Mail-Adressen verändert und Outlook-Regeln erstellt
Hallo zusammen,
ich habe eigentlich zwei Fragen bzw. ich bin eher ratlos, wie das sein kann.
1. in einem Microsoft 365-Account wurde am 14.04. eine Regel als aktiv geschaltet, welche alle Mails mit bestimmten Keywords an zwei völlig unbekannte Mailadressen weiterleitet. Dies ist erst vor ein paar Tagen aufgefallen, als viele "Unzustellbar"-Nachrichten vom Mailserver zurückkamen.
Der Anwender hat laut seiner Aussage diese Regel nicht erstellt. Tatsächlich halte ich ihn dazu auch nicht in der Lage (ohne das jetzt böswillig zu meinen). Habt ihr eine Idee, wie man einfach so eine Regel erstellen kann? Durch eine kompromittierte Mail, Schadsoftware? Keine Sichheitssoftware ist angeschlagen dahingehend. Der Kollege nutzt sein Konto in Outlook 2016 sowie auf seinem iPhone 11 mit aktuellem Updatestand. Er hat dieses Jahr nur im Büro gearbeitet, sagt aber, dass er freie WLAN-Netzwerke nutzt.
2. Wir hatten per Mail Kontakt zu einem Kunden. bspw. name@abgcom.
Aus heiterem Himmel bekommen wir aber eine kontextbezogene und valide! Antwort von name@abq.com. Der gesamte E-Mail-Verlauf war in der Antwort enthalten. Nach Rücksprache mit dem "echten" Kunden kam diese Mail nicht vom Kunden selbst.
Könnt ihr euch erklären, wie das gehen könnte? Ich habe hier auch eine Art Weiterleitung im Absenderpostfach im Verdacht. Aber ehrlich gesagt, ich bin völlig ratlos.
ich habe eigentlich zwei Fragen bzw. ich bin eher ratlos, wie das sein kann.
1. in einem Microsoft 365-Account wurde am 14.04. eine Regel als aktiv geschaltet, welche alle Mails mit bestimmten Keywords an zwei völlig unbekannte Mailadressen weiterleitet. Dies ist erst vor ein paar Tagen aufgefallen, als viele "Unzustellbar"-Nachrichten vom Mailserver zurückkamen.
Der Anwender hat laut seiner Aussage diese Regel nicht erstellt. Tatsächlich halte ich ihn dazu auch nicht in der Lage (ohne das jetzt böswillig zu meinen). Habt ihr eine Idee, wie man einfach so eine Regel erstellen kann? Durch eine kompromittierte Mail, Schadsoftware? Keine Sichheitssoftware ist angeschlagen dahingehend. Der Kollege nutzt sein Konto in Outlook 2016 sowie auf seinem iPhone 11 mit aktuellem Updatestand. Er hat dieses Jahr nur im Büro gearbeitet, sagt aber, dass er freie WLAN-Netzwerke nutzt.
2. Wir hatten per Mail Kontakt zu einem Kunden. bspw. name@abgcom.
Aus heiterem Himmel bekommen wir aber eine kontextbezogene und valide! Antwort von name@abq.com. Der gesamte E-Mail-Verlauf war in der Antwort enthalten. Nach Rücksprache mit dem "echten" Kunden kam diese Mail nicht vom Kunden selbst.
Könnt ihr euch erklären, wie das gehen könnte? Ich habe hier auch eine Art Weiterleitung im Absenderpostfach im Verdacht. Aber ehrlich gesagt, ich bin völlig ratlos.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 572072
Url: https://administrator.de/contentid/572072
Ausgedruckt am: 24.11.2024 um 08:11 Uhr
9 Kommentare
Neuester Kommentar
welche alle Mails mit bestimmten Keywords an zwei völlig unbekannte Mailadressen weiterleitet.
Wenn der Anwender die nicht erstellt hat. Ist er sehr wahrscheinlich Opfer eines Identitätsdiebstahls geworden (oder z.B. einer eurer Admins hat es auf diesen abgesehen). Also erste Maßnahme, alle Passwörter an einem cleanen Device (z.B. von einer Live CD aus) erneuern und wenn möglich auf 2-Faktor-Authentifizierung umstellen. Der könnte ja wer weiß was alles noch manipuliert/abgegriffen haben wenn der Angreifer Zugangsdaten aus der Mailbox gefischt hat, die da hoffentlich nicht lagen/liegen.Zitat von @rrobbyy:
Wie könnte denn dieser Diebstahl von Zugangsdaten aussehen? Das Kennwort war damals von mir generiert und nur fest im Telefon und auf seinem Rechner im Büro hinterlegt. Die Windows-Anmeldung hat andere Zugangsdaten.
Wenn jemand Zugang zu deinem Mailkonto hat kann er bei allen möglichen Anbietern zumeist eine Kennwort-Zurücksetzen Funktion nutzen wenn die Mailadresse dort verwendet wurde, die senden einem dann einen Link zum Setzen eines neuen Kennwortes, das fängt der Angreifer ab und setzt sein eigenes neues Kennnwort, schon hat er Zugang zu dem fremden Account. Es können als mehr als nur die Mail-Konto Zugangsdaten kompromittiert sein!Wie könnte denn dieser Diebstahl von Zugangsdaten aussehen? Das Kennwort war damals von mir generiert und nur fest im Telefon und auf seinem Rechner im Büro hinterlegt. Die Windows-Anmeldung hat andere Zugangsdaten.
war damals von mir generiert
Du bist also auch ein potentieller Kandidat, du solltest das Kennwort eigentlich ebenfalls nicht kennen, das hätte der User beim ersten Anmelden auf sein eigenes ändern müssen!Zitat von @rrobbyy:
Das wäre aber sehr strange. Wir lassen die User die Passwörter nicht zurücksetzen, was auch nicht notwendig ist, außer bei Neuinstallationen.
Du verstehst falsch. Es ging mir um externe Accounts bei denen sich der User mit seiner Mailadresse angemeldet haben könnte.Das wäre aber sehr strange. Wir lassen die User die Passwörter nicht zurücksetzen, was auch nicht notwendig ist, außer bei Neuinstallationen.
Moin,
Na indem es die Mails ausliest. Das ist ja gerade der Witz bei der Schadsoftware, was sie so gefährlich macht. Du bekommst von einem Kollegen, den Du kennst, eine Mail, die auf eine Deiner Mails antwortet. Da steht dann sowas drin wie: Näheres siehe Anhang. Das Word-Dokument dahinter ist mit dem Teil verseucht. Klickst du drauf, wird das gesamte Emailkonto inkl. aller Mails ausgelesen. Nun habe ich Mails, die an Dich geschickt wurden, auf die ich wieder antworten kann. Das Passwort des Mailkontos braucht die Schadsoftware dafür nicht. Der User, der da rumgeklickt hat, ist ja angemeldet.
Lasst Ihr etwa *.doc durch die Firewall durch? Dann solltet Ihr das unbedingt abstellen.
Liebe Grüße
Erik
Zitat von @rrobbyy:
aber wie kann Emotet eine valide Antwort schicken, die auch inhaltlich wirklich Sinn macht?
aber wie kann Emotet eine valide Antwort schicken, die auch inhaltlich wirklich Sinn macht?
Na indem es die Mails ausliest. Das ist ja gerade der Witz bei der Schadsoftware, was sie so gefährlich macht. Du bekommst von einem Kollegen, den Du kennst, eine Mail, die auf eine Deiner Mails antwortet. Da steht dann sowas drin wie: Näheres siehe Anhang. Das Word-Dokument dahinter ist mit dem Teil verseucht. Klickst du drauf, wird das gesamte Emailkonto inkl. aller Mails ausgelesen. Nun habe ich Mails, die an Dich geschickt wurden, auf die ich wieder antworten kann. Das Passwort des Mailkontos braucht die Schadsoftware dafür nicht. Der User, der da rumgeklickt hat, ist ja angemeldet.
Lasst Ihr etwa *.doc durch die Firewall durch? Dann solltet Ihr das unbedingt abstellen.
Liebe Grüße
Erik