fluluk
Goto Top

Neue Spamwelle?

Hallo,

ist aktuell etwas zu einer neuen Spamwelle bekannt die zur Zeit ihr Unwesen treibt?

mir fallen seit ca. 1-2 Monaten relativ häufig Phishing Mails auf, die auf Rechnungen oder Dokumente hinweisen und einen Link beinhalten.
klickt man darauf, kommt man auf eine Website die versucht ein Office Dokument herunterzuladen (habe es mit einem Test-PC, welcher sich nicht in unserem Netz befindet getestet).

Das dubiose an der ganzen Sache ist, dass der Display Name der Absender fast immer von Personen stammt, mit denen unsere MA tatsächlich zu tun haben, teilweise auch von MA aus unserer eigenen Firma, aber auch von Kunden.
Die Mailadresse selbst ist natürlich eine andere, verfolge ich den Weg zurück, passt die IP Adresse vom Absender auch mit dem DNS überein, dadurch rutscht sie natürlich durch den RDNS Spamfilter.
Da die Mail selbst auch relativ sparsam geschrieben ist fällt sie bei anderen Spam Checks auch nicht auf.

Im Einsatz habe ich eine Sophos UTM, mit der ich eigentlich sonst ganz zufrieden bin, was den Spamfilter angeht.
Diese leitet die Mails an unseren Exchange 2016 CU7 weiter. hier habe ich eigentlich größtenteils Standartregeln definiert.

Ich habe meine Kollegen zwar schon des öfteren sensibilisiert, darauf zu achten was sie öffnen, allerdings gibt es immer wieder mal den ein oder anderen, der trotzdem drauf drückt.

Daher würde ich am liebsten die Mails komplett raus filtern, allerdings habe ich keine Ahnung, wie ich das anstellen soll, da ich alle möglichen Anti-Spam Features aktiviert habe.
Zumindest was den Spamfilter der Sophos UTM angeht.

Ich habe es bei 2 Mails tatsächlich mal soweit zurück verfolgt und habe bei den entsprechenden Verursachern (die sich allesamt in DE befinden) angerufen und mich erkundigt was hier passiert ist, in beiden Fällen war bereits bekannt, dass Sie Spams verschickt haben und daran arbeiten das abzustellen.

Nichts desto trotz finde ich es interessant wie präzise eine Phishing Mail (bzw. die Technologie die diese versendet) erkennt wer mit wem zu tun hat und dementsprechend dies als Display Name einsetzt.

Ist das Thema aktuell bekannt?

Content-ID: 350714

Url: https://administrator.de/contentid/350714

Ausgedruckt am: 24.11.2024 um 22:11 Uhr

certifiedit.net
certifiedit.net 04.10.2017 um 11:35:52 Uhr
Goto Top
Hallo Fluluk,

Spamfilter und RDNS usw sind zwar gut, aber es hilft nichts, wenn komplette Netze gekapert werden - wie hier wohl passiert. Ggf. hilft aber eine Mail an Sophos und entsprechende Stellen, um die Sender komplett zu blockieren, das dürfte zu einem Aufwachen führen. Vielleicht nicht schön, aber geiz ist nur so lange geil, wie man damit durch kommt.

VG
fluluk
fluluk 04.10.2017 um 11:47:38 Uhr
Goto Top
Hallo certifiedit.net,

auch das habe ich schon des Öfteren gemacht, allerdings steckt hinter jeder Mail ein anderer Absender.
Melde ich die Sender von heute, bin ich mir bereits sicher, dass sie Morgen von jemand anderem kommen.

Gruß
fluluk
certifiedit.net
certifiedit.net 04.10.2017 um 11:51:08 Uhr
Goto Top
Hallo Fluluk,

ist ein Kampf gegen Windmühlen. Aber im Optimalfall wird dann der Sender gesperrt, was dieser Kostenintensiv bereinigen muss - was sich irgendwann herumspricht und dementsprechend das allgemeine Sicherheitslevel durch Prävention erhöht. U. a auch in euren Systemen, da einfach weniger ausgehende Infiziert sind.

VG
montana
montana 04.10.2017 um 11:57:42 Uhr
Goto Top
Hallo,


Zitat von @fluluk:

> Das dubiose an der ganzen Sache ist, dass der Display Name der Absender fast immer von Personen stammt, mit denen unsere MA tatsächlich zu tun haben, teilweise auch von MA aus unserer eigenen Firma, aber auch von Kunden.

Das liegt daran, dass die Daten aus den Outlook Kontakten einer bestimmten Person stammen und deren Anzeigename für die Spams genutzt wird. Logischerweise hat man ja in der Regel nur Kontaktdaten von Personen abgespeichert, mit denen was man zu tun hat. Sicherlich wundert sich der Großteil der Kollegen, wenn Sie sehen "Oh Abteilungsleiter Herr XY aus meiner Firma hat mir eine Rechnung geschickt...macht der doch sonst nie" und merken schon, dass da was nicht stimmen kann.
Leider gibt es aber halt immer wieder Kollegen, die das anscheinend nicht komisch finden und die Links/Anhänge öffnen. Steht da der Name einer persönlich bekannten Person wird schon mal wahllos überall draufgeklickt.

Das ist aber schon seit sehr sehr langer Zeit gängig...

Gruß
montana
clSchak
clSchak 04.10.2017 um 12:16:31 Uhr
Goto Top
Hi

unserer "Malicious Website" Liste wird auch immer länger und länger ... face-smile. Wir haben das gleiche "Problem" wie der Rest der Welt auch, selbst von Legitimen Absendern kommen solche Mails und der "Absendername" entspricht dann einer lokalen Mailadresse und die ReplyTo zeigt dann auf den Absender.

Filtern wird hier recht schwer, da man ja zum Teil auf Korrespondenz mit den diversen Firmen angewiesen ist face-confused. Es sind ja nicht nur Absenderadressem die Probleme machen, auch die Webserver auf denen der Mist dann liegt sind ja gekapert worden.

Gruß
@clSchak
beidermachtvongreyscull
beidermachtvongreyscull 04.10.2017 um 12:26:58 Uhr
Goto Top
Zitat von @fluluk:
Ist das Thema aktuell bekannt?

Nicht bei mir. Wir sind ganz gut aufgestellt, denke ich.
Ein EX2010 voll gepatched und aktuell an direkter Front mit Sophos PureMessage for Exchange und einer Reihe von SpamAgenten, die EX mitliefert.

Wir prüfen gegen die folgenden Blockierlisten in dieser Reihenfolge:

  • SpamCop
  • UCEProtect-Network-L1
  • TRUNCATE
  • Protected Sky
  • BARRACUDA
  • SpamRats NoPTR
  • SpamRats SPAM
  • SORBS ESCALATIONS
  • UCEProtect-Network-L2
  • UCEProtect-Network-L3

Sophos PureMessage ist eingestellt alles >10 auf dem Spam-Score als SPAM einzustufen.
Emails mit Dateien mit Gefahrenpotential (die müssen nicht gefährlich sein und bergen dennoch Potential) werden zurückgehalten und durch mich geprüft.

Allein durch das Filtern mittels obiger Blocklisten, habe ich seitdem laut PureMessage immer über 95% Sauberkeit auf meinem EX.
Bin sehr zufrieden.
Penny.Cilin
Penny.Cilin 04.10.2017 aktualisiert um 13:11:26 Uhr
Goto Top
Hallo.

Es gab in den Heise News vor kurzen eine News, daß nun eine Spamwelle mit Absendern von internen Mitarbeitern versendet wird.

ich finde leider die News nicht mehr. Es geht um einen Anhang eines "Mitarbeiters/in".

Heise Artikel zum Thema

Gruss Penny
Bloeker
Bloeker 04.10.2017 um 14:47:20 Uhr
Goto Top
Hallo zusammen,

wir kämpfen auch seit einiger Zeit mit diesem Problem.

Mich würde jedoch mal brennend interessieren, über welche Wege die Mailadressen in Umlauf geraten. Teilweise werden Kunden von uns angeschrieben, die schon jahrelang nichtmehr angeschrieben wurden.

Hat hier jemand eine Info?

Grüße

Bloeker
beidermachtvongreyscull
beidermachtvongreyscull 04.10.2017 aktualisiert um 15:08:26 Uhr
Goto Top
  • Webspider
  • LinkedIn
  • XIng
  • Kontakte in Smartphones

Wichtig ist immer nur eins:
Der Spam sollte nicht vom eigenen Server ausgehen und seine Domäne sollte mit SPF und DKIM/DMARC sauber gesichert sein.
departure69
departure69 04.10.2017 aktualisiert um 15:19:05 Uhr
Goto Top
Zitat von @Bloeker:

Hallo zusammen,

Hallo.


wir kämpfen auch seit einiger Zeit mit diesem Problem.

Mich würde jedoch mal brennend interessieren, über welche Wege die Mailadressen in Umlauf geraten.

Durch gekaperte Rechner/Windows-Installationen/Mailclients/Kontaktlisten in Mailclients.


Teilweise werden Kunden von uns angeschrieben, die schon jahrelang nichtmehr angeschrieben wurden.

Die Kompromittierung geschieht außerhalb Eures Netzes, und deshalb könnt Ihr auch nichts dagegen tun. Ähnliche Frage gab es hier, und gleich noch meine Antwort dazu, damit ich nicht alles nochmal hierhin schreiben mußface-wink:

Emailadressen von einem Kunden gefälscht



Grüße

Bloeker


Viele Grüße

von

departure69
Deepsys
Deepsys 04.10.2017 um 15:41:35 Uhr
Goto Top
Hi,

ja, da sind wir auch wieder mit dabei.
Das geht jetzt wieder ein paar Tage und dann ist wieder Ruhe.

Ein MA hat tatsächlich angerufen und wollte das Dokument haben das der Proxy im verweigert ......
Es gibt also wirklich noch Leute die da draufklicken, Begründung war "den kenne ich ja" .....

VG,
Deepsys
clSchak
clSchak 04.10.2017 um 16:01:38 Uhr
Goto Top
das ist auch einer der Gründe warum unsere manuelle Sperrliste immer länger wird, einiges fängt der Proxy ab, aber der Anteil der Seiten die eigentlich legitim sind ist schon sehr groß
hertli
hertli 09.10.2017 um 11:08:36 Uhr
Goto Top
"...da man ja zum Teil auf Korrespondenz mit den diversen Firmen angewiesen ist..."

In erster Linie sind diese Absender erst mal auf die Kommunikation mit uns angewiesen.

Ich teile hier die Meinung von certified.net; diese erst mal auf allen Blacklists melden, so dass diese keine Mails mehr versenden können, bis das Übel abgestellt ist.

Wenn die Kommunikation dringend ist, dann können die Absender ja immer noch Telefon und Fax nutzen resp. wenn Dateien ausgetauscht werden müssen, einen sicheren Team-/Download-Server.