

[uli2003]

Das ich Rechnungen signieren muss? Nö. Wüsste nicht wozu.

 

[brubu]

Hallo
Nötig ist es sicher nicht, ich kannte einen Handwerker der seine Rechnungen sicherheitshalber mit Tusche signiert hat weil seine Rechnungen einmal gefälscht wurden um damit Steuerabzüge geltend zu machen.
Gruss brubu

 

[uli2003]

Nötig ist es sicher nicht, ich kannte einen Handwerker der seine Rechnungen sicherheitshalber mit Tusche signiert hat weil seine Rechnungen einmal gefälscht wurden um damit Steuerabzüge geltend zu machen.

Was soll das bringen? Eine gefälschte Rechnung beim Finanzamt zum Vorsteuerabzug zu verwenden ist immer unklug. Prinzipiell kann man sich dann auch Lieferanten oder Handwerker ausdenken und Rechnungen selbst erstellen. Herauskommen kann das erst wenn derjenige geprüft wird,
und dann ist jegliche Signatur völlig schnuppe.
Aber wenn eine Prüfung ist, und Eingangsrechnungen werden stichprobenartig beim Ersteller geprüft - dann ist es der Steuerfahndung relativ egal ob die Rechnung geändert oder gefaked wurde.

Ärgerlich ist natürlich der Umstand, wenn auf dem Weg zum Kunden Kontonummern verändert werden. Aber mal ganz ehrlich - die Mär vom 'Mitlesen' eines Angreifers ist doch für den kleinen Unternehmer oder auch Privatmann uninteressant.
Das hört sich so an, als wenn der Hacker sich 'mal eben' einklinkt, das Programm zum Mitlesen öffnet, sich die Rechnungen heraussucht, manipuliert und weitersendet. Sooo einfach ist das nicht einmal annähernd.
Für die notwendigen Umstände dazu ist bei mir ein 6er im Lotto wahrscheinlicher, wenn ich denn spielen würde.

 

[WinfriedM]

Ärgerlich ist natürlich der Umstand, wenn auf dem Weg zum Kunden Kontonummern verändert werden. Aber mal ganz ehrlich - die Mär vom 'Mitlesen' eines Angreifers ist doch für den kleinen Unternehmer oder auch Privatmann uninteressant.
Das hört sich so an, als wenn der Hacker sich 'mal eben' einklinkt, das Programm zum Mitlesen öffnet, sich die Rechnungen heraussucht, manipuliert und weitersendet. Sooo einfach ist das nicht einmal annähernd.

Wenn man die Kontonummern fälscht und dann falsch überwiesen wird, kann man ja relativ schnell und unkompliziert Geld ergaunern. Insofern ist es für Angreifer interessant. Sich in die Mailkommunikation einzuklinken, dafür gibts zahlreiche Schwachstellen. Ein Bekannter hatte z.B. folgenden Angriff: Kollegin hat versehentlich ein per Mail bekommenes Word-Dokument geöffnet, welches Makros enthielt. Diese Makros haben Thunderbird ausgelesen und die Mailpasswörter abgegriffen. Der Angriff fiel ihr gar nicht auf, weil das Dokument sich nicht richtig geöffnet hat, sie dachte an einen technischen Fehler. Ein Tag später wurde dann das Mailpostfach, was ja im Internet direkt erreichbar ist, missbraucht. In diesem Fall nur, um Spam zu versenden. Wenn man aber einmal im Besitz der Zugangsdaten für Mailpostfächer ist, kann man viel Missbrauch betreiben. Das ist eine große Schwachstelle.

Die andere Möglichkeit: Der Mailserver eines Zulieferers wird angegriffen und alle ausgehenden Rechnungen werden manipuliert. Hab ich auch schon erlebt.

Es sind vor allem die Endpunkte, die angegriffen werden. Der Mailtransport über diverse Server von Internetprovidern sind nicht das Problem, die sind recht sicher und es wird mittlerweile auch fast überall verschlüsselt übertragen.

 

[uli2003]

Der Mailserver eines Zulieferers wird angegriffen und alle ausgehenden Rechnungen werden manipuliert.

Ja, denkbar. Da reden wir aber von Großunternehmen wo sich das lohnen mag, nicht über Kleinunternehmer, noch weniger Privatpersonen. Wie schon gesagt, 'mal eben den Datenverkehr auslesen' geht nicht.

Diese Makros haben Thunderbird ausgelesen und die Mailpasswörter abgegriffen.

Wer speichert denn seine Mailpasswörter in Thunderbird? Selber schuld.

 

[WinfriedM]

Wer speichert denn seine Mailpasswörter in Thunderbird? Selber schuld.

Wie soll denn das sonst gehen? Technisch ist das das Mittel der Wahl, sonst kann Thunderbird ja keine Mails abholen.

 

[FredT]

Macht es doch mal nicht zu kompliziert. Wenn ich eine Leistung erbringe und darüber Rechnung lege, sind Kunde und ich auf einem Level. Bekomme ich eine Leistung, prüfe ich die s&r richtig und bezahle. Wenn nicht im Einklang, nehme ich kontakt mit dem Leistungsnehmer oder -erbringer auf. Wo nützt da uns beiden Vertragspartnern eine gefakte Rechnung?

 

[WinfriedM]

Wo nützt da uns beiden Vertragspartnern eine gefakte Rechnung?

Es gibt viele Möglichkeiten, wo sie dir direkt schaden kann: Beispiel: Manipulierte Kontonummer, auf die du dann überweist. Dann ist dein Geld als Kunde weg oder den Verkäufer trifft die Schuld, dann ist sein Geld weg.

 

[brubu]

.

 

[ChristophW]

Kollegin hat versehentlich ein per Mail bekommenes Word-Dokument geöffnet, welches Makros enthielt

Wie macht man (m/w/d) sowas 'versehentlich'? Und was hat das mit manipulieren von Rechnungen auf dem Weg zum Kunden, das ist doch schon sehr abwegig, und eher ein Fall von Kompromittierung des Rechners da ist eine falsche Rechnung noch das geringste Problem.

 

[WinfriedM]

Wie macht man (m/w/d) sowas 'versehentlich'?

Stressiger Tag, hat Mail von einem bestimmten Absender mit Anhang erwartet, die kam dann auch, war aber leider eine von einem Virus erzeugte (emotet oder sowas). Meine Erfahrung im Alltag ist da auch: Wer nicht sehr computeraffin ist, dem passiert das irgendwann mal im Alltag. Ist auch schon Kollegen passiert, die eigentlich wissen, was man nicht tun sollte.

Und was hat das mit manipulieren von Rechnungen auf dem Weg zum Kunden, das ist doch schon sehr abwegig,

Wieso abwegig? Schneller kann man nicht zu Geld kommen. Als Angreifer brauch ich nur drauf zu warten, dass Rechnungen im Postfach Online ankommen, die ich abfange. Dann ändere ich die Kontoverbindung auf der Rechnung und pack die wieder ins Postfach. Der Empfänger zahlt ganz normal seine Rechnung auf die falsche Kontoverbindung und das Geld landet beim Angreifer.

eher ein Fall von Kompromittierung des Rechners da ist eine falsche Rechnung noch das geringste Problem.

Das zusätzlich, der Rechner ist für zahlreiche weitere Angriffe nutzbar. Und in der Praxis hab ich schon zahlreiche Privatcomputer in den Fingern gehabt, die schon jahrelang nicht nur einmal kompromitiert waren. Ein Bekannter hatte es mal auf 12 Trojaner gebracht, die ihn fleißig beobachteten und den Rechner für üble Sachen missbrauchten. So sieht die Realität leider öfter aus. Selbst in manch einem Unternehmen.

 

[brubu]

Hallo
Irgendwie hacken geht immer. Bei uns wurde vor ein paar Jahren im TV gezeigt wie das sehr gut möglich ist. Eine Handelsfirma spielte mit, das Personal wusste Bescheid, dass irgendwann ein Angriff stattfinden wird. Also waren alle vorsichtig. IT Spezialisten versuchten das Personal auszutricksen um in das System einzudringen. Am Anfang waren die Angriffe alle erfolglos. Später wurde an einer Bewerbung eine Datei angehängt mit Schadsoftware. So konnte die ganze Firma ausspioniert werden.
Ich schreibe dies nur um darauf aufmerksam zu machen, selber verstehe ich davon nichts.
Gruss brubu

 

[ChristophW]

Wieso abwegig?

Es ging doch darum das 'die Kriminellen' sich 'einfach' zwischen Kunde und Handwerker setzen und die Rechnung manipulieren würden. Wenn ich Zugriff auf den Rechner habe ist es auch egal ob die Rechnung signiert ist weil ich dann jedes beliebige Dokument signieren könnte...