shnuuu
Goto Top

Mails wurden abgefangen und verfälscht

Hallo,

wir haben hier ein ernstes problem. Eine Mail an einen Kunden aus Uganda wurde abgefangen und der Inhalt wurde verfälscht. Zum Glück ist (noch) kein Schaden entstanden und es ist aufgefallen. Fangen wir von vorne an:

Eine Kollegin beschwehrte sich die letzten Tage das sie immer eine Unzustellbarkeitsmail bekommt wenn sie an einen Kunden geschrieben hat und ein Kollege von uns dabei in CC war. (Im Bericht weiter unten "KollegeCC").
Da die Mails aber trotzdem an dem KollegenCC ankamen war das erstmal noch nicht tragisch. Ich bin dann erst heute dazu gekommen wir das mal anzuschauen.

Heute habe ich erfahren, dass dies nur passiert wenn sie an diesen einen Kunden schreibt und eben dort den Kollegen in CC hat.

In den Unzustellbarkeitsberichten viel auf, dass dort ein Minuszeichen zuviel drin war. Also beispiel:
Richtig: kollegeCC@firma-online.com
Im Bericht: kollegeCC@firma--online.com

Aber dann kam der Knall als ich mir den Bericht genauer ansah:

Diagnoseinformationen für Administratoren:

Generierender Server: emkei.cz

kollegeCC@firma--online.com
#< #5.4.4 X-Postfix; Host or domain name not found. Name service error for name=firma--online.com type=AAAA: Host not found> #SMTP#

Ursprüngliche Nachrichtenkopfzeilen:

Return-Path: <kollegin@herzog-online.com>
Received: by emkei.cz (Postfix, from userid 33) id 627F2D5ED4; Mon, 11 Feb
2013 09:56:58 +0100 (CET)
To: <Kunde@yahoo.com>
Subject: Re: MONEY/delivery of the 3 machines
From: "Kollegin" <kollegin@firma-online.com>
CC: Kollege CC <kollegeCC@firma--online.com>
X-Priority: 3 (Normal)
Importance: Normal
Errors-To: Kollegin@firma-online.com
Reply-To: Kollegin <compensation_020@hotmail.com>
Content-Type: text/html; charset="utf-8"
Message-ID: <20130211085658.627F2D5ED4@emkei.cz>
Date: Mon, 11 Feb 2013 09:56:58 +0100
MIME-Version: 1.0


Hier fiel sofort emkei.cz als generierender Server auf, obwohl die mail an Yahoo ging. Geht mal auf www.emkei.cz
Dort kann man Fake Emails erstellen.
Außerdem die Reply-To Mail Adresse "compensation_020@hotmail.com" scheint wohl die des Hackers zu sein.


Anscheinend wurden die Mails abgefangen, deren Inhalt verändert und über Den dienst emkei.cz erneut verschickt.
Zu unserer Serverstruktur:
Die Clients arbeiten über Citrix und verschicken auch dort über Outlook 2003 (Ja ich weiß...) ihre Mails.
Der Mail Server ist ein Exchange 2007. Die Mails gehen dann an unseren Provider raus der den Email Empfang & Versand übernimmt. (Für den Empfang haben wir Popcon & ein catchall Konto)

Für mich stellt sich jetzt grad die entscheidene Frage wo die Mails abgefangen wurden und ob wir hier im Haus infiltriert sind oder ob dies erst unterwegs/ beim Kunden geschehen ist.
Unserer Provider ist natürlich informiert und sollte gerade checken was mit den Mails geschehen ist.

Habt ihr Tipps & Empfehlungen was ich tun kann oder überprüfen sollte?

Grüße,
Shnu

Content-ID: 201820

Url: https://administrator.de/contentid/201820

Ausgedruckt am: 09.11.2024 um 01:11 Uhr

AndiEoh
AndiEoh 15.02.2013 um 13:22:04 Uhr
Goto Top
Hallo

folgende Vorgehensweise:

- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
- Prüfen wohin die Mail von euch aus rausging (tatsächlich zum Provider oder nicht)
- Vom Provider die Loginformation verlangen wohin die Mail weiter gereicht wurde

Möglicherweise handelt es sich nur um einen Irrläufer wegen seltsamer Weiterleitungsregeln oder sonstiger Versuche beim Kunden. Was zumindest theoretisch auch möglich ist:

- Yahoo Account des Kunden wurde gehackt/gephished
- Per DNS Spoofing bei eurem Provider wurde die e-Mail falsch weiter geleitet
- Per wie auch immer geartete MitM Attacke wurde die Mail abgefangen/verändert

Falls die Sachen kritisch/vertraulich sind solltet Ihr über PGP oder S/MIME nachdenken.

Gruß

Andi
Shnuuu
Shnuuu 15.02.2013 aktualisiert um 13:43:48 Uhr
Goto Top
Hallo AndieEoh.

- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
-> Wie gesagt eine Mail wurde sicher gefälscht. Dort waren andere Bankverbindungen eingetragen als sie von der Kollegin verschickt wurde. Die anderen wurden aber auch schon länger abgefangen. Ab dem 30.01 fing es an, dass wir unzustellbarkeitsberichte bekommen haben und in diesen die Falschen Information (emkei.cz usw) drin stehen.


- Prüfen wohin die Mail von euch aus rausging (tatsächlich zum Provider oder nicht)
-> Wie kann ich das Prüfen? In der Exchange Nachrichtenverfolgung sieht alles ok aus. Dort stimmen die Empfänger. Ob die Mails beim Provider angekommen sind, kann nur er mir sagen?!

- Vom Provider die Loginformation verlangen wohin die Mail weiter gereicht wurde
-> Ist in Arbeit. Ich warte auf die Antwort.


Möglicherweise handelt es sich nur um einen Irrläufer wegen seltsamer Weiterleitungsregeln oder sonstiger Versuche beim Kunden.
-> Glaube ich nicht, da es wie gesagt seit dem 30.01 bei mehreren Mails zu diesem Kunden passiert ist.

Falls die Sachen kritisch/vertraulich sind solltet Ihr über PGP oder S/MIME nachdenken.
-> Wenn die Sache vom Tisch ist, werden wir definitv mal über sowas nachdenken.
AndiEoh
AndiEoh 15.02.2013 um 16:00:34 Uhr
Goto Top
Zitat von @Shnuuu:
Hallo AndieEoh.

- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
-> Wie gesagt eine Mail wurde sicher gefälscht. Dort waren andere Bankverbindungen eingetragen als sie von der Kollegin
verschickt wurde. Die anderen wurden aber auch schon länger abgefangen. Ab dem 30.01 fing es an, dass wir
unzustellbarkeitsberichte bekommen haben und in diesen die Falschen Information (emkei.cz usw) drin stehen.


Es geht nicht nur um die Fälschung sondern auch wer diese Mail über welche Stationen bei eurem Kunden zugestellt hat. Das ist in den Mailheadern vermerkt...


- Prüfen wohin die Mail von euch aus rausging (tatsächlich zum Provider oder nicht)
-> Wie kann ich das Prüfen? In der Exchange Nachrichtenverfolgung sieht alles ok aus. Dort stimmen die Empfänger. Ob
die Mails beim Provider angekommen sind, kann nur er mir sagen?!

Es geht nicht um die Empfänger, sondern darum ob eure Exchange bereits "ausgetrickst" wurde, oder ob die e-Mail korrekt an die IP-Adresse der Provider Relay weiter gereicht wurde.

- Vom Provider die Loginformation verlangen wohin die Mail weiter gereicht wurde
-> Ist in Arbeit. Ich warte auf die Antwort.


Das ist der wichtige Part, damit kann man den Weg bis zu Yahoo.com beweisen oder auch nicht.


Möglicherweise handelt es sich nur um einen Irrläufer wegen seltsamer Weiterleitungsregeln oder sonstiger Versuche beim
Kunden.
-> Glaube ich nicht, da es wie gesagt seit dem 30.01 bei mehreren Mails zu diesem Kunden passiert ist.


Wenn Kontodaten verändert werden sieht es eher gezielt nach Betrug aus...


Falls die Sachen kritisch/vertraulich sind solltet Ihr über PGP oder S/MIME nachdenken.
-> Wenn die Sache vom Tisch ist, werden wir definitv mal über sowas nachdenken.

JETZT ist der Zeitpunkt. Dieser Vorfall zeigt doch schon deutlich das Angriffspotential vorhanden ist und auch genutzt wird.

Gruß

Andi
Shnuuu
Shnuuu 20.02.2013 um 08:20:31 Uhr
Goto Top
Hi,

kleines Update.
Wir wissen momentan so viel, dass die Mails von unserer Seite aus alle korrekt übermittelt worden sind.
Laut den Logs unseres Providers wurden alle Mails ordnungsgemäß an die Yahoo Server übermittelt.

Wir wissen außerdem, dass bei einem der Empfänger eine Mail nie bei ihm angekommen ist, obwohl sie laut den Logs abgeliefert wurde. Das Spricht dann dafür das der Hacker diese Abgefangen/Gelöscht hat.

Über die seite emkei.cz schickt der Hacker immer noch täglich Mails in unserem Namen an die Jungs aus Uganda. Wir bekommen dann jedes mal eine Unzustellbarkeitsmail, da der Hacker immer einen Kollegen von uns mit einer falschen Email Adresse die es nicht gibt "firma--online.com" in CC stellt. (Keine Ahnung warum sie das tun, sie spielen uns damit ja informationen zu.)

Mal sehen wie das weiter gehen wird, aufjedenfall wird wohl eine Strafanzeige gestellt.
AndiEoh
AndiEoh 20.02.2013 um 10:07:00 Uhr
Goto Top
Hallo,

meine Vermutung: Euer Kunde hat sich die Zugangsdaten zu seinem Yahoo Account klauen lassen. Es gibt leider immer noch viele Leute die im WLAN mal kurz unverschlüsselt Ihre Mails checken.
Zu den Bounces: Auch kriminelle kochen nur mit Wasser, wahrscheinlich ein simpler copy&paste Fehler.

Gruß

Andi