Mails mit .doc als Rechnung im Anhang
Guten Morgen zusammen,
dass man Mails mit .doc als Rechnung im Anhang bekommt ist ja noch nicht wirklich etwas neues - unsere MA wissen inzwischen auch, dass sie diese nicht anklicken dürfen. Unser Antivirus schlägt auch brav an. Das ist nicht das Problem.
Was mir aufgefallen ist und mich stutzig macht ist, dass diese Mails so gut gefaked sind, dass sie sogar von Absendern kommen, mit denen die Betroffenen geschäftlichen Kontakt haben. Es ist nun schon mehrfach vorgekommen, dass Kolleginnen eine Mail von einem ihnen bekannten Absender bekommen habe, das schafft natürlich Vertrauen und reizt zum anklicken.
Ich frage mich nun aber - woher wissen die Cyberkriminellen das? Muss ich davon ausgehen, dass unser bzw. deren System ein Problem hat oder sind die Bots in den Suchmaschinen so gut im Matrizen erstellen, dass sie durch die Informationen im Internet diese Verbindungen herstellen können?
Kennt sich da jemand aus von Euch oder hat jemand einen Tipp, an welche Insider ich mich da wenden kann?
Mich beunruhigt das etwas...
Vielen Dank Euch schon mal!
Liebe Grüße
Sylvia
dass man Mails mit .doc als Rechnung im Anhang bekommt ist ja noch nicht wirklich etwas neues - unsere MA wissen inzwischen auch, dass sie diese nicht anklicken dürfen. Unser Antivirus schlägt auch brav an. Das ist nicht das Problem.
Was mir aufgefallen ist und mich stutzig macht ist, dass diese Mails so gut gefaked sind, dass sie sogar von Absendern kommen, mit denen die Betroffenen geschäftlichen Kontakt haben. Es ist nun schon mehrfach vorgekommen, dass Kolleginnen eine Mail von einem ihnen bekannten Absender bekommen habe, das schafft natürlich Vertrauen und reizt zum anklicken.
Ich frage mich nun aber - woher wissen die Cyberkriminellen das? Muss ich davon ausgehen, dass unser bzw. deren System ein Problem hat oder sind die Bots in den Suchmaschinen so gut im Matrizen erstellen, dass sie durch die Informationen im Internet diese Verbindungen herstellen können?
Kennt sich da jemand aus von Euch oder hat jemand einen Tipp, an welche Insider ich mich da wenden kann?
Mich beunruhigt das etwas...
Vielen Dank Euch schon mal!
Liebe Grüße
Sylvia
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 386063
Url: https://administrator.de/forum/mails-mit-doc-als-rechnung-im-anhang-386063.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
12 Kommentare
Neuester Kommentar
woher wissen die Cyberkriminellen das?
Eigentlich ist es ganz einfach. Du brauchst nur genügend Leute die sich irgendwelche Apps zweifelhafter Herkunft installieren und denen dann auch noch Zugriff auf die gespeicherten Kontaktdaten und aufs Internet geben. Die Kontakte werden dann irgendwo hin übermittelt und dort zusammengeführt. Es dauert nicht lange und du hast ein astreines Beziehungssystem der einzelnen Kontakte untereinander hergestellt. Schon kannst du Leuten eine Mail schicken, die so aussieht als käme sie von einem Bekannten. Mit Name, Funktion, Position und allem was dazu gehört.
Muss ich davon ausgehen, dass unser bzw. deren System ein Problem hat
Das ist nicht ausgeschlossen. In erster Linie kommen die Daten aber wohl sonst wo her.
Manuel
Guten Morgen,
wenn jemand bei Euch im System hängt und versucht Euch abzuziehen, dann werden die kaum versuchen Malware über Doc-Dateien zu platzieren.
Ernsthafte Attacken lassen sich nicht über Malwarescanner oder Dateitypenbeschränkungen verhindern, bzw. Ins Leere laufen lassen, auch eine Firewall nützt da nicht, da helfen nur präzise Prozesse, aufmerksame Mitarbeiter und Vorgesetzte die sich an Prozesse halten.
wenn jemand bei Euch im System hängt und versucht Euch abzuziehen, dann werden die kaum versuchen Malware über Doc-Dateien zu platzieren.
Ernsthafte Attacken lassen sich nicht über Malwarescanner oder Dateitypenbeschränkungen verhindern, bzw. Ins Leere laufen lassen, auch eine Firewall nützt da nicht, da helfen nur präzise Prozesse, aufmerksame Mitarbeiter und Vorgesetzte die sich an Prozesse halten.
Die Frage ist hier eher ob euer System mit einer ordentlichen UTM (Unified Threat Management) das ordentlich konfiguriert ist geschützt ist.
Wäre das nämlich der Fall, könnten gefälschte Mails gar nicht erst ankommen und die Frage würde sich dann ggfs. gar nicht stellen.
Nehmen wir mal an der Mail Server deines Geschäftskontakt mit der E-Mail Adresse max.mustermann@abc.de hat die IP Adresse 1.2.3.4.
Es kommt von der IP Adresse 1.2.3.4. und dem Postfach max.mustermann@abc.de eine Mail an dich.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.
Somit ist sichergestellt, dass die Mail vom Absender kommt.
Würde jemand anderes eine gefälschte Mail senden käme die von einem anderen Server und somit von einer anderen IP z.B. 5.6.7.8 beim Reverse DNS auf diese IP würde entweder kein DNS Eintrag kommen (weil es keinen gibt) oder ein anderer als abc.de.
In beiden Fällen würde die UTM das erkennen und die Mail blocken.
Solltet ihr so etwas nicht haben wäre die Empfehlung hier definitiv für mehr Sicherheit zu sorgen. Solltet ihr das haben würde die Mail definitiv von eurem Geschäftskontakt kommen was bedeuten würde der PC oder das Netzwerk von eurem Geschäftskontakt ist infiziert.
Wäre das nämlich der Fall, könnten gefälschte Mails gar nicht erst ankommen und die Frage würde sich dann ggfs. gar nicht stellen.
Nehmen wir mal an der Mail Server deines Geschäftskontakt mit der E-Mail Adresse max.mustermann@abc.de hat die IP Adresse 1.2.3.4.
Es kommt von der IP Adresse 1.2.3.4. und dem Postfach max.mustermann@abc.de eine Mail an dich.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.
Somit ist sichergestellt, dass die Mail vom Absender kommt.
Würde jemand anderes eine gefälschte Mail senden käme die von einem anderen Server und somit von einer anderen IP z.B. 5.6.7.8 beim Reverse DNS auf diese IP würde entweder kein DNS Eintrag kommen (weil es keinen gibt) oder ein anderer als abc.de.
In beiden Fällen würde die UTM das erkennen und die Mail blocken.
Solltet ihr so etwas nicht haben wäre die Empfehlung hier definitiv für mehr Sicherheit zu sorgen. Solltet ihr das haben würde die Mail definitiv von eurem Geschäftskontakt kommen was bedeuten würde der PC oder das Netzwerk von eurem Geschäftskontakt ist infiziert.
Hi,
wenn der Geschäftspartner Pech hat und sein Passwort für eine oder mehrere Adressen ist in Falsche Hände geraten war, dann rufen die Falschen Freunde den Mailaccount via IMAP ab und haben so auch die gesendeten und die sonstigen (in Ordnern) gespeicherten Mails. Vielleicht sogar über viele Jahre.
Damit haben sie Zugang zu Adressen, Namen, Ansprechpartnern, Projektbezeichnungen, Projektnummern, Bestellnummern, usw. usf. einschließlich ggf. Kopfbögen aus Scans oder PDF's.
Ich hatte heute eine Mail am Wickel, da zeigte mir sogar ein MouseOver über dem Absender die "richtige" (aber ge-fakte) Absenderadresse. Auch hier gab es Geschäftsbeziehungen und die genannten Ansprechpartner passten.
Auch die Kopie des Adressbuches kann schon mehr verraten als nur die Mailadresse, da hier i.d.R. auch Einträge vorhanden sind für Name, Vorname, Firma usw.
Der Mail-Klau oder der Adressbuch-Klau kann dabei auch schon lange zurückliegen. Da kann inzwischen schon der Mitarbeiter gewechselt haben oder die hardware ausgetauscht sein, ....
Was passiert, wenn eine kleine Firma mal den Provider wechselt und die gehostete Domain und die Postfächer auf einen anderen provider portiert?
Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?
Gruß
wenn der Geschäftspartner Pech hat und sein Passwort für eine oder mehrere Adressen ist in Falsche Hände geraten war, dann rufen die Falschen Freunde den Mailaccount via IMAP ab und haben so auch die gesendeten und die sonstigen (in Ordnern) gespeicherten Mails. Vielleicht sogar über viele Jahre.
Damit haben sie Zugang zu Adressen, Namen, Ansprechpartnern, Projektbezeichnungen, Projektnummern, Bestellnummern, usw. usf. einschließlich ggf. Kopfbögen aus Scans oder PDF's.
Ich hatte heute eine Mail am Wickel, da zeigte mir sogar ein MouseOver über dem Absender die "richtige" (aber ge-fakte) Absenderadresse. Auch hier gab es Geschäftsbeziehungen und die genannten Ansprechpartner passten.
Auch die Kopie des Adressbuches kann schon mehr verraten als nur die Mailadresse, da hier i.d.R. auch Einträge vorhanden sind für Name, Vorname, Firma usw.
Der Mail-Klau oder der Adressbuch-Klau kann dabei auch schon lange zurückliegen. Da kann inzwischen schon der Mitarbeiter gewechselt haben oder die hardware ausgetauscht sein, ....
Es kommt von der IP Adresse 1.2.3.4. und dem Postfach max.mustermann@abc.de eine Mail an dich.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.
Die UTM würde dann per Reverse DNS prüfen welcher Domainname zu 1.2.3.4 gehört und würde als Antwort abc.de erhalten.
Was passiert, wenn eine kleine Firma mal den Provider wechselt und die gehostete Domain und die Postfächer auf einen anderen provider portiert?
Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?
Gruß
Was passiert, wenn eine kleine Firma mal den Provider wechselt und die gehostete Domain und die Postfächer auf einen anderen provider portiert?
Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?
Gruß
Funktioniert das überhaupt bei den preiswerten gehosteten Domains, die z.B. über Strato oder 1&1 laufen?
Gruß
Wenn der E-Mail Provider gewechselt wird, dann muss man ja sowieso auch um E-Mails empfangen zu können seinen DNS MX Eintrag auf die IP des neuen Providers ändern.
Und somit ist ab der Änderung dann auch wieder der Reverse Eintrag für die IP des neues Providers korrekt im DNS.
Oder um das noch etwas ausführlicher zu erklären
Man wechselt vom Provider mit der IP 1.2.3.4. zum Provider mit der IP 12.34.56.78
Damit die eingehenden Mails an xyz@abc.de dann überhaupt beim neuem Provider im Postfach landen und nicht beim alten muss der DNS Eintrag für Mails (MX Eintrag) auf die neue IP 12.34.56.78 geändert werden.
Wenn man nun vom neuen Anbieter eine Mail verschickt geht die über die IP 12.34.56.78 ins Internet raus. Ein Empfängersystem kann jetzt auch wieder kontrollieren ob beim DNS Anbieter unter der gesendeten IP 12.34.56.78 dann abc.de rauskommt.
Wenn ja ist die Mail auch vom korrekten Absender.
Sollte man nach der Änderung des DNS Eintrages nun versuchen vom alten Mail Server E-Mails zu verschicken würde so ein System diese dann wieder als falsch anerkennen und ablehnen, denn Sender IP wäre 1.2.3.4 der Reverse DNS für @abc.de gibt aber 12.34.56.78 zurück.
Natürlich, die DNS Einträge kann man in den meisten Fällen selbst verwalten.
Dafür muss man sich einfach beim Anbieter bei dem man die .de .com oder .xyz Domain erhalten hat einloggen.
Wenn man eine Drittfirma beauftragt hat sich um den Webauftritt und somit vielleicht auch um die Domains zu kümmern dann muss man das halt an die weiterleiten.
Wobei man wenn man jetzt nur den angesprochenen Schutz haben möchte und nicht den Mailserver auf eine neue IP umziehen will, man nicht wirklich etwas an den DNS Einstellungen ändern muss.
Hier ist dann wie gesagt eher eine gute Lösung an einer UTM gefragt.
Wir verwenden hier bei uns in der Firma z.B. als Firewall bzw. Unified Threat Management Lösung eine Sophos UTM.
Die kann das mit der Reverse DNS Prüfung und hält und pro Tag mehrere hundert Spam Mails ab die gefälschte Absender haben.
Das macht bei uns mittlerweile 80-90% der Spam Mails aus die von vorneherein schon mal wegfallen ohne das hier überhaupt der Mailtext auf Spam analysiert werden muss.
Die Analyse macht die Firewall natürlich im Anschluss auch noch um noch mehr Spam herauszufiltern.
Dafür muss man sich einfach beim Anbieter bei dem man die .de .com oder .xyz Domain erhalten hat einloggen.
Wenn man eine Drittfirma beauftragt hat sich um den Webauftritt und somit vielleicht auch um die Domains zu kümmern dann muss man das halt an die weiterleiten.
Wobei man wenn man jetzt nur den angesprochenen Schutz haben möchte und nicht den Mailserver auf eine neue IP umziehen will, man nicht wirklich etwas an den DNS Einstellungen ändern muss.
Hier ist dann wie gesagt eher eine gute Lösung an einer UTM gefragt.
Wir verwenden hier bei uns in der Firma z.B. als Firewall bzw. Unified Threat Management Lösung eine Sophos UTM.
Die kann das mit der Reverse DNS Prüfung und hält und pro Tag mehrere hundert Spam Mails ab die gefälschte Absender haben.
Das macht bei uns mittlerweile 80-90% der Spam Mails aus die von vorneherein schon mal wegfallen ohne das hier überhaupt der Mailtext auf Spam analysiert werden muss.
Die Analyse macht die Firewall natürlich im Anschluss auch noch um noch mehr Spam herauszufiltern.