6
Gefälschte Mails in unserem Namen werden an Kunden verschickt
Guten Tag,
wir haben aktuell vermehrt Rückmeldungen von Kunden/Vertretern erhalten, dass diese E-Mails erhalten haben die angeblich von uns kommen sollen.
Da wir nicht die Telekom sind, sondern ein Mittelständisches Unternehmen in einer Nischen Branche, sind die Mails gezielt und nicht wahllos verschickt worden.
Als Absender sind hier E-Mail Adressen von unseren Kollegen angegeben, die auch wirklich so Existieren. Sieht auf den ersten Blick für den Laien also echt aus.
Schaut man sich den Header dieser Mails an, stell ich fest, dass diese Mails eben nicht von unserem Server verschickt wurden, sondern von Amerika aus. Die IP Gehört z.B zu einem Hoster Namens Godaddy. Ist ja schon mal gut, dass die Mails nicht von unserem Server verschickt wurden, trotzdem Frage ich mich:
1. Woher kommen die Spammer an die Mail Adressen der Kunden/Vertreter?
2. Müssen wir befürchten das wir ein Leck/Eindringling im System haben?
3. Was können wir jetzt tun?
Hier mal ein Header einer solchen Mail (Den Namen Unserer Kollegin und der Empfängerin Habe ich getauscht):
Received: from PR2PR03MB5162.eurprd03.prod.outlook.com (2603:10a6:800:d0::28)
by VI1PR0302MB2736.eurprd03.prod.outlook.com with HTTPS via
VI1P195CA0018.EURP195.PROD.OUTLOOK.COM; Wed, 3 Apr 2019 08:25:19 +0000
Received: from DB8PR03CA0012.eurprd03.prod.outlook.com (2603:10a6:10:be::25)
by PR2PR03MB5162.eurprd03.prod.outlook.com (2603:10a6:101:25::13) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.1771.13; Wed, 3 Apr
2019 08:25:18 +0000
Received: from VE1EUR01FT049.eop-EUR01.prod.protection.outlook.com
(2a01:111:f400:7e01::200) by DB8PR03CA0012.outlook.office365.com
(2603:10a6:10:be::25) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.1750.16 via Frontend
Transport; Wed, 3 Apr 2019 08:25:18 +0000
Received: from p3plwbeout17-02.prod.phx3.secureserver.net (173.201.193.164) by
VE1EUR01FT049.mail.protection.outlook.com (10.152.3.56) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.1750.16 via Frontend Transport; Wed, 3 Apr 2019 08:25:17 +0000
Received: from p3plgemwbe17-01.prod.phx3.secureserver.net ([173.201.193.135])
by :WBEOUT: with SMTP id BbCPhehDMYuvNBbCPhYnYq; Wed, 03 Apr 2019 01:24:45
-0700
Received: (qmail 21726 invoked by uid 99); 3 Apr 2019 08:24:45 -0000
From: XXX <Unsere.Kollegin@unserefirma.de>
To: Info <info@Kunde.com>
Subject: Re: Urgent Request
Thread-Topic: Urgent Request
Thread-Index: AQHU6fbG+o+kVUeWK0KeTTMtAk2sXA==
Date: Wed, 3 Apr 2019 08:24:43 +0000
Message-ID: <20190403012443.847dcd9f471930b2504e436244eccfad.f4dfa0510f.wbe@email17.godaddy.com>
Reply-To: Unsere Kollegin <order@invoices-office.com>
Content-Language: en-US
X-MS-Exchange-Organization-AuthSource: VE1EUR01FT049.eop-EUR01.prod.protection.outlook.com
X-MS-Has-Attach:
X-Auto-Response-Suppress: DR, OOF, AutoReply
X-MS-TNEF-Correlator:
received-spf: None (protection.outlook.com: duguteportal.com does not
designate permitted sender hosts)
x-ms-publictraffictype: Email
X-Microsoft-Antispam-Mailbox-Delivery: ucf:0;jmr:1;ex:0;auth:0;dest:J;ENG
20160513016)(750119)(520011016);
X-Microsoft-Antispam-Message-Info: =?utf-8?B?TTZQanVwaVhsSnUxK1hXZEVsWTY4UDRzenhNZUQyMlpvZENFNnRnN01KOFUv?=
Grüße
wir haben aktuell vermehrt Rückmeldungen von Kunden/Vertretern erhalten, dass diese E-Mails erhalten haben die angeblich von uns kommen sollen.
Da wir nicht die Telekom sind, sondern ein Mittelständisches Unternehmen in einer Nischen Branche, sind die Mails gezielt und nicht wahllos verschickt worden.
Als Absender sind hier E-Mail Adressen von unseren Kollegen angegeben, die auch wirklich so Existieren. Sieht auf den ersten Blick für den Laien also echt aus.
Schaut man sich den Header dieser Mails an, stell ich fest, dass diese Mails eben nicht von unserem Server verschickt wurden, sondern von Amerika aus. Die IP Gehört z.B zu einem Hoster Namens Godaddy. Ist ja schon mal gut, dass die Mails nicht von unserem Server verschickt wurden, trotzdem Frage ich mich:
1. Woher kommen die Spammer an die Mail Adressen der Kunden/Vertreter?
2. Müssen wir befürchten das wir ein Leck/Eindringling im System haben?
3. Was können wir jetzt tun?
Hier mal ein Header einer solchen Mail (Den Namen Unserer Kollegin und der Empfängerin Habe ich getauscht):
Received: from PR2PR03MB5162.eurprd03.prod.outlook.com (2603:10a6:800:d0::28)
by VI1PR0302MB2736.eurprd03.prod.outlook.com with HTTPS via
VI1P195CA0018.EURP195.PROD.OUTLOOK.COM; Wed, 3 Apr 2019 08:25:19 +0000
Received: from DB8PR03CA0012.eurprd03.prod.outlook.com (2603:10a6:10:be::25)
by PR2PR03MB5162.eurprd03.prod.outlook.com (2603:10a6:101:25::13) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.1771.13; Wed, 3 Apr
2019 08:25:18 +0000
Received: from VE1EUR01FT049.eop-EUR01.prod.protection.outlook.com
(2a01:111:f400:7e01::200) by DB8PR03CA0012.outlook.office365.com
(2603:10a6:10:be::25) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.1750.16 via Frontend
Transport; Wed, 3 Apr 2019 08:25:18 +0000
Received: from p3plwbeout17-02.prod.phx3.secureserver.net (173.201.193.164) by
VE1EUR01FT049.mail.protection.outlook.com (10.152.3.56) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.1750.16 via Frontend Transport; Wed, 3 Apr 2019 08:25:17 +0000
Received: from p3plgemwbe17-01.prod.phx3.secureserver.net ([173.201.193.135])
by :WBEOUT: with SMTP id BbCPhehDMYuvNBbCPhYnYq; Wed, 03 Apr 2019 01:24:45
-0700
Received: (qmail 21726 invoked by uid 99); 3 Apr 2019 08:24:45 -0000
From: XXX <Unsere.Kollegin@unserefirma.de>
To: Info <info@Kunde.com>
Subject: Re: Urgent Request
Thread-Topic: Urgent Request
Thread-Index: AQHU6fbG+o+kVUeWK0KeTTMtAk2sXA==
Date: Wed, 3 Apr 2019 08:24:43 +0000
Message-ID: <20190403012443.847dcd9f471930b2504e436244eccfad.f4dfa0510f.wbe@email17.godaddy.com>
Reply-To: Unsere Kollegin <order@invoices-office.com>
Content-Language: en-US
X-MS-Exchange-Organization-AuthSource: VE1EUR01FT049.eop-EUR01.prod.protection.outlook.com
X-MS-Has-Attach:
X-Auto-Response-Suppress: DR, OOF, AutoReply
X-MS-TNEF-Correlator:
received-spf: None (protection.outlook.com: duguteportal.com does not
designate permitted sender hosts)
x-ms-publictraffictype: Email
X-Microsoft-Antispam-Mailbox-Delivery: ucf:0;jmr:1;ex:0;auth:0;dest:J;ENG
20160513016)(750119)(520011016);X-Microsoft-Antispam-Message-Info: =?utf-8?B?TTZQanVwaVhsSnUxK1hXZEVsWTY4UDRzenhNZUQyMlpvZENFNnRnN01KOFUv?=
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 439457
Url: https://administrator.de/contentid/439457
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
Klingt nach Spearfishing und ich würde das in jedem Fall zur Anzeige bringen, solltet ihr nicht doch irgendeinem Logikfehler unterliegen (hatten wir neulich auch). Wenn es sich wirlich um einen gezielten Angriff handelt dann steckt auch jemand mit bösen Absichten dahinter.
Machen könnt ihr ansonsten wenig, was will der "Angreifer" denn erreichen, schickt er Phishing Links?
Die größte Unbekannte in dem Spiel ist die Tatsache das die gefälschten E-Mails an tatsächliche Kunden gehen. Woher hat er diese Information, kann das geraten sein? Häufig steckt bei sowas auch (ex) Personal mit drin.
Machen könnt ihr ansonsten wenig, was will der "Angreifer" denn erreichen, schickt er Phishing Links?
Die größte Unbekannte in dem Spiel ist die Tatsache das die gefälschten E-Mails an tatsächliche Kunden gehen. Woher hat er diese Information, kann das geraten sein? Häufig steckt bei sowas auch (ex) Personal mit drin.
Hi,
das ist wohl immer noch die Emotet Welle:
https://www.heise.de/security/artikel/Dynamit-Phishing-mit-Emotet-So-sch ...
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherhei ...
Es kann sein das die Informationen von euch aus abgegriffen worden, oder von der anderen Seite, oder von irgendwelchen Apps die Zugriff auf die Kontakte haben, der Webseite, oder, oder ,oder.
Die sind da sehr trickreich um genau das zu erreichen.
Machen kannst du wenig, außer dein Netz zu checken.
VG,
deepsys
das ist wohl immer noch die Emotet Welle:
https://www.heise.de/security/artikel/Dynamit-Phishing-mit-Emotet-So-sch ...
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherhei ...
Es kann sein das die Informationen von euch aus abgegriffen worden, oder von der anderen Seite, oder von irgendwelchen Apps die Zugriff auf die Kontakte haben, der Webseite, oder, oder ,oder.
Die sind da sehr trickreich um genau das zu erreichen.
Machen kannst du wenig, außer dein Netz zu checken.
VG,
deepsys
Wir hatten auch mal so einen ähnlichen Fall, nur das nicht ganz in unserem Namen die Mails verschickt wurden sondern eine sehr ähnliche Domain registriert wurde.
Aber es wurden auf dieser gefälschten Domain auch Aliase als Absender verwendet von Real existierenden Personen in unserem Unternehmen.
Hat sich dann rausgestellt, das bei einem Geschäftspartner das gleiche passiert ist und in deren System ein Rechner kompromittiert war.
Da wurde dann einfach fleißig das Adressbuch ausgelesen.
Da nur der Einkauf mit dem Geschäftspartner in Kontakt steht waren von uns auch nur die Aliase der Mitarbeiter im Einkauf betroffen.
Haben das dann zur Anzeige gebracht, da einerseits hier eine Fälschung der Domain stattfand sowie versucht wurde eine offene Rechnung beim Geschäftspartner auf ein fremdes Konto umzulenken.
Wenn eure Geschäftspartner solche Mails erhalten von fremden IPs ist IMHO deren Mailserver nicht gut gesichert. Üblicherweise nutzt man hier Systeme die bei eingehenden Mails einen Reverse DNS Check auf den NS Eintrag macht um zu prüfen ob die Absender IP zu der genannten Domain passt.
Wäre das geschehen hätten eure Geschäftspartner eigentlich die Mails gar nicht bekommen dürfen, außer es wäre tatsächlich euer Mail Server korrumpiert. Der Header spricht aber dagegen.
Was aber wohl trotzdem der Fall sein könnte, ist dass einer eurer Mitarbeiter PCs infiziert ist. Es gibt nur begrenzt Erklärungen wie sowohl euer Adressbuch dem Angreifer bekannt ist, wie auch die Mail Adressen verschiedener Geschäftspartner.
Wäre nur ein Geschäftspartner betroffen hätte es gut sein können, dass deren System betroffen ist. So muss aber was bei euch sein.
Was du noch prüfen kannst ist folgendes:
Sind die betroffenen E-Mail Adressen öffentlich bekannt (auf der Webseite angegeben) und ist es auch bekannt, dass ihr mit den betroffenen Geschäftspartnern in Kontakt steht (Geschäftspartner werden ja gerne mal auf der eigenen Webseite angegeben).
Falls ja könnte es auch ein Fall von Spear Phishing sein und bei euch ist doch kein System infiziert.
Oder ist z.b. ein Mobile Device kürzlich gestohlen worden oder ähnliches?
Aber es wurden auf dieser gefälschten Domain auch Aliase als Absender verwendet von Real existierenden Personen in unserem Unternehmen.
Hat sich dann rausgestellt, das bei einem Geschäftspartner das gleiche passiert ist und in deren System ein Rechner kompromittiert war.
Da wurde dann einfach fleißig das Adressbuch ausgelesen.
Da nur der Einkauf mit dem Geschäftspartner in Kontakt steht waren von uns auch nur die Aliase der Mitarbeiter im Einkauf betroffen.
Haben das dann zur Anzeige gebracht, da einerseits hier eine Fälschung der Domain stattfand sowie versucht wurde eine offene Rechnung beim Geschäftspartner auf ein fremdes Konto umzulenken.
Wenn eure Geschäftspartner solche Mails erhalten von fremden IPs ist IMHO deren Mailserver nicht gut gesichert. Üblicherweise nutzt man hier Systeme die bei eingehenden Mails einen Reverse DNS Check auf den NS Eintrag macht um zu prüfen ob die Absender IP zu der genannten Domain passt.
Wäre das geschehen hätten eure Geschäftspartner eigentlich die Mails gar nicht bekommen dürfen, außer es wäre tatsächlich euer Mail Server korrumpiert. Der Header spricht aber dagegen.
Was aber wohl trotzdem der Fall sein könnte, ist dass einer eurer Mitarbeiter PCs infiziert ist. Es gibt nur begrenzt Erklärungen wie sowohl euer Adressbuch dem Angreifer bekannt ist, wie auch die Mail Adressen verschiedener Geschäftspartner.
Wäre nur ein Geschäftspartner betroffen hätte es gut sein können, dass deren System betroffen ist. So muss aber was bei euch sein.
Was du noch prüfen kannst ist folgendes:
Sind die betroffenen E-Mail Adressen öffentlich bekannt (auf der Webseite angegeben) und ist es auch bekannt, dass ihr mit den betroffenen Geschäftspartnern in Kontakt steht (Geschäftspartner werden ja gerne mal auf der eigenen Webseite angegeben).
Falls ja könnte es auch ein Fall von Spear Phishing sein und bei euch ist doch kein System infiziert.
Oder ist z.b. ein Mobile Device kürzlich gestohlen worden oder ähnliches?
Hallo,
wenn auf der Homepage der Firma Namen und Email-Adressen öffentlich sind, kann jeder solche Mails versenden.
Emails sind wie Postkarten.
1) Wenn diese Mails über Euren Server, System oder einen PC verschickt werden (Receiveds auswerten) dann müßt Ihr sofort aktiv werden!
2) Wenn in diesen Mails nicht öffentliche Informationen enthalten sind müßt Ihr sofort aktiv werden!
Woher weiß der Versender die Namen und Email-Adressen Eurer Kunden?
Dazu muss er ja mal mindestens einen (alten) PC/Notebook/Smartphone gehackt haben
3) Um Spammails der eigenen Domäne zu verhindern unbedingt SPF (oder DKIM/MS) aktivieren mit einem Hardfail.
Stefan
wenn auf der Homepage der Firma Namen und Email-Adressen öffentlich sind, kann jeder solche Mails versenden.
Emails sind wie Postkarten.
1) Wenn diese Mails über Euren Server, System oder einen PC verschickt werden (Receiveds auswerten) dann müßt Ihr sofort aktiv werden!
2) Wenn in diesen Mails nicht öffentliche Informationen enthalten sind müßt Ihr sofort aktiv werden!
Woher weiß der Versender die Namen und Email-Adressen Eurer Kunden?
Dazu muss er ja mal mindestens einen (alten) PC/Notebook/Smartphone gehackt haben
3) Um Spammails der eigenen Domäne zu verhindern unbedingt SPF (oder DKIM/MS) aktivieren mit einem Hardfail.
Stefan
Zitat von @StefanKittel:
Woher weiß der Versender die Namen und Email-Adressen Eurer Kunden?
Dazu muss er ja mal mindestens einen (alten) PC/Notebook/Smartphone gehackt haben
Das muss nicht umbedingt sein.Woher weiß der Versender die Namen und Email-Adressen Eurer Kunden?
Dazu muss er ja mal mindestens einen (alten) PC/Notebook/Smartphone gehackt haben
Es gab auch genug Apps die dafür einfach das Adressbuch durchsuchen, und da steht dann alles drin.
Vor allem bei Android ist das wohl aufgetreten.
Die Informationen wurden aus vielen Quellen zusammen gebracht.
Aber natürlich kann es nich schaden die eigenen Geräte mal genauer zu untersuchen
Hallo
zu 1: ausgelesene Adressbücher, Social Engineering
zu 2: nach dem Header eher nicht, aber ihr solltet da schon sicher sein und Euch fragen ob Euer Konzept reicht, wenn ihr unsicher seit
zu 3: Überprüft ob Eure Maßnahmen ausreichen. Können Empfänger wirklich sicherstellen das E-Mails von Euch kommen? Seit Ihr sicher das Ihr Eure IT wirklich unter Kontrolle habt? Sind Eure Prozesse gut genug um solche Attacken, auch wenn die Technik “versagt”, abzufangen?
zu 1: ausgelesene Adressbücher, Social Engineering
zu 2: nach dem Header eher nicht, aber ihr solltet da schon sicher sein und Euch fragen ob Euer Konzept reicht, wenn ihr unsicher seit
zu 3: Überprüft ob Eure Maßnahmen ausreichen. Können Empfänger wirklich sicherstellen das E-Mails von Euch kommen? Seit Ihr sicher das Ihr Eure IT wirklich unter Kontrolle habt? Sind Eure Prozesse gut genug um solche Attacken, auch wenn die Technik “versagt”, abzufangen?
