![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ein Blog-Leser hat mich zum 16. Oktober 2025 auf eine unsch\u00f6ne Geschichte hingewiesen. Es gab Spoofing-Angriffe auf einen Ford-H\u00e4ndler, die \u00fcber das T-Systems Mail-Hosting-System erfolgten. F\u00fchrte zur \u00dcberweisung eines gr\u00f6\u00dferen Betrags an Cyberkriminelle. Hier einige Informationen, die mit der Leser zur Verf\u00fcgung gestellt hat.<\/p>\n
<\/p>\n
Zum Einstieg ein kurzer Blick auf ein Sicherheitsthema, welches Unternehmen mehr und mehr bedroht. Unternehmen bekommen Rechnungen f\u00fcr legitime Bestellungen, in denen aber die IBAN f\u00fcr das Zielkonto von Cyberkriminellen manipuliert wurde. Zahlungen der Opfer gehen an die Kriminellen. Ursache sind gehackte Mail-Konten (meist beim Absender der Rechnung).<\/p>\n
Mitte Juli 2025 hatte ich im Beitrag\u00a0Neue Betrugsmasche mit manipulierten Rechnungen<\/a> \u00fcber den ersten Fall berichtet. Die per E-Mail verschickte Rechnung eines Landmaschinenh\u00e4ndlers an eine Landwirtin wurde auf dem Versandweg manipuliert. Die Rechnungsempf\u00e4ngerin \u00fcberwies, trotz Nachfrage von der Bank, ob man dem Empf\u00e4nger vertraut, auf das fremde Konto der Betr\u00fcger.<\/p>\n Im Blog-Beitrag\u00a0Betrug mit manipulierten Rechnungen: Ein neuer Fall \/ ein neuer Trend<\/a> hatte ich das Thema an einem weiteren Fall gespiegelt, wo ebenfalls auf dem Versandweg eine PDF-Rechnung durch gehackte E-Mail-Konten manipuliert wurde. Unternehmen sollten zwar eine Liste der Kreditoren samt IBAN haben, f\u00fcr die Rechnungen beglichen werden sollen. Aber nicht jedes Unternehmen ist so aufgestellt – insbesondere kleiner Firmen und Firmen mit h\u00e4ufig wechselnden Rechnungsstellern fallen da durch das Raster.<\/p>\n Die F\u00e4lle f\u00fcr solche Manipulationen k\u00f6nnten durch die seit Oktober 2025 in der EU geltende Pflicht zum Abgleich der Empf\u00e4ngerdaten \u00fcber \u00dcberweisungen (Verification of Payee, VoP) abnehmen (siehe\u00a0Ab Oktober 2025 gelten neue \u00dcberweisungsregeln bei Banken<\/a>). Die Bank pr\u00fcft dann IBAN und Empf\u00e4ngernamen ab und zeigt entsprechende Warnungen an. Aber Firmen k\u00f6nnen diese Pr\u00fcfung bei Sammel\u00fcberweisungen abw\u00e4hlen (siehe<\/a>).<\/p>\n Ein Blog-Leser begleitete als externer IT-Ansprechpartner ein von einem aktuellen Betrugsfall betroffenes Unternehmen. Durch eine Spoofing-E-Mail mit gef\u00e4lschtem Absender (vermeintlich vom Gesch\u00e4ftsf\u00fchrer) wurde der Kunde dazu verleitet, eine hohe Summe auf ein Konto in Polen zu \u00fcberweisen.<\/p>\n In der Folge dieses Betrugs wurde ein Ermittlungsverfahren durch die polnische Polizei eingeleitet. In einer E-Mail vom 16. Oktober 2025 teilte mir der Leser dann mit, dass er bei der Ursachenanalyse auf ein potenziell gr\u00f6\u00dferes Sicherheitsproblem gesto\u00dfen sei. In einer ersten Analyse vermutete er,\u00a0dass der Mail-Provider des betroffenen Unternehmens keine M\u00f6glichkeit bietet, SPF-, DKIM- oder DMARC-Eintr\u00e4ge zu setzen.\u00a0Dadurch k\u00f6nnen die Identit\u00e4t der absendenden Domain nicht wirksam gesch\u00fctzt werden, was Spoofing-Angriffe massiv erleichtert. Bei diesem Mail-Provider handelt es sich laut Leser um T-Systems\/Itenos (abcpartner.de, fsoc.de).<\/p>\n Der Leser schrieb, dass\u00a0T-Systems diese Hosting-L\u00f6sung offenbar f\u00fcr eine gro\u00dfe Zahl von Autoh\u00e4usern – insbesondere Ford-H\u00e4ndler – betreibt.\u00a0Der Zugang zum Automotive-Netz (Volvo, Ford, Jaguar, Land Rover) beinhalte E-Mail Adressen in dem Format firmenname.fsoc.de<\/em>. Ein Subdomain-Scan der Domain fsoc.de<\/em> zeige alle potenziell gef\u00e4hrdete Kunden, merkt der Leser an.<\/p>\n In einer Nachtragsmail schrieb mir der Leser, dass er in der Zwischenzeit versucht\u00a0habe, weitere Informationen \u00fcber die polnische Polizei zu erhalten.\u00a0Nach erneuter Pr\u00fcfung hat sich herausgestellt, dass der anf\u00e4ngliche Verdacht auf eine Sicherheitsl\u00fccke bei Itenos bzw. ABCPartner nur teilweise zutrifft.<\/p>\n Urspr\u00fcnglich vermutete der Leser, dass die Phishing-Mails auf fehlende Sicherheitsma\u00dfnahmen (SPF\/DKIM\/DMARC) bei Itenos\/ABCPartner zur\u00fcckzuf\u00fchren seien und es sich um einen gezielten Angriff handelt. Der Leser gibt aber an, dass ein Administrator von ABCPartner ihm vor einiger Zeit mitgeteilt habe, dass im ABC-Partner-Portal s\u00e4mtliche Passw\u00f6rter im Klartext in einer Datenbank gespeichert werden. Das Portal selbst wirkt auf den Leser veraltet und scheint seit l\u00e4ngerer Zeit nicht\u00a0mehr aktiv gepflegt zu werden. \u00c4nderungen m\u00fcssen dort gr\u00f6\u00dftenteils noch \u00fcber PDF-Formulare beantragt werden.<\/p>\n Der Leser schloss seine Nachtrags-Mail mit der Aussage:\u00a0Nach aktuellem Stand handelt es sich jedoch nicht<\/span> um einen gezielten Angriff im Zusammenhang mit ABCPartner. Wie bei \u00e4hnlichen Phishing-Angriffen \u00fcblich, wurde vermutlich eine Datenbank mit E-Mail-Adressen kompromittiert. Der\u00a0Kunde war demnach lediglich ein Zufallsopfer.\u00a0Der Leser schrieb aber in seiner ersten Mail, dass sich einige weitere Betroffene bereits bei ihm gemeldet haben. Er schlie\u00dft eine gr\u00f6\u00dfere Welle an solchen Betrugs-Mails deren Adressen durch Spoofing ermittelt wurden, nicht aus.<\/p>\n Der Leser schrieb: \"Da ich die Kunden nicht alle individuell erreichen kann, wollte ich Sie fragen, ob Sie dieses Thema auf Ihrem Blog aufgreifen w\u00fcrden \u2013 als Warnung und Aufkl\u00e4rung f\u00fcr die betroffenen Unternehmen. Ich bin \u00fcberzeugt, dass eine Ver\u00f6ffentlichung dabei helfen k\u00f6nnte, Schaden zu begrenzen und Aufmerksamkeit auf diese kritische L\u00fccke zu lenken.\"<\/p>\n Artikelreihe:<\/strong> \u00c4hnliche Artikel:<\/strong> Ein Blog-Leser hat mich zum 16. Oktober 2025 auf eine unsch\u00f6ne Geschichte hingewiesen. Es gab Spoofing-Angriffe auf einen Ford-H\u00e4ndler, die \u00fcber das T-Systems Mail-Hosting-System erfolgten. F\u00fchrte zur \u00dcberweisung eines gr\u00f6\u00dferen Betrags an Cyberkriminelle. Hier einige Informationen, die mit der Leser … Weiterlesen Ein neuer Betrugsfall bei Ford-Autoh\u00e4ndlern<\/h2>\n
Neue Informationen zum System<\/h2>\n
\nSpoofing-Angriffe auf Ford-H\u00e4ndler erm\u00f6glichte Betrug<\/a> – Teil 1
\nCyberangriff auf move XM; Dienstleister f\u00fcr alle VW- \/ Audi-H\u00e4ndler<\/a> – Teil 2
\nVirenversand \u00fcber Mobile.de Nachrichten<\/a> – Teil 3<\/p>\n
\nNeue Betrugsmasche mit manipulierten Rechnungen<\/a>
\nBetrugsfall mit falschem SEPA-Mandat \u00fcber sevdesk<\/a>
\nBetrug mit manipulierten Rechnungen: Ein neuer Fall \/ ein neuer Trend<\/a>
\nVorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"