okeanos85
Goto Top

Email wird abgefangen

Hallo liebe Administrator.de Gemeinde,
meine Frage dreht sich um die email Sicherheit bzw. Vieren und Trojaner in der Firma.

Folgende Umgebung liegt vor:

-Windows 2008 R2 SBS
-Exchange Server
-Emails werden abgeholt bei 1 und 1
-Clients mit XP Outlook 2007/2010 und Avira / Zone Alarm

-Email Verkehr mit asiatischen Ländern

Und nun zum eigentlichen Problem.

In den letzten Wochen und Monaten erhalten Mitarbeiter immer wieder vereinzelte emails mit zip Anhängen die eine Exe Datei enthalten. Nun ist das nicht weiter schlimm wenn diese von fremden Absendern kommt (oder eine Gewinnbenachrichtigung ist), die werden durch die Mitarbeiter zuverlässig gelöscht.

Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und korrekten email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur die email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang. Dieser enthält einen Trojaner und der Rest ist wie man so schön sagt Geschichte...
Eine Variante davon ist eine Email in der der Absender eine Änderung des Überweisungsempfängers wünscht.

Nicht das der eindruck bei euch entsteht es wären jeden Tag duzende von emails, es ist jetzt der 3. Fall aufgetreten.

Laut schilderung eines Gesprächspartners erhielt selbiger keine emails mehr von uns, was wohl darauf hindeutet das das Sicherheitsleck auf der anderen Seite liegt.

Wie wahrscheinlich ist es das 3 Gesprächspartner aus ein und dem selben Landstrich (Taiwan) mir das gleiche melden und es an denen liegt?
Wurde doch unser System kompromitiert? (Die erste Tests des Netzwerkverkehr's zeigen keine Auffälligkeiten)
Ist eine Art von Whitelist mit Exchange möglich, so das ich bekannte email Adressen z.b. Grün markiere?
Bringt es etwas den Virus/Trojaner zu untersuchen?

Was ratet Ihr mir?

Vielen Dank!

Okeanos85

---

Nachtrag: Es ist auch so das wenn ich auf eine solche gefällschte email Antworte, mir der "Bösewicht" auch nochmals Antwortet...

Content-ID: 193438

Url: https://administrator.de/forum/email-wird-abgefangen-193438.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

d4shoerncheN
d4shoerncheN 29.10.2012 um 09:43:34 Uhr
Goto Top
Hallo,

ohne groß jetzt auf die Einzelheiten einzugehen.

Emails werden abgeholt bei 1 und 1
Via POP3-Connector?

Ist eine Art von Whitelist mit Exchange möglich, so das ich bekannte email Adressen z.b. Grün markiere?
Weiß zwar nicht genau wie das bei 1und1 ist, aber auch dort wirst du sicherlich deine White- und Blacklist einstellen können und somit VOR dem Empfang auf dem Exchange die E-Mail filtern. Allerdings ändert es an deinem Verhalten nichts. Wenn du eine Wildcard in der Whitelist hinzufügst und der SPAM-Account den gleichen Domänennamen verwendet und die .zip-File anhängt, kommt die Mail ohne Probleme durch.

Nicht das der eindruck bei euch entsteht es wären jeden Tag duzende von emails, es ist jetzt der 3. Fall aufgetreten.
Das nimmt leider immer mehr zu und wird auch immer professioneller realisiert. Da hilft es eigentlich nur, grundsätzlich alle .zip-/.rar-Dateien als Virus einzustufen und dem Administrator mitzuteilen. Dieser kann nach Überprüfung die Datei dann freigeben.

Gruß
Hitman4021
Hitman4021 29.10.2012 um 09:48:10 Uhr
Goto Top
Hallo,

Zitat von @Okeanos85:
Folgende Umgebung liegt vor:

-Windows 2008 R2 SBS
-Exchange Server
-Emails werden abgeholt bei 1 und 1
Wieso arbeitest du mit POP Connectoren und empfängst nicht direkt?

Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und korrekten
email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur die
email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang. Dieser enthält
einen Trojaner und der Rest ist wie man so schön sagt Geschichte...
Eine Variante davon ist eine Email in der der Absender eine Änderung des Überweisungsempfängers wünscht.
Warum lässt du nicht alle EXE files gleich vom Server wegschmeißen?
Ich glaube da gabs auch mal was das der Server den Inhalt einen nicht verschlüsselten ZIPs checkt.

Nachtrag: Es ist auch so das wenn ich auf eine solche gefällschte email Antworte, mir der "Bösewicht" auch
nochmals Antwortet...
Warum antwortet man auf sowas?

Gruß
Okeanos85
Okeanos85 29.10.2012 um 11:10:20 Uhr
Goto Top
Hallo,

> Emails werden abgeholt bei 1 und 1
Via POP3-Connector?

Ja noch bis Weihnachten, dann hab ich dafür mal ne ruhige Minute das umzustellen.

> Ist eine Art von Whitelist mit Exchange möglich, so das ich bekannte email Adressen z.b. Grün markiere?
Weiß zwar nicht genau wie das bei 1und1 ist, aber auch dort wirst du sicherlich deine White- und Blacklist einstellen
können und somit VOR dem Empfang auf dem Exchange die E-Mail filtern. Allerdings ändert es an deinem Verhalten
nichts. Wenn du eine Wildcard in der Whitelist hinzufügst und der SPAM-Account den gleichen Domänennamen verwendet und
die .zip-File anhängt, kommt die Mail ohne Probleme durch.

hmmm Blacklistpflege ist ziemlich mühsam Whitelist dann eher. Werde das dann mal bei 1und1 in erfahrung bringen.
-> ist eine Farbliche markierung mittels regeln im Exchange möglich?

> Nicht das der eindruck bei euch entsteht es wären jeden Tag duzende von emails, es ist jetzt der 3. Fall aufgetreten.
Das nimmt leider immer mehr zu und wird auch immer professioneller realisiert. Da hilft es eigentlich nur, grundsätzlich
alle .zip-/.rar-Dateien als Virus einzustufen und dem Administrator mitzuteilen. Dieser kann nach Überprüfung die
Datei dann freigeben.

Wie lässt sich das mit Exchange umsetzen?

Viele Grüße

Okeanos85
Okeanos85
Okeanos85 29.10.2012 um 11:13:39 Uhr
Goto Top
Zitat von @Hitman4021:
Hallo,

> Zitat von @Okeanos85:
> ----
> Folgende Umgebung liegt vor:
>
> -Windows 2008 R2 SBS
> -Exchange Server
> -Emails werden abgeholt bei 1 und 1
Wieso arbeitest du mit POP Connectoren und empfängst nicht direkt?

> Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und
korrekten
> email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur
die
> email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang. Dieser
enthält
> einen Trojaner und der Rest ist wie man so schön sagt Geschichte...
> Eine Variante davon ist eine Email in der der Absender eine Änderung des Überweisungsempfängers wünscht.

Warum lässt du nicht alle EXE files gleich vom Server wegschmeißen?
Ich glaube da gabs auch mal was das der Server den Inhalt einen nicht verschlüsselten ZIPs checkt.

-> Da werde ich dann gleich mal suchen gehen. Danke!

> Nachtrag: Es ist auch so das wenn ich auf eine solche gefällschte email Antworte, mir der "Bösewicht"
auch
> nochmals Antwortet...
Warum antwortet man auf sowas?

Weil man zu dem Zeitpunkt noch nicht wusste das es sich um den Bösewicht handelte.

Gruß
Deepsys
Deepsys 29.10.2012 um 11:39:22 Uhr
Goto Top
Hi,
Zitat von @Okeanos85:
Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und korrekten
email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur die
email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang.
Moment, wie geht das?
Die Email hat den richtigen Verlauf aber der Absender ist falsch?
Wie genau sieht das denn aus, was ist anders, der Name, die Domain?

Guck dir doch mal die Email im Rohtext an, da siehst du schön wo die genau herkam.
Outlook 2010: Der "Pfeil nach unten rechts" bei Kategorien.


Laut schilderung eines Gesprächspartners erhielt selbiger keine emails mehr von uns, was wohl darauf hindeutet das das
Sicherheitsleck auf der anderen Seite liegt.
Jo.

Ist eine Art von Whitelist mit Exchange möglich, so das ich bekannte email Adressen z.b. Grün markiere?
Das kannst du bei 1&1 machen und auch dort schon mal Viren suchen lassen.
Das würde ich dir auch empfehlen und nicht noch den Exchange ins Internet hängen.

Bringt es etwas den Virus/Trojaner zu untersuchen?
???
Erst mal gucken bei den AV-Herstellern was das Ding macht ....
Alles andere halte ich schon für fahrlässig, es sei denn du kennst dich damit aus.

Nachtrag: Es ist auch so das wenn ich auf eine solche gefällschte email Antworte, mir der "Bösewicht" auch
nochmals Antwortet...
Und was, Schrott oder sogar eine echte Antwort?

VG
Deepsys
Okeanos85
Okeanos85 29.10.2012 um 12:46:10 Uhr
Goto Top
> Es ist jetzt aber so, das die Mitarbeiter emails erhalten in denen der "bösewicht" mit der kompletten und
korrekten
> email korrespondenz Antwortet. Da der Gesprächsverlauf richtig ist, alle verwendeten Namen richtig sind und sich nur
die
> email adresse minimal unterscheidet fallen nun einige Mitarbeiter darauf rein und öffnen den Anhang.
Moment, wie geht das?

Am einleuchtensten erscheint mir das wie folgt:

A (wir) senden an B(Partner) eine email. C(Bösewicht) hat zugriff auf den Email Server von A oder B. (jetzt mal von B ausgehend.)
C richtet per Filter oder ähnlichem eine Freigabe weiterleitung ein. z.b. alle emails die von A kommen müssen von C genehmigt werden, damit B diese erhällt.

Zum passenden Zeitpunkt Lässt C keine Mails an B mehr durch die von A kommen und Antwortet selbst.

Die Email hat den richtigen Verlauf aber der Absender ist falsch?
Wie genau sieht das denn aus, was ist anders, der Name, die Domain?

Das ist qualitativ unterschiedlich z.b.

Mustermann@msa.hinet.net -> richtig
Mustermann@msa.hibet.net -> falsch

Das muss man nicht sehen, wenn nur die falsche verwendet wird.

Diesmal war es einfach zu erkennen. gmail.com statt der richtigen Domain.

Guck dir doch mal die Email im Rohtext an, da siehst du schön wo die genau herkam.
Outlook 2010: Der "Pfeil nach unten rechts" bei Kategorien.

Mach ich.


> Ist eine Art von Whitelist mit Exchange möglich, so das ich bekannte email Adressen z.b. Grün markiere?
Das kannst du bei 1&1 machen und auch dort schon mal Viren suchen lassen.
Das würde ich dir auch empfehlen und nicht noch den Exchange ins Internet hängen.

> Bringt es etwas den Virus/Trojaner zu untersuchen?
???
Erst mal gucken bei den AV-Herstellern was das Ding macht ....
Alles andere halte ich schon für fahrlässig, es sei denn du kennst dich damit aus.

> Nachtrag: Es ist auch so das wenn ich auf eine solche gefällschte email Antworte, mir der "Bösewicht"
auch
> nochmals Antwortet...
Und was, Schrott oder sogar eine echte Antwort?

Ja, da kommt dann eine echte Antwort. Nehmen wir mal als wahres Beispiel mal die Änderung es Überweisungsempfängers. Die Mitarbeiterin hat sich vergewissern wollen ob das auch richtig ist und hat auf Antworten geklickt. Zurück kam die Bestätigung das die Empfänger änderung richtig sei. Hier hat uns nur das deutsche Gestz davor bewahrt an eine Bank in Indien zu überweisen statt an den richtigen in Taiwan.

Viele Grüße

Okeanos85
Deepsys
Deepsys 29.10.2012 um 13:05:14 Uhr
Goto Top
Hi,

Zitat von @Okeanos85:
Mustermann@msa.hinet.net -> richtig
Mustermann@msa.hibet.net -> falsch
Ehrlich gesagt, musste ich nun auch mehrere Sekunden gucken um den Unterschied überhaupt zu sehen.
Wenn da einer/eine reinfällt, ist das kein Wunder .

Allerdings, wenn die Emails von einer anderen Domäne kommen, ist der E-Mail-Server in Taiwan eher nicht geknackt, sonst könnte er auch von dort direkt schreiben.
Allerdings wenn ihr eine Firewall habt und die E-Mail per POP abholt, sehe ich hier auch keine große Gefahr.
Wenn, denn vom Client aus infiziert.

Du könntest hinter dem Exchange mal den Netzwerktraffic belauschen (Wireshark) und mal sehen wie die Email dort aussieht. Ist dort der Empfänger geändert, ist eurer Exchange infiziert. Wenn nicht, eher nicht.


Ja, da kommt dann eine echte Antwort. Nehmen wir mal als wahres Beispiel mal die Änderung es
Überweisungsempfängers. Die Mitarbeiterin hat sich vergewissern wollen ob das auch richtig ist und hat auf Antworten
geklickt. Zurück kam die Bestätigung das die Empfänger änderung richtig sei. Hier hat uns nur das deutsche
Gestz davor bewahrt an eine Bank in Indien zu überweisen statt an den richtigen in Taiwan.
Das ist schon clever und auch aufwändig.
Evtl. ist ein Email-Gateway infiziert und eure Geschäftspartner nutzen alle das Gleiche ....

Interessant ....

VG
Deepsys
Lochkartenstanzer
Lochkartenstanzer 29.10.2012 um 13:17:55 Uhr
Goto Top
Zitat von @Hitman4021:
Warum antwortet man auf sowas?

  • Social engineering
  • Couter-Attack
  • Informationsbeschaffung
  • etc

Damit kann man versuchen mehr über den Angreifer herauszufinden.

lks

PS: @to: Was geben die Header her?
Lochkartenstanzer
Lochkartenstanzer 29.10.2012 aktualisiert um 13:21:19 Uhr
Goto Top
Zitat von @Deepsys:
Evtl. ist ein Email-Gateway infiziert und eure Geschäftspartner nutzen alle das Gleiche ....

Etwa so, wie wenn jemand sich bei 1&1 oder Strato reingehackt hätte und von dort alles "filtert". face-smile

lks

PS: es gibt natürlich ncoh haufenweise anderer Dienstleister, bei denen das auch passieren könnte, aber die o.g. sind halt die prominentesten hierzulande.
Hitman4021
Hitman4021 29.10.2012 um 13:20:32 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
> Zitat von @Hitman4021:
> ----
> Warum antwortet man auf sowas?

  • Social engineering
  • Couter-Attack
  • Informationsbeschaffung
  • etc
Und man bestätigt gleichzeitig das auf dieser E-Mail Adresse wer SPAM Mails liest.

Gruß
Lochkartenstanzer
Lochkartenstanzer 29.10.2012 aktualisiert um 13:28:50 Uhr
Goto Top
Zitat von @Hitman4021:
Und man bestätigt gleichzeitig das auf dieser E-Mail Adresse wer SPAM Mails liest.

Wenn ich den TO richtig verstanden habe, wissen die Angreifer schon, daß da einer die Mails liest und diese werden auch so formuliert, daß diese gar nicht als SPAM auffallen. Das ist ja der Trick am MITM. Die schicken ja nicht wie üblich wahllos an "zufällige" Adressen mails, in der Hoffnung, daß da die Mails durchkommen. das sind gezielte Angriffe auf diese Firma.

Nachtrag: Der Mailaustausch ist ungefähr so zu sehen, wie das Hinhalten eines Telefonerpressers, der möglichst in der Leitung bleiben soll, damit man ihn lokalisieren kann.

lks
Hitman4021
Hitman4021 29.10.2012 um 13:34:38 Uhr
Goto Top
Sehe ich hier etwas anders.
So wie ich das ganze hier sehe, hängen die "Bösewichte" auf irgendeinen Relay und senden an alle E-Mail Adressen die dadrüber laufen blind Mails.
Das die Daten gezielt sind ist momentan auch bei normalen SPAM Mails nichts besonderes mehr.

Und wie hoch ist die Wahrscheinlichkeit den Absender eines SPAM Mails zu lokalisieren?
So gut wie unmöglich.

Mustermann@msa.hinet.net -> richtig
Mustermann@msa.hibet.net -> falsch
Wenn sich wie hier die Domain unterscheidet würde ich die falsche mal Blacklisten.

Gruß
Lochkartenstanzer
Lochkartenstanzer 29.10.2012 um 13:46:24 Uhr
Goto Top
Zitat von @Hitman4021:
Sehe ich hier etwas anders.
So wie ich das ganze hier sehe, hängen die "Bösewichte" auf irgendeinen Relay und senden an alle E-Mail
Adressen die dadrüber laufen blind Mails.
Das die Daten gezielt sind ist momentan auch bei normalen SPAM Mails nichts besonderes mehr.

Und wie hoch ist die Wahrscheinlichkeit den Absender eines SPAM Mails zu lokalisieren?
So gut wie unmöglich.

Nun man kann vielleicht den Absender nciht unbedingt lokalisieren, aber man kann zumindest versuchen, den kompromittierten Server zu lokalisieren udn diesen fixen, bzw die Geschäftpartner dazu anhalten, dieses gateway nciht mehr zu nutzen.

lks

PS: Das wäre der richtige Zeitpunkt über signierte und ggf. verschlüsselte Mails nachzudenken. face-smile
Okeanos85
Okeanos85 29.10.2012 aktualisiert um 15:17:01 Uhr
Goto Top
Hallo,

also der Header ergab hier folgendes:

(ich hoffe man darf soetwas hier posten, aber es geht ja um Bösewichte und die wird es nicht stören)


[Das imho interessante]
envelope-from=capt.office@gmail.com; helo=mwsmtp02vmoc.mail2world.com;
auth-sender: kt005@care2.com
Return-Path: <capt.office@gmail.com>
Reply-To: XXX <capt.office@ymail.com> <-- XXX von mir geschwärzt


[Ganzer auszug]

Received-SPF: neutral (mxeu1: 209.67.128.250 is neither permitted nor denied by domain of gmail.com) client-ip=209.67.128.250; envelope-from=capt.office@gmail.com; helo=mwsmtp02vmoc.mail2world.com;
Received: from mwsmtp02vmoc.mail2world.com (mwsmtp02vmoc.mail2world.com
[209.67.128.250]) by mx.kundenserver.de (node=mxeu1) with ESMTP (Nemesis) id
0Mar1C-1Tgqgd1Wv4-00K8vr for xxx; Sat, 27 Oct
2012 13:55:55 +0200
Received: from mail pickup service by mwsmtp02vmoc.mail2world.com with
Microsoft SMTPSVC; Sat, 27 Oct 2012 04:55:52 -0700
auth-sender: kt005@care2.com
Return-Path: <capt.office@gmail.com>
Received: from 10.1.106.92 unverified ([10.1.106.92]) by
mwsmtp02vmoc.mail2world.com with Mail2World SMTP Server; Sat, 27 Oct 2012
04:55:47 -0700
Received: from [41.151.7.243] by care2.com with HTTP; 10/27/2012 4:55:47 AM
PST
thread-index: Ac20OgCjK4UX2XJ2S7GGSD2GpaA6zg==
Thread-Topic: 26.10.12 Reply to Capt. Engine
Reply-To: xxx <capt.office@ymail.com>


Danke!

VG

Okeanos85
Lochkartenstanzer
Lochkartenstanzer 30.10.2012 aktualisiert um 11:01:48 Uhr
Goto Top
Moin,

Nach dem schnellen überfliegen der Header zu urteilen scheint mir das einfach ein kompromittierter gmail-Account zu sein (oder ein kompromittierter Rechner mit zugriff auf den Account), wenn man nicht von einem Maulwurf ausgehen will.

Zeit Computer durchzuchecken und auch die Paßworte zu ändern.

Ohne jetzt genauer die Kommunikationswege zu kennen, ist es schwierig da konkrete Vorschläge zu machen.

Man könnte natürlich auch mit fake-mails versuchen den Angreifer aus der Reserve zu locken und dann zu schauen, ob man den lokalisieren kann. Die meisten Menschen, auch die Angreifer werden unvorsichtig, wenn Ihre Gier über möglichen großen Reibach Ihre Vorsicht ausschaltet. Man merkt das daran, da die 419-Scams offensichtlich immer noch funktionieren.

lks
ackerdiesel
ackerdiesel 31.10.2012 um 16:10:07 Uhr
Goto Top
Hallo,

ich würde dem Exchange oder besser noch vorher ein GW mit Virenschutz integrieren und dann ist das Problem beseitigt.
Ich nutze hier das Symantec Brightmail Gateway und auf dem Exchange Mail Secutity for Exchange. Nur heute sind 126 Mials von hotel.com mit einer zip.exe Buchungsbestätigung gefiltert worden. (und knapp 14.000 Spams)


Gruß
ackerdiesel