Mails wurden abgefangen und verfälscht
Hallo,
wir haben hier ein ernstes problem. Eine Mail an einen Kunden aus Uganda wurde abgefangen und der Inhalt wurde verfälscht. Zum Glück ist (noch) kein Schaden entstanden und es ist aufgefallen. Fangen wir von vorne an:
Eine Kollegin beschwehrte sich die letzten Tage das sie immer eine Unzustellbarkeitsmail bekommt wenn sie an einen Kunden geschrieben hat und ein Kollege von uns dabei in CC war. (Im Bericht weiter unten "KollegeCC").
Da die Mails aber trotzdem an dem KollegenCC ankamen war das erstmal noch nicht tragisch. Ich bin dann erst heute dazu gekommen wir das mal anzuschauen.
Heute habe ich erfahren, dass dies nur passiert wenn sie an diesen einen Kunden schreibt und eben dort den Kollegen in CC hat.
In den Unzustellbarkeitsberichten viel auf, dass dort ein Minuszeichen zuviel drin war. Also beispiel:
Richtig: kollegeCC@firma-online.com
Im Bericht: kollegeCC@firma--online.com
Aber dann kam der Knall als ich mir den Bericht genauer ansah:
Diagnoseinformationen für Administratoren:
Generierender Server: emkei.cz
kollegeCC@firma--online.com
#< #5.4.4 X-Postfix; Host or domain name not found. Name service error for name=firma--online.com type=AAAA: Host not found> #SMTP#
Ursprüngliche Nachrichtenkopfzeilen:
Return-Path: <kollegin@herzog-online.com>
Received: by emkei.cz (Postfix, from userid 33) id 627F2D5ED4; Mon, 11 Feb
2013 09:56:58 +0100 (CET)
To: <Kunde@yahoo.com>
Subject: Re: MONEY/delivery of the 3 machines
From: "Kollegin" <kollegin@firma-online.com>
CC: Kollege CC <kollegeCC@firma--online.com>
X-Priority: 3 (Normal)
Importance: Normal
Errors-To: Kollegin@firma-online.com
Reply-To: Kollegin <compensation_020@hotmail.com>
Content-Type: text/html; charset="utf-8"
Message-ID: <20130211085658.627F2D5ED4@emkei.cz>
Date: Mon, 11 Feb 2013 09:56:58 +0100
MIME-Version: 1.0
Hier fiel sofort emkei.cz als generierender Server auf, obwohl die mail an Yahoo ging. Geht mal auf www.emkei.cz
Dort kann man Fake Emails erstellen.
Außerdem die Reply-To Mail Adresse "compensation_020@hotmail.com" scheint wohl die des Hackers zu sein.
Anscheinend wurden die Mails abgefangen, deren Inhalt verändert und über Den dienst emkei.cz erneut verschickt.
Zu unserer Serverstruktur:
Die Clients arbeiten über Citrix und verschicken auch dort über Outlook 2003 (Ja ich weiß...) ihre Mails.
Der Mail Server ist ein Exchange 2007. Die Mails gehen dann an unseren Provider raus der den Email Empfang & Versand übernimmt. (Für den Empfang haben wir Popcon & ein catchall Konto)
Für mich stellt sich jetzt grad die entscheidene Frage wo die Mails abgefangen wurden und ob wir hier im Haus infiltriert sind oder ob dies erst unterwegs/ beim Kunden geschehen ist.
Unserer Provider ist natürlich informiert und sollte gerade checken was mit den Mails geschehen ist.
Habt ihr Tipps & Empfehlungen was ich tun kann oder überprüfen sollte?
Grüße,
Shnu
wir haben hier ein ernstes problem. Eine Mail an einen Kunden aus Uganda wurde abgefangen und der Inhalt wurde verfälscht. Zum Glück ist (noch) kein Schaden entstanden und es ist aufgefallen. Fangen wir von vorne an:
Eine Kollegin beschwehrte sich die letzten Tage das sie immer eine Unzustellbarkeitsmail bekommt wenn sie an einen Kunden geschrieben hat und ein Kollege von uns dabei in CC war. (Im Bericht weiter unten "KollegeCC").
Da die Mails aber trotzdem an dem KollegenCC ankamen war das erstmal noch nicht tragisch. Ich bin dann erst heute dazu gekommen wir das mal anzuschauen.
Heute habe ich erfahren, dass dies nur passiert wenn sie an diesen einen Kunden schreibt und eben dort den Kollegen in CC hat.
In den Unzustellbarkeitsberichten viel auf, dass dort ein Minuszeichen zuviel drin war. Also beispiel:
Richtig: kollegeCC@firma-online.com
Im Bericht: kollegeCC@firma--online.com
Aber dann kam der Knall als ich mir den Bericht genauer ansah:
Diagnoseinformationen für Administratoren:
Generierender Server: emkei.cz
kollegeCC@firma--online.com
#< #5.4.4 X-Postfix; Host or domain name not found. Name service error for name=firma--online.com type=AAAA: Host not found> #SMTP#
Ursprüngliche Nachrichtenkopfzeilen:
Return-Path: <kollegin@herzog-online.com>
Received: by emkei.cz (Postfix, from userid 33) id 627F2D5ED4; Mon, 11 Feb
2013 09:56:58 +0100 (CET)
To: <Kunde@yahoo.com>
Subject: Re: MONEY/delivery of the 3 machines
From: "Kollegin" <kollegin@firma-online.com>
CC: Kollege CC <kollegeCC@firma--online.com>
X-Priority: 3 (Normal)
Importance: Normal
Errors-To: Kollegin@firma-online.com
Reply-To: Kollegin <compensation_020@hotmail.com>
Content-Type: text/html; charset="utf-8"
Message-ID: <20130211085658.627F2D5ED4@emkei.cz>
Date: Mon, 11 Feb 2013 09:56:58 +0100
MIME-Version: 1.0
Hier fiel sofort emkei.cz als generierender Server auf, obwohl die mail an Yahoo ging. Geht mal auf www.emkei.cz
Dort kann man Fake Emails erstellen.
Außerdem die Reply-To Mail Adresse "compensation_020@hotmail.com" scheint wohl die des Hackers zu sein.
Anscheinend wurden die Mails abgefangen, deren Inhalt verändert und über Den dienst emkei.cz erneut verschickt.
Zu unserer Serverstruktur:
Die Clients arbeiten über Citrix und verschicken auch dort über Outlook 2003 (Ja ich weiß...) ihre Mails.
Der Mail Server ist ein Exchange 2007. Die Mails gehen dann an unseren Provider raus der den Email Empfang & Versand übernimmt. (Für den Empfang haben wir Popcon & ein catchall Konto)
Für mich stellt sich jetzt grad die entscheidene Frage wo die Mails abgefangen wurden und ob wir hier im Haus infiltriert sind oder ob dies erst unterwegs/ beim Kunden geschehen ist.
Unserer Provider ist natürlich informiert und sollte gerade checken was mit den Mails geschehen ist.
Habt ihr Tipps & Empfehlungen was ich tun kann oder überprüfen sollte?
Grüße,
Shnu
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 201820
Url: https://administrator.de/contentid/201820
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo
folgende Vorgehensweise:
- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
- Prüfen wohin die Mail von euch aus rausging (tatsächlich zum Provider oder nicht)
- Vom Provider die Loginformation verlangen wohin die Mail weiter gereicht wurde
Möglicherweise handelt es sich nur um einen Irrläufer wegen seltsamer Weiterleitungsregeln oder sonstiger Versuche beim Kunden. Was zumindest theoretisch auch möglich ist:
- Yahoo Account des Kunden wurde gehackt/gephished
- Per DNS Spoofing bei eurem Provider wurde die e-Mail falsch weiter geleitet
- Per wie auch immer geartete MitM Attacke wurde die Mail abgefangen/verändert
Falls die Sachen kritisch/vertraulich sind solltet Ihr über PGP oder S/MIME nachdenken.
Gruß
Andi
folgende Vorgehensweise:
- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
- Prüfen wohin die Mail von euch aus rausging (tatsächlich zum Provider oder nicht)
- Vom Provider die Loginformation verlangen wohin die Mail weiter gereicht wurde
Möglicherweise handelt es sich nur um einen Irrläufer wegen seltsamer Weiterleitungsregeln oder sonstiger Versuche beim Kunden. Was zumindest theoretisch auch möglich ist:
- Yahoo Account des Kunden wurde gehackt/gephished
- Per DNS Spoofing bei eurem Provider wurde die e-Mail falsch weiter geleitet
- Per wie auch immer geartete MitM Attacke wurde die Mail abgefangen/verändert
Falls die Sachen kritisch/vertraulich sind solltet Ihr über PGP oder S/MIME nachdenken.
Gruß
Andi
Zitat von @Shnuuu:
Hallo AndieEoh.
- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
-> Wie gesagt eine Mail wurde sicher gefälscht. Dort waren andere Bankverbindungen eingetragen als sie von der Kollegin
verschickt wurde. Die anderen wurden aber auch schon länger abgefangen. Ab dem 30.01 fing es an, dass wir
unzustellbarkeitsberichte bekommen haben und in diesen die Falschen Information (emkei.cz usw) drin stehen.
Hallo AndieEoh.
- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
-> Wie gesagt eine Mail wurde sicher gefälscht. Dort waren andere Bankverbindungen eingetragen als sie von der Kollegin
verschickt wurde. Die anderen wurden aber auch schon länger abgefangen. Ab dem 30.01 fing es an, dass wir
unzustellbarkeitsberichte bekommen haben und in diesen die Falschen Information (emkei.cz usw) drin stehen.
Es geht nicht nur um die Fälschung sondern auch wer diese Mail über welche Stationen bei eurem Kunden zugestellt hat. Das ist in den Mailheadern vermerkt...
- Prüfen wohin die Mail von euch aus rausging (tatsächlich zum Provider oder nicht)
-> Wie kann ich das Prüfen? In der Exchange Nachrichtenverfolgung sieht alles ok aus. Dort stimmen die Empfänger. Ob
die Mails beim Provider angekommen sind, kann nur er mir sagen?!
-> Wie kann ich das Prüfen? In der Exchange Nachrichtenverfolgung sieht alles ok aus. Dort stimmen die Empfänger. Ob
die Mails beim Provider angekommen sind, kann nur er mir sagen?!
Es geht nicht um die Empfänger, sondern darum ob eure Exchange bereits "ausgetrickst" wurde, oder ob die e-Mail korrekt an die IP-Adresse der Provider Relay weiter gereicht wurde.
- Vom Provider die Loginformation verlangen wohin die Mail weiter gereicht wurde
-> Ist in Arbeit. Ich warte auf die Antwort.
-> Ist in Arbeit. Ich warte auf die Antwort.
Das ist der wichtige Part, damit kann man den Weg bis zu Yahoo.com beweisen oder auch nicht.
Möglicherweise handelt es sich nur um einen Irrläufer wegen seltsamer Weiterleitungsregeln oder sonstiger Versuche beim
Kunden.
-> Glaube ich nicht, da es wie gesagt seit dem 30.01 bei mehreren Mails zu diesem Kunden passiert ist.
Wenn Kontodaten verändert werden sieht es eher gezielt nach Betrug aus...
Falls die Sachen kritisch/vertraulich sind solltet Ihr über PGP oder S/MIME nachdenken.
-> Wenn die Sache vom Tisch ist, werden wir definitv mal über sowas nachdenken.
-> Wenn die Sache vom Tisch ist, werden wir definitv mal über sowas nachdenken.
JETZT ist der Zeitpunkt. Dieser Vorfall zeigt doch schon deutlich das Angriffspotential vorhanden ist und auch genutzt wird.
Gruß
Andi
Hallo,
meine Vermutung: Euer Kunde hat sich die Zugangsdaten zu seinem Yahoo Account klauen lassen. Es gibt leider immer noch viele Leute die im WLAN mal kurz unverschlüsselt Ihre Mails checken.
Zu den Bounces: Auch kriminelle kochen nur mit Wasser, wahrscheinlich ein simpler copy&paste Fehler.
Gruß
Andi
meine Vermutung: Euer Kunde hat sich die Zugangsdaten zu seinem Yahoo Account klauen lassen. Es gibt leider immer noch viele Leute die im WLAN mal kurz unverschlüsselt Ihre Mails checken.
Zu den Bounces: Auch kriminelle kochen nur mit Wasser, wahrscheinlich ein simpler copy&paste Fehler.
Gruß
Andi