sylvia
Goto Top

Mails mit .doc als Rechnung im Anhang

Guten Morgen zusammen,

dass man Mails mit .doc als Rechnung im Anhang bekommt ist ja noch nicht wirklich etwas neues - unsere MA wissen inzwischen auch, dass sie diese nicht anklicken dürfen. Unser Antivirus schlägt auch brav an. Das ist nicht das Problem.
Was mir aufgefallen ist und mich stutzig macht ist, dass diese Mails so gut gefaked sind, dass sie sogar von Absendern kommen, mit denen die Betroffenen geschäftlichen Kontakt haben. Es ist nun schon mehrfach vorgekommen, dass Kolleginnen eine Mail von einem ihnen bekannten Absender bekommen habe, das schafft natürlich Vertrauen und reizt zum anklicken.

Ich frage mich nun aber - woher wissen die Cyberkriminellen das? Muss ich davon ausgehen, dass unser bzw. deren System ein Problem hat oder sind die Bots in den Suchmaschinen so gut im Matrizen erstellen, dass sie durch die Informationen im Internet diese Verbindungen herstellen können?
Kennt sich da jemand aus von Euch oder hat jemand einen Tipp, an welche Insider ich mich da wenden kann?
Mich beunruhigt das etwas...

Vielen Dank Euch schon mal!

Liebe Grüße

Sylvia

Content-ID: 386063

Url: https://administrator.de/forum/mails-mit-doc-als-rechnung-im-anhang-386063.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

StefanKittel
StefanKittel 11.09.2018 um 06:53:53 Uhr
Goto Top
Moin,

meist hat sich Irgendjemand einen Virus eingefangen der das Adressbuch und ggf. sogar Mails kopiert hat.
Dann gibt es weitergeleitete Mails mit bekanntem Inhalt und einem Zusatz wie "Was ich noch vergessen hatte...".

Anhänge per Doc kann man auch prima ganz sperren.
Wofür gibt es PDF.

Stefan
sabines
sabines 11.09.2018 um 07:43:19 Uhr
Goto Top
Moin,

sowohl als auch, es könnte ja auch sein, dass das "Adressbuch" der Gegenseite kompromitiert wurde.

Gruss
itisnapanto
itisnapanto 11.09.2018 um 07:43:53 Uhr
Goto Top
Moin,

wir handeln das schlicht so . Auch eben weil es immer noch Leute gibt die es nicht verstehen .
Alles war raus oder rein kommt und keine PDF als Anhang ist, wird von der Sophos abgefangen und landet in der Quarantäne geschoben.

Anschließend wird das von uns händisch geprüft.

Gruss Michael
sofifreak
sofifreak 11.09.2018 um 10:06:54 Uhr
Goto Top
Hallo,

bei uns wandern die "alten" MS Office Dateiformate wie (doc, xls, ...) direkt in der Quarante, und können vom MA nicht selbst freigegeben werden.

Bisher sind mir noch keine verdächtigen Emails mit einem docx. untergekommen.

LG

Daniel
manuel-r
manuel-r 11.09.2018 um 10:57:56 Uhr
Goto Top
woher wissen die Cyberkriminellen das?

Eigentlich ist es ganz einfach. Du brauchst nur genügend Leute die sich irgendwelche Apps zweifelhafter Herkunft installieren und denen dann auch noch Zugriff auf die gespeicherten Kontaktdaten und aufs Internet geben. Die Kontakte werden dann irgendwo hin übermittelt und dort zusammengeführt. Es dauert nicht lange und du hast ein astreines Beziehungssystem der einzelnen Kontakte untereinander hergestellt. Schon kannst du Leuten eine Mail schicken, die so aussieht als käme sie von einem Bekannten. Mit Name, Funktion, Position und allem was dazu gehört.

Muss ich davon ausgehen, dass unser bzw. deren System ein Problem hat

Das ist nicht ausgeschlossen. In erster Linie kommen die Daten aber wohl sonst wo her.

Manuel
St-Andreas
St-Andreas 11.09.2018 um 12:08:58 Uhr
Goto Top
Guten Morgen,


wenn jemand bei Euch im System hängt und versucht Euch abzuziehen, dann werden die kaum versuchen Malware über Doc-Dateien zu platzieren.

Ernsthafte Attacken lassen sich nicht über Malwarescanner oder Dateitypenbeschränkungen verhindern, bzw. Ins Leere laufen lassen, auch eine Firewall nützt da nicht, da helfen nur präzise Prozesse, aufmerksame Mitarbeiter und Vorgesetzte die sich an Prozesse halten.
Bem0815
Bem0815 11.09.2018 um 13:59:16 Uhr
Goto Top
Die Frage ist hier eher ob euer System mit einer ordentlichen UTM (Unified Threat Management) das ordentlich konfiguriert ist geschützt ist.


Wäre das nämlich der Fall, könnten gefälschte Mails gar nicht erst ankommen und die Frage würde sich dann ggfs. gar nicht stellen.


Nehmen wir mal an der Mail Server deines Geschäftskontakt mit der E-Mail Adresse max.mustermann@abc.de hat die IP Adresse 1.2.3.4.

Es kommt von der IP Adresse 1.2.3.4. und dem Postfach max.mustermann@abc.de eine Mail an dich.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.
Somit ist sichergestellt, dass die Mail vom Absender kommt.

Würde jemand anderes eine gefälschte Mail senden käme die von einem anderen Server und somit von einer anderen IP z.B. 5.6.7.8 beim Reverse DNS auf diese IP würde entweder kein DNS Eintrag kommen (weil es keinen gibt) oder ein anderer als abc.de.
In beiden Fällen würde die UTM das erkennen und die Mail blocken.


Solltet ihr so etwas nicht haben wäre die Empfehlung hier definitiv für mehr Sicherheit zu sorgen. Solltet ihr das haben würde die Mail definitiv von eurem Geschäftskontakt kommen was bedeuten würde der PC oder das Netzwerk von eurem Geschäftskontakt ist infiziert.
Dilbert-MD
Dilbert-MD 11.09.2018 aktualisiert um 14:57:19 Uhr
Goto Top
Hi,

wenn der Geschäftspartner Pech hat und sein Passwort für eine oder mehrere Adressen ist in Falsche Hände geraten war, dann rufen die Falschen Freunde den Mailaccount via IMAP ab und haben so auch die gesendeten und die sonstigen (in Ordnern) gespeicherten Mails. Vielleicht sogar über viele Jahre.

Damit haben sie Zugang zu Adressen, Namen, Ansprechpartnern, Projektbezeichnungen, Projektnummern, Bestellnummern, usw. usf. einschließlich ggf. Kopfbögen aus Scans oder PDF's.

Ich hatte heute eine Mail am Wickel, da zeigte mir sogar ein MouseOver über dem Absender die "richtige" (aber ge-fakte) Absenderadresse. Auch hier gab es Geschäftsbeziehungen und die genannten Ansprechpartner passten.

Auch die Kopie des Adressbuches kann schon mehr verraten als nur die Mailadresse, da hier i.d.R. auch Einträge vorhanden sind für Name, Vorname, Firma usw.

Der Mail-Klau oder der Adressbuch-Klau kann dabei auch schon lange zurückliegen. Da kann inzwischen schon der Mitarbeiter gewechselt haben oder die hardware ausgetauscht sein, ....


Es kommt von der IP Adresse 1.2.3.4. und dem Postfach max.mustermann@abc.de eine Mail an dich.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.

Was passiert, wenn eine kleine Firma mal den Provider wechselt und die gehostete Domain und die Postfächer auf einen anderen provider portiert?

Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?

Gruß
St-Andreas
St-Andreas 11.09.2018 um 16:23:04 Uhr
Goto Top
Ja, das funktioniert tadellos, wenn man es richtig betreibt.
Hilft aber auch nichts, wenn der Böse die Maildomäne gut faked, zb statt @schreiner-meier.de @schreiner—meier.de.
Da helfen dann auch lustige SMime Zertifikate kaum noch.
Bem0815
Bem0815 11.09.2018 um 16:29:37 Uhr
Goto Top
Zitat von @Dilbert-MD:

Was passiert, wenn eine kleine Firma mal den Provider wechselt und die gehostete Domain und die Postfächer auf einen anderen provider portiert?

Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?

Gruß

Wenn der E-Mail Provider gewechselt wird, dann muss man ja sowieso auch um E-Mails empfangen zu können seinen DNS MX Eintrag auf die IP des neuen Providers ändern.

Und somit ist ab der Änderung dann auch wieder der Reverse Eintrag für die IP des neues Providers korrekt im DNS.


Oder um das noch etwas ausführlicher zu erklären

Man wechselt vom Provider mit der IP 1.2.3.4. zum Provider mit der IP 12.34.56.78

Damit die eingehenden Mails an xyz@abc.de dann überhaupt beim neuem Provider im Postfach landen und nicht beim alten muss der DNS Eintrag für Mails (MX Eintrag) auf die neue IP 12.34.56.78 geändert werden.

Wenn man nun vom neuen Anbieter eine Mail verschickt geht die über die IP 12.34.56.78 ins Internet raus. Ein Empfängersystem kann jetzt auch wieder kontrollieren ob beim DNS Anbieter unter der gesendeten IP 12.34.56.78 dann abc.de rauskommt.

Wenn ja ist die Mail auch vom korrekten Absender.


Sollte man nach der Änderung des DNS Eintrages nun versuchen vom alten Mail Server E-Mails zu verschicken würde so ein System diese dann wieder als falsch anerkennen und ablehnen, denn Sender IP wäre 1.2.3.4 der Reverse DNS für @abc.de gibt aber 12.34.56.78 zurück.
Sylvia
Sylvia 14.09.2018 um 06:08:34 Uhr
Goto Top
Guten Morgen zusammen,

vielen Dank für die vielen Antworten. Ich werde mir das alles durchsehen und mit unserem Mailadmin mal besprechen, mal sehen was der dazu sagt. Vor allem die Sache mit den DNS-Einträgen. Eigentlich müsste man die auch irgend wie abrufen können von den DNS, oder?

Liebe Grüße
Sylvia
Bem0815
Bem0815 14.09.2018 um 09:50:20 Uhr
Goto Top
Natürlich, die DNS Einträge kann man in den meisten Fällen selbst verwalten.
Dafür muss man sich einfach beim Anbieter bei dem man die .de .com oder .xyz Domain erhalten hat einloggen.


Wenn man eine Drittfirma beauftragt hat sich um den Webauftritt und somit vielleicht auch um die Domains zu kümmern dann muss man das halt an die weiterleiten.

Wobei man wenn man jetzt nur den angesprochenen Schutz haben möchte und nicht den Mailserver auf eine neue IP umziehen will, man nicht wirklich etwas an den DNS Einstellungen ändern muss.


Hier ist dann wie gesagt eher eine gute Lösung an einer UTM gefragt.
Wir verwenden hier bei uns in der Firma z.B. als Firewall bzw. Unified Threat Management Lösung eine Sophos UTM.
Die kann das mit der Reverse DNS Prüfung und hält und pro Tag mehrere hundert Spam Mails ab die gefälschte Absender haben.
Das macht bei uns mittlerweile 80-90% der Spam Mails aus die von vorneherein schon mal wegfallen ohne das hier überhaupt der Mailtext auf Spam analysiert werden muss.


Die Analyse macht die Firewall natürlich im Anschluss auch noch um noch mehr Spam herauszufiltern.