Email wird abgefangen
Hallo liebe Administrator.de Gemeinde,
meine Frage dreht sich um die email Sicherheit bzw. Vieren und Trojaner in der Firma.
Folgende Umgebung liegt vor:
-Windows 2008 R2 SBS
-Exchange Server
-Emails werden abgeholt bei 1 und 1
-Clients mit XP Outlook 2007/2010 und Avira / Zone Alarm
-Email Verkehr mit asiatischen Ländern
Und nun zum eigentlichen Problem.
In den letzten Wochen und Monaten erhalten Mitarbeiter immer wieder vereinzelte emails mit zip Anhängen die eine Exe Datei enthalten. Nun ist das nicht weiter schlimm wenn diese von fremden Absendern kommt (oder eine Gewinnbenachrichtigung ist), die werden durch die Mitarbeiter zuverlässig gelöscht.
Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und korrekten email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur die email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang. Dieser enthält einen Trojaner und der Rest ist wie man so schön sagt Geschichte...
Eine Variante davon ist eine Email in der der Absender eine Änderung des Überweisungsempfängers wünscht.
Nicht das der eindruck bei euch entsteht es wären jeden Tag duzende von emails, es ist jetzt der 3. Fall aufgetreten.
Laut schilderung eines Gesprächspartners erhielt selbiger keine emails mehr von uns, was wohl darauf hindeutet das das Sicherheitsleck auf der anderen Seite liegt.
Wie wahrscheinlich ist es das 3 Gesprächspartner aus ein und dem selben Landstrich (Taiwan) mir das gleiche melden und es an denen liegt?
Wurde doch unser System kompromitiert? (Die erste Tests des Netzwerkverkehr's zeigen keine Auffälligkeiten)
Ist eine Art von Whitelist mit Exchange möglich, so das ich bekannte email Adressen z.b. Grün markiere?
Bringt es etwas den Virus/Trojaner zu untersuchen?
Was ratet Ihr mir?
Vielen Dank!
Okeanos85
---
Nachtrag: Es ist auch so das wenn ich auf eine solche gefällschte email Antworte, mir der "Bösewicht" auch nochmals Antwortet...
meine Frage dreht sich um die email Sicherheit bzw. Vieren und Trojaner in der Firma.
Folgende Umgebung liegt vor:
-Windows 2008 R2 SBS
-Exchange Server
-Emails werden abgeholt bei 1 und 1
-Clients mit XP Outlook 2007/2010 und Avira / Zone Alarm
-Email Verkehr mit asiatischen Ländern
Und nun zum eigentlichen Problem.
In den letzten Wochen und Monaten erhalten Mitarbeiter immer wieder vereinzelte emails mit zip Anhängen die eine Exe Datei enthalten. Nun ist das nicht weiter schlimm wenn diese von fremden Absendern kommt (oder eine Gewinnbenachrichtigung ist), die werden durch die Mitarbeiter zuverlässig gelöscht.
Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und korrekten email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur die email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang. Dieser enthält einen Trojaner und der Rest ist wie man so schön sagt Geschichte...
Eine Variante davon ist eine Email in der der Absender eine Änderung des Überweisungsempfängers wünscht.
Nicht das der eindruck bei euch entsteht es wären jeden Tag duzende von emails, es ist jetzt der 3. Fall aufgetreten.
Laut schilderung eines Gesprächspartners erhielt selbiger keine emails mehr von uns, was wohl darauf hindeutet das das Sicherheitsleck auf der anderen Seite liegt.
Wie wahrscheinlich ist es das 3 Gesprächspartner aus ein und dem selben Landstrich (Taiwan) mir das gleiche melden und es an denen liegt?
Wurde doch unser System kompromitiert? (Die erste Tests des Netzwerkverkehr's zeigen keine Auffälligkeiten)
Ist eine Art von Whitelist mit Exchange möglich, so das ich bekannte email Adressen z.b. Grün markiere?
Bringt es etwas den Virus/Trojaner zu untersuchen?
Was ratet Ihr mir?
Vielen Dank!
Okeanos85
---
Nachtrag: Es ist auch so das wenn ich auf eine solche gefällschte email Antworte, mir der "Bösewicht" auch nochmals Antwortet...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193438
Url: https://administrator.de/forum/email-wird-abgefangen-193438.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
ohne groß jetzt auf die Einzelheiten einzugehen.
Gruß
ohne groß jetzt auf die Einzelheiten einzugehen.
Emails werden abgeholt bei 1 und 1
Via POP3-Connector?Ist eine Art von Whitelist mit Exchange möglich, so das ich bekannte email Adressen z.b. Grün markiere?
Weiß zwar nicht genau wie das bei 1und1 ist, aber auch dort wirst du sicherlich deine White- und Blacklist einstellen können und somit VOR dem Empfang auf dem Exchange die E-Mail filtern. Allerdings ändert es an deinem Verhalten nichts. Wenn du eine Wildcard in der Whitelist hinzufügst und der SPAM-Account den gleichen Domänennamen verwendet und die .zip-File anhängt, kommt die Mail ohne Probleme durch.Nicht das der eindruck bei euch entsteht es wären jeden Tag duzende von emails, es ist jetzt der 3. Fall aufgetreten.
Das nimmt leider immer mehr zu und wird auch immer professioneller realisiert. Da hilft es eigentlich nur, grundsätzlich alle .zip-/.rar-Dateien als Virus einzustufen und dem Administrator mitzuteilen. Dieser kann nach Überprüfung die Datei dann freigeben.Gruß
Hallo,
Ich glaube da gabs auch mal was das der Server den Inhalt einen nicht verschlüsselten ZIPs checkt.
Gruß
Zitat von @Okeanos85:
Folgende Umgebung liegt vor:
-Windows 2008 R2 SBS
-Exchange Server
-Emails werden abgeholt bei 1 und 1
Wieso arbeitest du mit POP Connectoren und empfängst nicht direkt?Folgende Umgebung liegt vor:
-Windows 2008 R2 SBS
-Exchange Server
-Emails werden abgeholt bei 1 und 1
Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und korrekten
email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur die
email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang. Dieser enthält
einen Trojaner und der Rest ist wie man so schön sagt Geschichte...
Eine Variante davon ist eine Email in der der Absender eine Änderung des Überweisungsempfängers wünscht.
Warum lässt du nicht alle EXE files gleich vom Server wegschmeißen?email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur die
email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang. Dieser enthält
einen Trojaner und der Rest ist wie man so schön sagt Geschichte...
Eine Variante davon ist eine Email in der der Absender eine Änderung des Überweisungsempfängers wünscht.
Ich glaube da gabs auch mal was das der Server den Inhalt einen nicht verschlüsselten ZIPs checkt.
Nachtrag: Es ist auch so das wenn ich auf eine solche gefällschte email Antworte, mir der "Bösewicht" auch
nochmals Antwortet...
Warum antwortet man auf sowas?nochmals Antwortet...
Gruß
Hi,
Die Email hat den richtigen Verlauf aber der Absender ist falsch?
Wie genau sieht das denn aus, was ist anders, der Name, die Domain?
Guck dir doch mal die Email im Rohtext an, da siehst du schön wo die genau herkam.
Outlook 2010: Der "Pfeil nach unten rechts" bei Kategorien.
Das würde ich dir auch empfehlen und nicht noch den Exchange ins Internet hängen.
Erst mal gucken bei den AV-Herstellern was das Ding macht ....
Alles andere halte ich schon für fahrlässig, es sei denn du kennst dich damit aus.
VG
Deepsys
Zitat von @Okeanos85:
Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und korrekten
email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur die
email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang.
Moment, wie geht das?Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und korrekten
email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur die
email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang.
Die Email hat den richtigen Verlauf aber der Absender ist falsch?
Wie genau sieht das denn aus, was ist anders, der Name, die Domain?
Guck dir doch mal die Email im Rohtext an, da siehst du schön wo die genau herkam.
Outlook 2010: Der "Pfeil nach unten rechts" bei Kategorien.
Laut schilderung eines Gesprächspartners erhielt selbiger keine emails mehr von uns, was wohl darauf hindeutet das das
Sicherheitsleck auf der anderen Seite liegt.
Jo.Sicherheitsleck auf der anderen Seite liegt.
Ist eine Art von Whitelist mit Exchange möglich, so das ich bekannte email Adressen z.b. Grün markiere?
Das kannst du bei 1&1 machen und auch dort schon mal Viren suchen lassen.Das würde ich dir auch empfehlen und nicht noch den Exchange ins Internet hängen.
Bringt es etwas den Virus/Trojaner zu untersuchen?
???Erst mal gucken bei den AV-Herstellern was das Ding macht ....
Alles andere halte ich schon für fahrlässig, es sei denn du kennst dich damit aus.
Nachtrag: Es ist auch so das wenn ich auf eine solche gefällschte email Antworte, mir der "Bösewicht" auch
nochmals Antwortet...
Und was, Schrott oder sogar eine echte Antwort?nochmals Antwortet...
VG
Deepsys
Hi,
Ehrlich gesagt, musste ich nun auch mehrere Sekunden gucken um den Unterschied überhaupt zu sehen.
Wenn da einer/eine reinfällt, ist das kein Wunder .
Allerdings, wenn die Emails von einer anderen Domäne kommen, ist der E-Mail-Server in Taiwan eher nicht geknackt, sonst könnte er auch von dort direkt schreiben.
Allerdings wenn ihr eine Firewall habt und die E-Mail per POP abholt, sehe ich hier auch keine große Gefahr.
Wenn, denn vom Client aus infiziert.
Du könntest hinter dem Exchange mal den Netzwerktraffic belauschen (Wireshark) und mal sehen wie die Email dort aussieht. Ist dort der Empfänger geändert, ist eurer Exchange infiziert. Wenn nicht, eher nicht.
Evtl. ist ein Email-Gateway infiziert und eure Geschäftspartner nutzen alle das Gleiche ....
Interessant ....
VG
Deepsys
Ehrlich gesagt, musste ich nun auch mehrere Sekunden gucken um den Unterschied überhaupt zu sehen.
Wenn da einer/eine reinfällt, ist das kein Wunder .
Allerdings, wenn die Emails von einer anderen Domäne kommen, ist der E-Mail-Server in Taiwan eher nicht geknackt, sonst könnte er auch von dort direkt schreiben.
Allerdings wenn ihr eine Firewall habt und die E-Mail per POP abholt, sehe ich hier auch keine große Gefahr.
Wenn, denn vom Client aus infiziert.
Du könntest hinter dem Exchange mal den Netzwerktraffic belauschen (Wireshark) und mal sehen wie die Email dort aussieht. Ist dort der Empfänger geändert, ist eurer Exchange infiziert. Wenn nicht, eher nicht.
Ja, da kommt dann eine echte Antwort. Nehmen wir mal als wahres Beispiel mal die Änderung es
Überweisungsempfängers. Die Mitarbeiterin hat sich vergewissern wollen ob das auch richtig ist und hat auf Antworten
geklickt. Zurück kam die Bestätigung das die Empfänger änderung richtig sei. Hier hat uns nur das deutsche
Gestz davor bewahrt an eine Bank in Indien zu überweisen statt an den richtigen in Taiwan.
Das ist schon clever und auch aufwändig.Überweisungsempfängers. Die Mitarbeiterin hat sich vergewissern wollen ob das auch richtig ist und hat auf Antworten
geklickt. Zurück kam die Bestätigung das die Empfänger änderung richtig sei. Hier hat uns nur das deutsche
Gestz davor bewahrt an eine Bank in Indien zu überweisen statt an den richtigen in Taiwan.
Evtl. ist ein Email-Gateway infiziert und eure Geschäftspartner nutzen alle das Gleiche ....
Interessant ....
VG
Deepsys
- Social engineering
- Couter-Attack
- Informationsbeschaffung
- etc
Damit kann man versuchen mehr über den Angreifer herauszufinden.
lks
PS: @to: Was geben die Header her?
Zitat von @Deepsys:
Evtl. ist ein Email-Gateway infiziert und eure Geschäftspartner nutzen alle das Gleiche ....
Evtl. ist ein Email-Gateway infiziert und eure Geschäftspartner nutzen alle das Gleiche ....
Etwa so, wie wenn jemand sich bei 1&1 oder Strato reingehackt hätte und von dort alles "filtert".
lks
PS: es gibt natürlich ncoh haufenweise anderer Dienstleister, bei denen das auch passieren könnte, aber die o.g. sind halt die prominentesten hierzulande.
Zitat von @Lochkartenstanzer:
> Zitat von @Hitman4021:
> ----
> Warum antwortet man auf sowas?
Und man bestätigt gleichzeitig das auf dieser E-Mail Adresse wer SPAM Mails liest.> Zitat von @Hitman4021:
> ----
> Warum antwortet man auf sowas?
- Social engineering
- Couter-Attack
- Informationsbeschaffung
- etc
Gruß
Zitat von @Hitman4021:
Und man bestätigt gleichzeitig das auf dieser E-Mail Adresse wer SPAM Mails liest.
Und man bestätigt gleichzeitig das auf dieser E-Mail Adresse wer SPAM Mails liest.
Wenn ich den TO richtig verstanden habe, wissen die Angreifer schon, daß da einer die Mails liest und diese werden auch so formuliert, daß diese gar nicht als SPAM auffallen. Das ist ja der Trick am MITM. Die schicken ja nicht wie üblich wahllos an "zufällige" Adressen mails, in der Hoffnung, daß da die Mails durchkommen. das sind gezielte Angriffe auf diese Firma.
Nachtrag: Der Mailaustausch ist ungefähr so zu sehen, wie das Hinhalten eines Telefonerpressers, der möglichst in der Leitung bleiben soll, damit man ihn lokalisieren kann.
lks
Sehe ich hier etwas anders.
So wie ich das ganze hier sehe, hängen die "Bösewichte" auf irgendeinen Relay und senden an alle E-Mail Adressen die dadrüber laufen blind Mails.
Das die Daten gezielt sind ist momentan auch bei normalen SPAM Mails nichts besonderes mehr.
Und wie hoch ist die Wahrscheinlichkeit den Absender eines SPAM Mails zu lokalisieren?
So gut wie unmöglich.
Gruß
So wie ich das ganze hier sehe, hängen die "Bösewichte" auf irgendeinen Relay und senden an alle E-Mail Adressen die dadrüber laufen blind Mails.
Das die Daten gezielt sind ist momentan auch bei normalen SPAM Mails nichts besonderes mehr.
Und wie hoch ist die Wahrscheinlichkeit den Absender eines SPAM Mails zu lokalisieren?
So gut wie unmöglich.
Mustermann@msa.hinet.net -> richtig
Mustermann@msa.hibet.net -> falsch
Wenn sich wie hier die Domain unterscheidet würde ich die falsche mal Blacklisten.Mustermann@msa.hibet.net -> falsch
Gruß
Zitat von @Hitman4021:
Sehe ich hier etwas anders.
So wie ich das ganze hier sehe, hängen die "Bösewichte" auf irgendeinen Relay und senden an alle E-Mail
Adressen die dadrüber laufen blind Mails.
Das die Daten gezielt sind ist momentan auch bei normalen SPAM Mails nichts besonderes mehr.
Und wie hoch ist die Wahrscheinlichkeit den Absender eines SPAM Mails zu lokalisieren?
So gut wie unmöglich.
Sehe ich hier etwas anders.
So wie ich das ganze hier sehe, hängen die "Bösewichte" auf irgendeinen Relay und senden an alle E-Mail
Adressen die dadrüber laufen blind Mails.
Das die Daten gezielt sind ist momentan auch bei normalen SPAM Mails nichts besonderes mehr.
Und wie hoch ist die Wahrscheinlichkeit den Absender eines SPAM Mails zu lokalisieren?
So gut wie unmöglich.
Nun man kann vielleicht den Absender nciht unbedingt lokalisieren, aber man kann zumindest versuchen, den kompromittierten Server zu lokalisieren udn diesen fixen, bzw die Geschäftpartner dazu anhalten, dieses gateway nciht mehr zu nutzen.
lks
PS: Das wäre der richtige Zeitpunkt über signierte und ggf. verschlüsselte Mails nachzudenken.
Moin,
Nach dem schnellen überfliegen der Header zu urteilen scheint mir das einfach ein kompromittierter gmail-Account zu sein (oder ein kompromittierter Rechner mit zugriff auf den Account), wenn man nicht von einem Maulwurf ausgehen will.
Zeit Computer durchzuchecken und auch die Paßworte zu ändern.
Ohne jetzt genauer die Kommunikationswege zu kennen, ist es schwierig da konkrete Vorschläge zu machen.
Man könnte natürlich auch mit fake-mails versuchen den Angreifer aus der Reserve zu locken und dann zu schauen, ob man den lokalisieren kann. Die meisten Menschen, auch die Angreifer werden unvorsichtig, wenn Ihre Gier über möglichen großen Reibach Ihre Vorsicht ausschaltet. Man merkt das daran, da die 419-Scams offensichtlich immer noch funktionieren.
lks
Nach dem schnellen überfliegen der Header zu urteilen scheint mir das einfach ein kompromittierter gmail-Account zu sein (oder ein kompromittierter Rechner mit zugriff auf den Account), wenn man nicht von einem Maulwurf ausgehen will.
Zeit Computer durchzuchecken und auch die Paßworte zu ändern.
Ohne jetzt genauer die Kommunikationswege zu kennen, ist es schwierig da konkrete Vorschläge zu machen.
Man könnte natürlich auch mit fake-mails versuchen den Angreifer aus der Reserve zu locken und dann zu schauen, ob man den lokalisieren kann. Die meisten Menschen, auch die Angreifer werden unvorsichtig, wenn Ihre Gier über möglichen großen Reibach Ihre Vorsicht ausschaltet. Man merkt das daran, da die 419-Scams offensichtlich immer noch funktionieren.
lks
Hallo,
ich würde dem Exchange oder besser noch vorher ein GW mit Virenschutz integrieren und dann ist das Problem beseitigt.
Ich nutze hier das Symantec Brightmail Gateway und auf dem Exchange Mail Secutity for Exchange. Nur heute sind 126 Mials von hotel.com mit einer zip.exe Buchungsbestätigung gefiltert worden. (und knapp 14.000 Spams)
Gruß
ackerdiesel
ich würde dem Exchange oder besser noch vorher ein GW mit Virenschutz integrieren und dann ist das Problem beseitigt.
Ich nutze hier das Symantec Brightmail Gateway und auf dem Exchange Mail Secutity for Exchange. Nur heute sind 126 Mials von hotel.com mit einer zip.exe Buchungsbestätigung gefiltert worden. (und knapp 14.000 Spams)
Gruß
ackerdiesel