kostas
Goto Top

Email wurde abgefangen. Vom Absender oder Empfänger?

Hallo Zusammen,

schon ein paar mal ist mir aufgefallen dass eine Email die ich an einem Empfänger gesendet habe, abgefangen wurde und jetzt an mich adressiert wurde mit meinem original Inhaltstext der Email.
Die Email wurde zu Oberst mit einer Zeile erweitert Alle ergänzenden Datenn und Übereinstimmungen selbst finden Sie in einer beigefügten Datei. Danke schön. Im Anhang ein PDF. Der Absender ist natürlich immer anders und hat nichts mit meiner ursprünglichen Email zu tun.

Gibt es eine Möglichkeit heraus zu finden ob mein Email als Absender abgefangen wurde oder ob vom Empfänger?
Gibt es Tools um mein Email-System diesbezüglich zu testen?

Content-ID: 6651079642

Url: https://administrator.de/forum/email-wurde-abgefangen-vom-absender-oder-empfaenger-6651079642.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

kpunkt
kpunkt 05.04.2023 um 11:55:39 Uhr
Goto Top
Ich würde als erstes mal den Header der Mail ansehen...

k.
LordGurke
LordGurke 05.04.2023 um 12:07:34 Uhr
Goto Top
Wenn das nur bei einer Person/Firma passiert, würde ich sagen, dass es am Gegenüber liegt.
Die Frage ist auch, wie alt die Inhalte sind — wir haben sowas mit teilweise über zwei Jahre alten E-Mails gesehen. Aber es kann halt ein Vorfall sein, der (bei dir oder beim originären Empfänger) vor Jahren stattgefunden hat.
Wenn da Exchange-Server eingesetzt wurden/werden, hat es ja viel Angebot für Schadsoftware gegeben.
Crusher79
Crusher79 05.04.2023 um 12:30:06 Uhr
Goto Top
Zitat von @LordGurke:
Aber es kann halt ein Vorfall sein, der (bei dir oder beim originären Empfänger) vor Jahren stattgefunden hat.

Korrekt. War es so 12/2021 ?

Anfänglich wurden die abgephishten Mails zeitnah verwendet. Vor ein paar Tagen/ Wochen wurde teils auf die alte Ressource zurück gegriffen.

Finds gerade nicht. War das nicht ursprünlglich ein Fall bei ikea?

https://www.pcwelt.de/article/1200364/hackerangriff-auf-ikea-echt-ausseh ...

Firma ist ja eig. auch egal. Meine es beruht meist noch auf diesen Fall.

@Kostas ist die auch so von Ende 2021 ?
manuel-r
manuel-r 05.04.2023 um 12:44:09 Uhr
Goto Top
Zitat von @kpunkt:

Ich würde als erstes mal den Header der Mail ansehen...

Den Header hat er in dem Fall nicht.
So wie ich es verstehe, und wie es üblicherweise vorkommt, ist lediglich der Text auf den sich die aktuelle eMail bezieht aus einer (anderen/alten) eMail kopiert. Da ist dann nichts mit Header.
Bei der eMail die er jetzt bekommen hat ist ja schon klar, dass die Fake ist und der Anhang nichts gutes im Schilde führt.

Grundsätzlich kann die Kopiervorlage sowohl bei ihm als Absender, also auch bei einem der Empfänger abhanden gekommen sein. Das lässt sich dann nur näherungsweise ermitteln, indem man nachverfolgt um welche eMails es sich handelt die kopiert wurden.
Sind es eMails die an völlig unterschiedliche Empfänger gingen würde ich das Leck beim TO vermuten. Gingen alle eMails an einen Empfänger, eine Empfängerdomain oder an unterschiedliche Domains die aber auf einem Server liegen, dann wurden die eher dort entwendet.

Manuel
Kostas
Kostas 05.04.2023 um 13:34:33 Uhr
Goto Top
Ich habe jetzt recherchiert. Es wurden meine Texte verwendet, der Empfänger war jedoch jemand anders. Hier wurde einiges vermischt. Ist auch egal.
Unser Provider ist Strato. Ich hole Emails über POP3 ab. Mein Client ist Thunderbird. Die Empfänger waren alle private Personen die freie Email Konten wie Web.de und Co. nutzen.
LordGurke
LordGurke 05.04.2023 um 18:21:46 Uhr
Goto Top
Wenn es mehrere Empfänger betrifft, ist das ein sicheres Indiz dafür, dass das Leck auf deiner Seite war/ist. Das wäre ja dann in dem Fall die einzige Gemeinsamkeit.

Du solltest auf jeden Fall dein System auf Schadsoftware prüfen, speziell auf "verdächtige " Addons in Thunderbird.
Und sobald du sicher bist, dass du ein sauberes System hast, solltest du sämtliche Zugangsdaten ersetzen.

Ein mögliches Einfallstor, abseits von Schadsoftware, wäre Credential Stuffing - wenn du dich mal irgendwo auf einer Webseite mit deiner E-Mail-Adresse registriert hast und dort das selbe Passwort wie für dein Mailpostfach benutzt hast, kann es passiert sein, dass diese Webseite gehacked wurde und Leute daraufhin dein dort verwendetes Kennwort mit deinem Mailpostfach genutzt haben und erfoglreich waren.
LeoLan
LeoLan 05.04.2023 um 20:12:34 Uhr
Goto Top
Kontrolliere auch deine Weiterleitungseinstellung beim Mailprovider. Nicht das jemand über ne Lücke, abgegriffenem Passwort oder vergessener vermeintlich inaktiver Weiterleitungsadresse zu den Mails kommt.
Crusher79
Crusher79 05.04.2023 um 21:57:38 Uhr
Goto Top
Mich würde auch das Datum interessieren. Müsste ja zu finden sein wann für original Mails raus gingen.

Hatte es nach gut 1,5 Jahren nochmal gesehen. Gut die Vorlagen geistern eh durch das Netz.

Die Lücken können auch nun ganz geschlossen sein. Zumindest hätte man dann eine zeitliche Einordnung welches z.B. Exchange in Frage kommt. So oder so ist das Kind eh in den Brunnen gefallen. Meist geht es ja mehr um Vertrauen. Inhalte als Masquerade. Der eigentliche Zweck ist ja ein anderer.
Kostas
Kostas 06.04.2023 um 09:21:50 Uhr
Goto Top
Bezüglich Passwörter,
ich kenn nicht ein einziges Passwort von mir. Ich nutze KeePass und dessen generiete Passwörter werden verwendet. Auch das Masterpasswort für KeePass wird über einen Fingerprint Sensor am Laptop erfasst. Das dürfte passen.

Der Zeitpunkt mit 1.5 Jahren trifft es ziemlich. Ich sammle diese Fake Emails für interne Schulungen der Mitarbeiter bezüglich Gefahren bei Emails. So konnte ich den Text in allen Emailkonten durchsuchen und bin fündig geworden und kann den Zeitraum bestätigen. Es sind auch ältere dabei und welche die etwa 1 Jahr alt sind.

Wir setzen keinen exchange ein. Was Strato macht, keine Ahnung. Ich setzt die vier Add ons ein:
2023-04-06_090724

Bezüglich Weiterleitungen sind auf dem Strato Konto keine eingerichtet. Ich habe einen aktiven Virenscanner Bitdefender gravity zone elite im Einsatz.

Auf einer Messe habe ich einige Infos bekommen bezüglich Cybersecurity über die Firma LocateRisk. Die können von außen als Dienstleitung nur über die Domain einen Scann durchführen und Sicherheitslücken aufspüren. Dieser Scann kosten ca. 1500€. Das ist nur ein Scann. Die Probleme werden damit nicht gelöst nur eventuell aufgezeigt. Dazu gibt es dann globale Empfehlungen was zu tun ist. Ich fürchte ich werde das Protokoll nicht Abarbeiten können um die Fehler beseitigen zu können da mir sicherlich etliches an Hintergrund wissen fehlen wird, so zumindest meine Einschätzung. Ich denke mir, wenn die Firma 1500€ verlangst für einen Scann wird das schon ziemlich brauchbar sein. Die Firma ist übrigens schon seriös und arbeitet mit der Telekom zusammen. Aber was ist danach;