rrobbyy
Goto Top

Mail-Adressen verändert und Outlook-Regeln erstellt

Hallo zusammen,

ich habe eigentlich zwei Fragen bzw. ich bin eher ratlos, wie das sein kann.

1. in einem Microsoft 365-Account wurde am 14.04. eine Regel als aktiv geschaltet, welche alle Mails mit bestimmten Keywords an zwei völlig unbekannte Mailadressen weiterleitet. Dies ist erst vor ein paar Tagen aufgefallen, als viele "Unzustellbar"-Nachrichten vom Mailserver zurückkamen.

Der Anwender hat laut seiner Aussage diese Regel nicht erstellt. Tatsächlich halte ich ihn dazu auch nicht in der Lage (ohne das jetzt böswillig zu meinen). Habt ihr eine Idee, wie man einfach so eine Regel erstellen kann? Durch eine kompromittierte Mail, Schadsoftware? Keine Sichheitssoftware ist angeschlagen dahingehend. Der Kollege nutzt sein Konto in Outlook 2016 sowie auf seinem iPhone 11 mit aktuellem Updatestand. Er hat dieses Jahr nur im Büro gearbeitet, sagt aber, dass er freie WLAN-Netzwerke nutzt.


2. Wir hatten per Mail Kontakt zu einem Kunden. bspw. name@abgcom.
Aus heiterem Himmel bekommen wir aber eine kontextbezogene und valide! Antwort von name@abq.com. Der gesamte E-Mail-Verlauf war in der Antwort enthalten. Nach Rücksprache mit dem "echten" Kunden kam diese Mail nicht vom Kunden selbst.
Könnt ihr euch erklären, wie das gehen könnte? Ich habe hier auch eine Art Weiterleitung im Absenderpostfach im Verdacht. Aber ehrlich gesagt, ich bin völlig ratlos.

Content-ID: 572072

Url: https://administrator.de/contentid/572072

Ausgedruckt am: 24.11.2024 um 08:11 Uhr

144260
144260 15.05.2020 aktualisiert um 14:09:13 Uhr
Goto Top
welche alle Mails mit bestimmten Keywords an zwei völlig unbekannte Mailadressen weiterleitet.
Wenn der Anwender die nicht erstellt hat. Ist er sehr wahrscheinlich Opfer eines Identitätsdiebstahls geworden (oder z.B. einer eurer Admins hat es auf diesen abgesehen). Also erste Maßnahme, alle Passwörter an einem cleanen Device (z.B. von einer Live CD aus) erneuern und wenn möglich auf 2-Faktor-Authentifizierung umstellen. Der könnte ja wer weiß was alles noch manipuliert/abgegriffen haben wenn der Angreifer Zugangsdaten aus der Mailbox gefischt hat, die da hoffentlich nicht lagen/liegen.
rrobbyy
rrobbyy 15.05.2020 aktualisiert um 14:13:09 Uhr
Goto Top
Die Zugangsdaten habe ich gleich geändert (hätte ich gleich mitteilen müssen)

Ich habe das Log und mir dann die weitergeleiteten Mails angeschaut. Zugangsdaten waren zum Glück nicht enhalten. Die Anwender halten sich tatsächlich an unsere internen Vorschriften (hoffentlich, wahrscheinlich).

Wie könnte denn dieser Diebstahl von Zugangsdaten aussehen? Das Kennwort war damals von mir generiert und nur fest im Telefon und auf seinem Rechner im Büro hinterlegt. Die Windows-Anmeldung hat andere Zugangsdaten.
144260
144260 15.05.2020 aktualisiert um 14:31:15 Uhr
Goto Top
Zitat von @rrobbyy:
Wie könnte denn dieser Diebstahl von Zugangsdaten aussehen? Das Kennwort war damals von mir generiert und nur fest im Telefon und auf seinem Rechner im Büro hinterlegt. Die Windows-Anmeldung hat andere Zugangsdaten.
Wenn jemand Zugang zu deinem Mailkonto hat kann er bei allen möglichen Anbietern zumeist eine Kennwort-Zurücksetzen Funktion nutzen wenn die Mailadresse dort verwendet wurde, die senden einem dann einen Link zum Setzen eines neuen Kennwortes, das fängt der Angreifer ab und setzt sein eigenes neues Kennnwort, schon hat er Zugang zu dem fremden Account. Es können als mehr als nur die Mail-Konto Zugangsdaten kompromittiert sein!

war damals von mir generiert
Du bist also auch ein potentieller Kandidat, du solltest das Kennwort eigentlich ebenfalls nicht kennen, das hätte der User beim ersten Anmelden auf sein eigenes ändern müssen!
erikro
erikro 15.05.2020 um 14:43:02 Uhr
Goto Top
Moin,

na das klingt doch nach Emotet.

Liebe Grüße

Erik
rrobbyy
rrobbyy 15.05.2020 aktualisiert um 16:35:34 Uhr
Goto Top
Zitat von @144260:

Zitat von @rrobbyy:
Wie könnte denn dieser Diebstahl von Zugangsdaten aussehen? Das Kennwort war damals von mir generiert und nur fest im Telefon und auf seinem Rechner im Büro hinterlegt. Die Windows-Anmeldung hat andere Zugangsdaten.
Wenn jemand Zugang zu deinem Mailkonto hat kann er bei allen möglichen Anbietern zumeist eine Kennwort-Zurücksetzen Funktion nutzen wenn die Mailadresse dort verwendet wurde, die senden einem dann einen Link zum Setzen eines neuen Kennwortes, das fängt der Angreifer ab und setzt sein eigenes neues Kennnwort, schon hat er Zugang zu dem fremden Account. Es können als mehr als nur die Mail-Konto Zugangsdaten kompromittiert sein!

Das wäre aber sehr strange. Wir lassen die User die Passwörter nicht zurücksetzen, was auch nicht notwendig ist, außer bei Neuinstallationen. Das machen wir in der IT manuell im Portal. Die Zugangsdaten werden den Usern auch nicht bekanntgemacht, da wir alle Endgeräte einrichten. Wir verhindern auch dadurch, dass niemand sich mit den Zugangsdaten extern in OWA oder anderen Geräten anmelden kann. Daher raffe ich das ganze auch nicht...

war damals von mir generiert
Du bist also auch ein potentieller Kandidat, du solltest das Kennwort eigentlich ebenfalls nicht kennen, das hätte der User beim ersten Anmelden auf sein eigenes ändern müssen!

Genereiert werden die Kennwörter durch Keepass, dort temporär abgelegt und für die Installation vorgehalten. Danach wird der Eintrag gelöscht. Aber niemand kennt das Passwort, außer der Tresor von Windows. Ich kann mir das einfach nicht erklären
rrobbyy
rrobbyy 15.05.2020 um 16:29:48 Uhr
Goto Top
aber wie kann Emotet eine valide Antwort schicken, die auch inhaltlich wirklich Sinn macht?

Ich werde mir aber die IP-Adressen ansehen womit der Rechner nach außen kommuniziert. Es gibt ja Listen, die Emotet-IPs darstellen.
144260
144260 15.05.2020 aktualisiert um 18:24:32 Uhr
Goto Top
Zitat von @rrobbyy:
Das wäre aber sehr strange. Wir lassen die User die Passwörter nicht zurücksetzen, was auch nicht notwendig ist, außer bei Neuinstallationen.
Du verstehst falsch. Es ging mir um externe Accounts bei denen sich der User mit seiner Mailadresse angemeldet haben könnte.
erikro
Lösung erikro 18.05.2020 um 08:18:43 Uhr
Goto Top
Moin,

Zitat von @rrobbyy:

aber wie kann Emotet eine valide Antwort schicken, die auch inhaltlich wirklich Sinn macht?

Na indem es die Mails ausliest. Das ist ja gerade der Witz bei der Schadsoftware, was sie so gefährlich macht. Du bekommst von einem Kollegen, den Du kennst, eine Mail, die auf eine Deiner Mails antwortet. Da steht dann sowas drin wie: Näheres siehe Anhang. Das Word-Dokument dahinter ist mit dem Teil verseucht. Klickst du drauf, wird das gesamte Emailkonto inkl. aller Mails ausgelesen. Nun habe ich Mails, die an Dich geschickt wurden, auf die ich wieder antworten kann. Das Passwort des Mailkontos braucht die Schadsoftware dafür nicht. Der User, der da rumgeklickt hat, ist ja angemeldet.

Lasst Ihr etwa *.doc durch die Firewall durch? Dann solltet Ihr das unbedingt abstellen.

Liebe Grüße

Erik
rrobbyy
rrobbyy 19.05.2020 um 10:01:05 Uhr
Goto Top
ja, das macht sinn und ist nachvollziehbar.
wir mussten leider die alten formate zulassen (damit ist jetzt schluss), weil die werften da etwas beknackt und langsam sind (jedenfalls dahingehend)

also könnte das doc (bzw. ein makro darin) auch eine regel erstellt haben... bei dem konto war es eben so, dass eine regel erzeugt wurde, die nicht vom anwender kam. und zugangsdaten waren und sind unseren anwendern nicht bekannt.

DANKE!