12
Mails mit .doc als Rechnung im Anhang
Guten Morgen zusammen,
dass man Mails mit .doc als Rechnung im Anhang bekommt ist ja noch nicht wirklich etwas neues - unsere MA wissen inzwischen auch, dass sie diese nicht anklicken dürfen. Unser Antivirus schlägt auch brav an. Das ist nicht das Problem.
Was mir aufgefallen ist und mich stutzig macht ist, dass diese Mails so gut gefaked sind, dass sie sogar von Absendern kommen, mit denen die Betroffenen geschäftlichen Kontakt haben. Es ist nun schon mehrfach vorgekommen, dass Kolleginnen eine Mail von einem ihnen bekannten Absender bekommen habe, das schafft natürlich Vertrauen und reizt zum anklicken.
Ich frage mich nun aber - woher wissen die Cyberkriminellen das? Muss ich davon ausgehen, dass unser bzw. deren System ein Problem hat oder sind die Bots in den Suchmaschinen so gut im Matrizen erstellen, dass sie durch die Informationen im Internet diese Verbindungen herstellen können?
Kennt sich da jemand aus von Euch oder hat jemand einen Tipp, an welche Insider ich mich da wenden kann?
Mich beunruhigt das etwas...
Vielen Dank Euch schon mal!
Liebe Grüße
Sylvia
dass man Mails mit .doc als Rechnung im Anhang bekommt ist ja noch nicht wirklich etwas neues - unsere MA wissen inzwischen auch, dass sie diese nicht anklicken dürfen. Unser Antivirus schlägt auch brav an. Das ist nicht das Problem.
Was mir aufgefallen ist und mich stutzig macht ist, dass diese Mails so gut gefaked sind, dass sie sogar von Absendern kommen, mit denen die Betroffenen geschäftlichen Kontakt haben. Es ist nun schon mehrfach vorgekommen, dass Kolleginnen eine Mail von einem ihnen bekannten Absender bekommen habe, das schafft natürlich Vertrauen und reizt zum anklicken.
Ich frage mich nun aber - woher wissen die Cyberkriminellen das? Muss ich davon ausgehen, dass unser bzw. deren System ein Problem hat oder sind die Bots in den Suchmaschinen so gut im Matrizen erstellen, dass sie durch die Informationen im Internet diese Verbindungen herstellen können?
Kennt sich da jemand aus von Euch oder hat jemand einen Tipp, an welche Insider ich mich da wenden kann?
Mich beunruhigt das etwas...
Vielen Dank Euch schon mal!
Liebe Grüße
Sylvia
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 386063
Url: https://administrator.de/contentid/386063
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
meist hat sich Irgendjemand einen Virus eingefangen der das Adressbuch und ggf. sogar Mails kopiert hat.
Dann gibt es weitergeleitete Mails mit bekanntem Inhalt und einem Zusatz wie "Was ich noch vergessen hatte...".
Anhänge per Doc kann man auch prima ganz sperren.
Wofür gibt es PDF.
Stefan
meist hat sich Irgendjemand einen Virus eingefangen der das Adressbuch und ggf. sogar Mails kopiert hat.
Dann gibt es weitergeleitete Mails mit bekanntem Inhalt und einem Zusatz wie "Was ich noch vergessen hatte...".
Anhänge per Doc kann man auch prima ganz sperren.
Wofür gibt es PDF.
Stefan
Moin,
sowohl als auch, es könnte ja auch sein, dass das "Adressbuch" der Gegenseite kompromitiert wurde.
Gruss
sowohl als auch, es könnte ja auch sein, dass das "Adressbuch" der Gegenseite kompromitiert wurde.
Gruss
Moin,
wir handeln das schlicht so . Auch eben weil es immer noch Leute gibt die es nicht verstehen .
Alles war raus oder rein kommt und keine PDF als Anhang ist, wird von der Sophos abgefangen und landet in der Quarantäne geschoben.
Anschließend wird das von uns händisch geprüft.
Gruss Michael
wir handeln das schlicht so . Auch eben weil es immer noch Leute gibt die es nicht verstehen .
Alles war raus oder rein kommt und keine PDF als Anhang ist, wird von der Sophos abgefangen und landet in der Quarantäne geschoben.
Anschließend wird das von uns händisch geprüft.
Gruss Michael
Hallo,
bei uns wandern die "alten" MS Office Dateiformate wie (doc, xls, ...) direkt in der Quarante, und können vom MA nicht selbst freigegeben werden.
Bisher sind mir noch keine verdächtigen Emails mit einem docx. untergekommen.
LG
Daniel
bei uns wandern die "alten" MS Office Dateiformate wie (doc, xls, ...) direkt in der Quarante, und können vom MA nicht selbst freigegeben werden.
Bisher sind mir noch keine verdächtigen Emails mit einem docx. untergekommen.
LG
Daniel
woher wissen die Cyberkriminellen das?
Eigentlich ist es ganz einfach. Du brauchst nur genügend Leute die sich irgendwelche Apps zweifelhafter Herkunft installieren und denen dann auch noch Zugriff auf die gespeicherten Kontaktdaten und aufs Internet geben. Die Kontakte werden dann irgendwo hin übermittelt und dort zusammengeführt. Es dauert nicht lange und du hast ein astreines Beziehungssystem der einzelnen Kontakte untereinander hergestellt. Schon kannst du Leuten eine Mail schicken, die so aussieht als käme sie von einem Bekannten. Mit Name, Funktion, Position und allem was dazu gehört.
Muss ich davon ausgehen, dass unser bzw. deren System ein Problem hat
Das ist nicht ausgeschlossen. In erster Linie kommen die Daten aber wohl sonst wo her.
Manuel
Guten Morgen,
wenn jemand bei Euch im System hängt und versucht Euch abzuziehen, dann werden die kaum versuchen Malware über Doc-Dateien zu platzieren.
Ernsthafte Attacken lassen sich nicht über Malwarescanner oder Dateitypenbeschränkungen verhindern, bzw. Ins Leere laufen lassen, auch eine Firewall nützt da nicht, da helfen nur präzise Prozesse, aufmerksame Mitarbeiter und Vorgesetzte die sich an Prozesse halten.
wenn jemand bei Euch im System hängt und versucht Euch abzuziehen, dann werden die kaum versuchen Malware über Doc-Dateien zu platzieren.
Ernsthafte Attacken lassen sich nicht über Malwarescanner oder Dateitypenbeschränkungen verhindern, bzw. Ins Leere laufen lassen, auch eine Firewall nützt da nicht, da helfen nur präzise Prozesse, aufmerksame Mitarbeiter und Vorgesetzte die sich an Prozesse halten.
Die Frage ist hier eher ob euer System mit einer ordentlichen UTM (Unified Threat Management) das ordentlich konfiguriert ist geschützt ist.
Wäre das nämlich der Fall, könnten gefälschte Mails gar nicht erst ankommen und die Frage würde sich dann ggfs. gar nicht stellen.
Nehmen wir mal an der Mail Server deines Geschäftskontakt mit der E-Mail Adresse max.mustermann@abc.de hat die IP Adresse 1.2.3.4.
Es kommt von der IP Adresse 1.2.3.4. und dem Postfach max.mustermann@abc.de eine Mail an dich.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.
Somit ist sichergestellt, dass die Mail vom Absender kommt.
Würde jemand anderes eine gefälschte Mail senden käme die von einem anderen Server und somit von einer anderen IP z.B. 5.6.7.8 beim Reverse DNS auf diese IP würde entweder kein DNS Eintrag kommen (weil es keinen gibt) oder ein anderer als abc.de.
In beiden Fällen würde die UTM das erkennen und die Mail blocken.
Solltet ihr so etwas nicht haben wäre die Empfehlung hier definitiv für mehr Sicherheit zu sorgen. Solltet ihr das haben würde die Mail definitiv von eurem Geschäftskontakt kommen was bedeuten würde der PC oder das Netzwerk von eurem Geschäftskontakt ist infiziert.
Wäre das nämlich der Fall, könnten gefälschte Mails gar nicht erst ankommen und die Frage würde sich dann ggfs. gar nicht stellen.
Nehmen wir mal an der Mail Server deines Geschäftskontakt mit der E-Mail Adresse max.mustermann@abc.de hat die IP Adresse 1.2.3.4.
Es kommt von der IP Adresse 1.2.3.4. und dem Postfach max.mustermann@abc.de eine Mail an dich.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.
Somit ist sichergestellt, dass die Mail vom Absender kommt.
Würde jemand anderes eine gefälschte Mail senden käme die von einem anderen Server und somit von einer anderen IP z.B. 5.6.7.8 beim Reverse DNS auf diese IP würde entweder kein DNS Eintrag kommen (weil es keinen gibt) oder ein anderer als abc.de.
In beiden Fällen würde die UTM das erkennen und die Mail blocken.
Solltet ihr so etwas nicht haben wäre die Empfehlung hier definitiv für mehr Sicherheit zu sorgen. Solltet ihr das haben würde die Mail definitiv von eurem Geschäftskontakt kommen was bedeuten würde der PC oder das Netzwerk von eurem Geschäftskontakt ist infiziert.
Hi,
wenn der Geschäftspartner Pech hat und sein Passwort für eine oder mehrere Adressen ist in Falsche Hände geraten war, dann rufen die Falschen Freunde den Mailaccount via IMAP ab und haben so auch die gesendeten und die sonstigen (in Ordnern) gespeicherten Mails. Vielleicht sogar über viele Jahre.
Damit haben sie Zugang zu Adressen, Namen, Ansprechpartnern, Projektbezeichnungen, Projektnummern, Bestellnummern, usw. usf. einschließlich ggf. Kopfbögen aus Scans oder PDF's.
Ich hatte heute eine Mail am Wickel, da zeigte mir sogar ein MouseOver über dem Absender die "richtige" (aber ge-fakte) Absenderadresse. Auch hier gab es Geschäftsbeziehungen und die genannten Ansprechpartner passten.
Auch die Kopie des Adressbuches kann schon mehr verraten als nur die Mailadresse, da hier i.d.R. auch Einträge vorhanden sind für Name, Vorname, Firma usw.
Der Mail-Klau oder der Adressbuch-Klau kann dabei auch schon lange zurückliegen. Da kann inzwischen schon der Mitarbeiter gewechselt haben oder die hardware ausgetauscht sein, ....
Was passiert, wenn eine kleine Firma mal den Provider wechselt und die gehostete Domain und die Postfächer auf einen anderen provider portiert?
Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?
Gruß
wenn der Geschäftspartner Pech hat und sein Passwort für eine oder mehrere Adressen ist in Falsche Hände geraten war, dann rufen die Falschen Freunde den Mailaccount via IMAP ab und haben so auch die gesendeten und die sonstigen (in Ordnern) gespeicherten Mails. Vielleicht sogar über viele Jahre.
Damit haben sie Zugang zu Adressen, Namen, Ansprechpartnern, Projektbezeichnungen, Projektnummern, Bestellnummern, usw. usf. einschließlich ggf. Kopfbögen aus Scans oder PDF's.
Ich hatte heute eine Mail am Wickel, da zeigte mir sogar ein MouseOver über dem Absender die "richtige" (aber ge-fakte) Absenderadresse. Auch hier gab es Geschäftsbeziehungen und die genannten Ansprechpartner passten.
Auch die Kopie des Adressbuches kann schon mehr verraten als nur die Mailadresse, da hier i.d.R. auch Einträge vorhanden sind für Name, Vorname, Firma usw.
Der Mail-Klau oder der Adressbuch-Klau kann dabei auch schon lange zurückliegen. Da kann inzwischen schon der Mitarbeiter gewechselt haben oder die hardware ausgetauscht sein, ....
Es kommt von der IP Adresse 1.2.3.4. und dem Postfach max.mustermann@abc.de eine Mail an dich.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.
Was passiert, wenn eine kleine Firma mal den Provider wechselt und die gehostete Domain und die Postfächer auf einen anderen provider portiert?
Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?
Gruß
Ja, das funktioniert tadellos, wenn man es richtig betreibt.
Hilft aber auch nichts, wenn der Böse die Maildomäne gut faked, zb statt @schreiner-meier.de @schreiner—meier.de.
Da helfen dann auch lustige SMime Zertifikate kaum noch.
Hilft aber auch nichts, wenn der Böse die Maildomäne gut faked, zb statt @schreiner-meier.de @schreiner—meier.de.
Da helfen dann auch lustige SMime Zertifikate kaum noch.
Was passiert, wenn eine kleine Firma mal den Provider wechselt und die gehostete Domain und die Postfächer auf einen anderen provider portiert?
Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?
Gruß
Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?
Gruß
Wenn der E-Mail Provider gewechselt wird, dann muss man ja sowieso auch um E-Mails empfangen zu können seinen DNS MX Eintrag auf die IP des neuen Providers ändern.
Und somit ist ab der Änderung dann auch wieder der Reverse Eintrag für die IP des neues Providers korrekt im DNS.
Oder um das noch etwas ausführlicher zu erklären
Man wechselt vom Provider mit der IP 1.2.3.4. zum Provider mit der IP 12.34.56.78
Damit die eingehenden Mails an xyz@abc.de dann überhaupt beim neuem Provider im Postfach landen und nicht beim alten muss der DNS Eintrag für Mails (MX Eintrag) auf die neue IP 12.34.56.78 geändert werden.
Wenn man nun vom neuen Anbieter eine Mail verschickt geht die über die IP 12.34.56.78 ins Internet raus. Ein Empfängersystem kann jetzt auch wieder kontrollieren ob beim DNS Anbieter unter der gesendeten IP 12.34.56.78 dann abc.de rauskommt.
Wenn ja ist die Mail auch vom korrekten Absender.
Sollte man nach der Änderung des DNS Eintrages nun versuchen vom alten Mail Server E-Mails zu verschicken würde so ein System diese dann wieder als falsch anerkennen und ablehnen, denn Sender IP wäre 1.2.3.4 der Reverse DNS für @abc.de gibt aber 12.34.56.78 zurück.
Guten Morgen zusammen,
vielen Dank für die vielen Antworten. Ich werde mir das alles durchsehen und mit unserem Mailadmin mal besprechen, mal sehen was der dazu sagt. Vor allem die Sache mit den DNS-Einträgen. Eigentlich müsste man die auch irgend wie abrufen können von den DNS, oder?
Liebe Grüße
Sylvia
vielen Dank für die vielen Antworten. Ich werde mir das alles durchsehen und mit unserem Mailadmin mal besprechen, mal sehen was der dazu sagt. Vor allem die Sache mit den DNS-Einträgen. Eigentlich müsste man die auch irgend wie abrufen können von den DNS, oder?
Liebe Grüße
Sylvia
Natürlich, die DNS Einträge kann man in den meisten Fällen selbst verwalten.
Dafür muss man sich einfach beim Anbieter bei dem man die .de .com oder .xyz Domain erhalten hat einloggen.
Wenn man eine Drittfirma beauftragt hat sich um den Webauftritt und somit vielleicht auch um die Domains zu kümmern dann muss man das halt an die weiterleiten.
Wobei man wenn man jetzt nur den angesprochenen Schutz haben möchte und nicht den Mailserver auf eine neue IP umziehen will, man nicht wirklich etwas an den DNS Einstellungen ändern muss.
Hier ist dann wie gesagt eher eine gute Lösung an einer UTM gefragt.
Wir verwenden hier bei uns in der Firma z.B. als Firewall bzw. Unified Threat Management Lösung eine Sophos UTM.
Die kann das mit der Reverse DNS Prüfung und hält und pro Tag mehrere hundert Spam Mails ab die gefälschte Absender haben.
Das macht bei uns mittlerweile 80-90% der Spam Mails aus die von vorneherein schon mal wegfallen ohne das hier überhaupt der Mailtext auf Spam analysiert werden muss.
Die Analyse macht die Firewall natürlich im Anschluss auch noch um noch mehr Spam herauszufiltern.
Dafür muss man sich einfach beim Anbieter bei dem man die .de .com oder .xyz Domain erhalten hat einloggen.
Wenn man eine Drittfirma beauftragt hat sich um den Webauftritt und somit vielleicht auch um die Domains zu kümmern dann muss man das halt an die weiterleiten.
Wobei man wenn man jetzt nur den angesprochenen Schutz haben möchte und nicht den Mailserver auf eine neue IP umziehen will, man nicht wirklich etwas an den DNS Einstellungen ändern muss.
Hier ist dann wie gesagt eher eine gute Lösung an einer UTM gefragt.
Wir verwenden hier bei uns in der Firma z.B. als Firewall bzw. Unified Threat Management Lösung eine Sophos UTM.
Die kann das mit der Reverse DNS Prüfung und hält und pro Tag mehrere hundert Spam Mails ab die gefälschte Absender haben.
Das macht bei uns mittlerweile 80-90% der Spam Mails aus die von vorneherein schon mal wegfallen ohne das hier überhaupt der Mailtext auf Spam analysiert werden muss.
Die Analyse macht die Firewall natürlich im Anschluss auch noch um noch mehr Spam herauszufiltern.
