shnuuu
Goto Top

Gefälschte Mails in unserem Namen werden an Kunden verschickt

Guten Tag,

wir haben aktuell vermehrt Rückmeldungen von Kunden/Vertretern erhalten, dass diese E-Mails erhalten haben die angeblich von uns kommen sollen.
Da wir nicht die Telekom sind, sondern ein Mittelständisches Unternehmen in einer Nischen Branche, sind die Mails gezielt und nicht wahllos verschickt worden.

Als Absender sind hier E-Mail Adressen von unseren Kollegen angegeben, die auch wirklich so Existieren. Sieht auf den ersten Blick für den Laien also echt aus.
Schaut man sich den Header dieser Mails an, stell ich fest, dass diese Mails eben nicht von unserem Server verschickt wurden, sondern von Amerika aus. Die IP Gehört z.B zu einem Hoster Namens Godaddy. Ist ja schon mal gut, dass die Mails nicht von unserem Server verschickt wurden, trotzdem Frage ich mich:

1. Woher kommen die Spammer an die Mail Adressen der Kunden/Vertreter?
2. Müssen wir befürchten das wir ein Leck/Eindringling im System haben?
3. Was können wir jetzt tun?


Hier mal ein Header einer solchen Mail (Den Namen Unserer Kollegin und der Empfängerin Habe ich getauscht):

Received: from PR2PR03MB5162.eurprd03.prod.outlook.com (2603:10a6:800:d0::28)
by VI1PR0302MB2736.eurprd03.prod.outlook.com with HTTPS via
VI1P195CA0018.EURP195.PROD.OUTLOOK.COM; Wed, 3 Apr 2019 08:25:19 +0000
Received: from DB8PR03CA0012.eurprd03.prod.outlook.com (2603:10a6:10:be::25)
by PR2PR03MB5162.eurprd03.prod.outlook.com (2603:10a6:101:25::13) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.1771.13; Wed, 3 Apr
2019 08:25:18 +0000
Received: from VE1EUR01FT049.eop-EUR01.prod.protection.outlook.com
(2a01:111:f400:7e01::200) by DB8PR03CA0012.outlook.office365.com
(2603:10a6:10:be::25) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.1750.16 via Frontend
Transport; Wed, 3 Apr 2019 08:25:18 +0000
Received: from p3plwbeout17-02.prod.phx3.secureserver.net (173.201.193.164) by
VE1EUR01FT049.mail.protection.outlook.com (10.152.3.56) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.1750.16 via Frontend Transport; Wed, 3 Apr 2019 08:25:17 +0000
Received: from p3plgemwbe17-01.prod.phx3.secureserver.net ([173.201.193.135])
by :WBEOUT: with SMTP id BbCPhehDMYuvNBbCPhYnYq; Wed, 03 Apr 2019 01:24:45
-0700
Received: (qmail 21726 invoked by uid 99); 3 Apr 2019 08:24:45 -0000
From: XXX <Unsere.Kollegin@unserefirma.de>
To: Info <info@Kunde.com>
Subject: Re: Urgent Request
Thread-Topic: Urgent Request
Thread-Index: AQHU6fbG+o+kVUeWK0KeTTMtAk2sXA==
Date: Wed, 3 Apr 2019 08:24:43 +0000
Message-ID: <20190403012443.847dcd9f471930b2504e436244eccfad.f4dfa0510f.wbe@email17.godaddy.com>
Reply-To: Unsere Kollegin <order@invoices-office.com>
Content-Language: en-US
X-MS-Exchange-Organization-AuthSource: VE1EUR01FT049.eop-EUR01.prod.protection.outlook.com
X-MS-Has-Attach:
X-Auto-Response-Suppress: DR, OOF, AutoReply
X-MS-TNEF-Correlator:
received-spf: None (protection.outlook.com: duguteportal.com does not
designate permitted sender hosts)
x-ms-publictraffictype: Email
X-Microsoft-Antispam-Mailbox-Delivery: ucf:0;jmr:1;ex:0;auth:0;dest:J;ENGface-sad20160513016)(750119)(520011016);
X-Microsoft-Antispam-Message-Info: =?utf-8?B?TTZQanVwaVhsSnUxK1hXZEVsWTY4UDRzenhNZUQyMlpvZENFNnRnN01KOFUv?=

Grüße

Content-ID: 439457

Url: https://administrator.de/contentid/439457

Ausgedruckt am: 09.11.2024 um 01:11 Uhr

ukulele-7
ukulele-7 11.04.2019 um 15:18:16 Uhr
Goto Top
Klingt nach Spearfishing und ich würde das in jedem Fall zur Anzeige bringen, solltet ihr nicht doch irgendeinem Logikfehler unterliegen (hatten wir neulich auch). Wenn es sich wirlich um einen gezielten Angriff handelt dann steckt auch jemand mit bösen Absichten dahinter.

Machen könnt ihr ansonsten wenig, was will der "Angreifer" denn erreichen, schickt er Phishing Links?

Die größte Unbekannte in dem Spiel ist die Tatsache das die gefälschten E-Mails an tatsächliche Kunden gehen. Woher hat er diese Information, kann das geraten sein? Häufig steckt bei sowas auch (ex) Personal mit drin.
Deepsys
Deepsys 11.04.2019 um 15:24:55 Uhr
Goto Top
Hi,

das ist wohl immer noch die Emotet Welle:
https://www.heise.de/security/artikel/Dynamit-Phishing-mit-Emotet-So-sch ...
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherhei ...

Es kann sein das die Informationen von euch aus abgegriffen worden, oder von der anderen Seite, oder von irgendwelchen Apps die Zugriff auf die Kontakte haben, der Webseite, oder, oder ,oder.
Die sind da sehr trickreich um genau das zu erreichen.

Machen kannst du wenig, außer dein Netz zu checken.

VG,
deepsys
Bem0815
Bem0815 11.04.2019 aktualisiert um 17:13:08 Uhr
Goto Top
Wir hatten auch mal so einen ähnlichen Fall, nur das nicht ganz in unserem Namen die Mails verschickt wurden sondern eine sehr ähnliche Domain registriert wurde.

Aber es wurden auf dieser gefälschten Domain auch Aliase als Absender verwendet von Real existierenden Personen in unserem Unternehmen.

Hat sich dann rausgestellt, das bei einem Geschäftspartner das gleiche passiert ist und in deren System ein Rechner kompromittiert war.
Da wurde dann einfach fleißig das Adressbuch ausgelesen.
Da nur der Einkauf mit dem Geschäftspartner in Kontakt steht waren von uns auch nur die Aliase der Mitarbeiter im Einkauf betroffen.

Haben das dann zur Anzeige gebracht, da einerseits hier eine Fälschung der Domain stattfand sowie versucht wurde eine offene Rechnung beim Geschäftspartner auf ein fremdes Konto umzulenken.

Wenn eure Geschäftspartner solche Mails erhalten von fremden IPs ist IMHO deren Mailserver nicht gut gesichert. Üblicherweise nutzt man hier Systeme die bei eingehenden Mails einen Reverse DNS Check auf den NS Eintrag macht um zu prüfen ob die Absender IP zu der genannten Domain passt.

Wäre das geschehen hätten eure Geschäftspartner eigentlich die Mails gar nicht bekommen dürfen, außer es wäre tatsächlich euer Mail Server korrumpiert. Der Header spricht aber dagegen.


Was aber wohl trotzdem der Fall sein könnte, ist dass einer eurer Mitarbeiter PCs infiziert ist. Es gibt nur begrenzt Erklärungen wie sowohl euer Adressbuch dem Angreifer bekannt ist, wie auch die Mail Adressen verschiedener Geschäftspartner.
Wäre nur ein Geschäftspartner betroffen hätte es gut sein können, dass deren System betroffen ist. So muss aber was bei euch sein.

Was du noch prüfen kannst ist folgendes:
Sind die betroffenen E-Mail Adressen öffentlich bekannt (auf der Webseite angegeben) und ist es auch bekannt, dass ihr mit den betroffenen Geschäftspartnern in Kontakt steht (Geschäftspartner werden ja gerne mal auf der eigenen Webseite angegeben).
Falls ja könnte es auch ein Fall von Spear Phishing sein und bei euch ist doch kein System infiziert.

Oder ist z.b. ein Mobile Device kürzlich gestohlen worden oder ähnliches?
StefanKittel
StefanKittel 11.04.2019 um 16:53:40 Uhr
Goto Top
Hallo,

wenn auf der Homepage der Firma Namen und Email-Adressen öffentlich sind, kann jeder solche Mails versenden.
Emails sind wie Postkarten.

1) Wenn diese Mails über Euren Server, System oder einen PC verschickt werden (Receiveds auswerten) dann müßt Ihr sofort aktiv werden!

2) Wenn in diesen Mails nicht öffentliche Informationen enthalten sind müßt Ihr sofort aktiv werden!
Woher weiß der Versender die Namen und Email-Adressen Eurer Kunden?
Dazu muss er ja mal mindestens einen (alten) PC/Notebook/Smartphone gehackt haben

3) Um Spammails der eigenen Domäne zu verhindern unbedingt SPF (oder DKIM/MS) aktivieren mit einem Hardfail.

Stefan
Deepsys
Deepsys 11.04.2019 um 20:10:47 Uhr
Goto Top
Zitat von @StefanKittel:
Woher weiß der Versender die Namen und Email-Adressen Eurer Kunden?
Dazu muss er ja mal mindestens einen (alten) PC/Notebook/Smartphone gehackt haben
Das muss nicht umbedingt sein.
Es gab auch genug Apps die dafür einfach das Adressbuch durchsuchen, und da steht dann alles drin.
Vor allem bei Android ist das wohl aufgetreten.
Die Informationen wurden aus vielen Quellen zusammen gebracht.

Aber natürlich kann es nich schaden die eigenen Geräte mal genauer zu untersuchen
St-Andreas
St-Andreas 11.04.2019 um 21:58:40 Uhr
Goto Top
Hallo

zu 1: ausgelesene Adressbücher, Social Engineering
zu 2: nach dem Header eher nicht, aber ihr solltet da schon sicher sein und Euch fragen ob Euer Konzept reicht, wenn ihr unsicher seit
zu 3: Überprüft ob Eure Maßnahmen ausreichen. Können Empfänger wirklich sicherstellen das E-Mails von Euch kommen? Seit Ihr sicher das Ihr Eure IT wirklich unter Kontrolle habt? Sind Eure Prozesse gut genug um solche Attacken, auch wenn die Technik “versagt”, abzufangen?