Neue Spamwelle?
Hallo,
ist aktuell etwas zu einer neuen Spamwelle bekannt die zur Zeit ihr Unwesen treibt?
mir fallen seit ca. 1-2 Monaten relativ häufig Phishing Mails auf, die auf Rechnungen oder Dokumente hinweisen und einen Link beinhalten.
klickt man darauf, kommt man auf eine Website die versucht ein Office Dokument herunterzuladen (habe es mit einem Test-PC, welcher sich nicht in unserem Netz befindet getestet).
Das dubiose an der ganzen Sache ist, dass der Display Name der Absender fast immer von Personen stammt, mit denen unsere MA tatsächlich zu tun haben, teilweise auch von MA aus unserer eigenen Firma, aber auch von Kunden.
Die Mailadresse selbst ist natürlich eine andere, verfolge ich den Weg zurück, passt die IP Adresse vom Absender auch mit dem DNS überein, dadurch rutscht sie natürlich durch den RDNS Spamfilter.
Da die Mail selbst auch relativ sparsam geschrieben ist fällt sie bei anderen Spam Checks auch nicht auf.
Im Einsatz habe ich eine Sophos UTM, mit der ich eigentlich sonst ganz zufrieden bin, was den Spamfilter angeht.
Diese leitet die Mails an unseren Exchange 2016 CU7 weiter. hier habe ich eigentlich größtenteils Standartregeln definiert.
Ich habe meine Kollegen zwar schon des öfteren sensibilisiert, darauf zu achten was sie öffnen, allerdings gibt es immer wieder mal den ein oder anderen, der trotzdem drauf drückt.
Daher würde ich am liebsten die Mails komplett raus filtern, allerdings habe ich keine Ahnung, wie ich das anstellen soll, da ich alle möglichen Anti-Spam Features aktiviert habe.
Zumindest was den Spamfilter der Sophos UTM angeht.
Ich habe es bei 2 Mails tatsächlich mal soweit zurück verfolgt und habe bei den entsprechenden Verursachern (die sich allesamt in DE befinden) angerufen und mich erkundigt was hier passiert ist, in beiden Fällen war bereits bekannt, dass Sie Spams verschickt haben und daran arbeiten das abzustellen.
Nichts desto trotz finde ich es interessant wie präzise eine Phishing Mail (bzw. die Technologie die diese versendet) erkennt wer mit wem zu tun hat und dementsprechend dies als Display Name einsetzt.
Ist das Thema aktuell bekannt?
ist aktuell etwas zu einer neuen Spamwelle bekannt die zur Zeit ihr Unwesen treibt?
mir fallen seit ca. 1-2 Monaten relativ häufig Phishing Mails auf, die auf Rechnungen oder Dokumente hinweisen und einen Link beinhalten.
klickt man darauf, kommt man auf eine Website die versucht ein Office Dokument herunterzuladen (habe es mit einem Test-PC, welcher sich nicht in unserem Netz befindet getestet).
Das dubiose an der ganzen Sache ist, dass der Display Name der Absender fast immer von Personen stammt, mit denen unsere MA tatsächlich zu tun haben, teilweise auch von MA aus unserer eigenen Firma, aber auch von Kunden.
Die Mailadresse selbst ist natürlich eine andere, verfolge ich den Weg zurück, passt die IP Adresse vom Absender auch mit dem DNS überein, dadurch rutscht sie natürlich durch den RDNS Spamfilter.
Da die Mail selbst auch relativ sparsam geschrieben ist fällt sie bei anderen Spam Checks auch nicht auf.
Im Einsatz habe ich eine Sophos UTM, mit der ich eigentlich sonst ganz zufrieden bin, was den Spamfilter angeht.
Diese leitet die Mails an unseren Exchange 2016 CU7 weiter. hier habe ich eigentlich größtenteils Standartregeln definiert.
Ich habe meine Kollegen zwar schon des öfteren sensibilisiert, darauf zu achten was sie öffnen, allerdings gibt es immer wieder mal den ein oder anderen, der trotzdem drauf drückt.
Daher würde ich am liebsten die Mails komplett raus filtern, allerdings habe ich keine Ahnung, wie ich das anstellen soll, da ich alle möglichen Anti-Spam Features aktiviert habe.
Zumindest was den Spamfilter der Sophos UTM angeht.
Ich habe es bei 2 Mails tatsächlich mal soweit zurück verfolgt und habe bei den entsprechenden Verursachern (die sich allesamt in DE befinden) angerufen und mich erkundigt was hier passiert ist, in beiden Fällen war bereits bekannt, dass Sie Spams verschickt haben und daran arbeiten das abzustellen.
Nichts desto trotz finde ich es interessant wie präzise eine Phishing Mail (bzw. die Technologie die diese versendet) erkennt wer mit wem zu tun hat und dementsprechend dies als Display Name einsetzt.
Ist das Thema aktuell bekannt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 350714
Url: https://administrator.de/contentid/350714
Ausgedruckt am: 24.11.2024 um 22:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo Fluluk,
Spamfilter und RDNS usw sind zwar gut, aber es hilft nichts, wenn komplette Netze gekapert werden - wie hier wohl passiert. Ggf. hilft aber eine Mail an Sophos und entsprechende Stellen, um die Sender komplett zu blockieren, das dürfte zu einem Aufwachen führen. Vielleicht nicht schön, aber geiz ist nur so lange geil, wie man damit durch kommt.
VG
Spamfilter und RDNS usw sind zwar gut, aber es hilft nichts, wenn komplette Netze gekapert werden - wie hier wohl passiert. Ggf. hilft aber eine Mail an Sophos und entsprechende Stellen, um die Sender komplett zu blockieren, das dürfte zu einem Aufwachen führen. Vielleicht nicht schön, aber geiz ist nur so lange geil, wie man damit durch kommt.
VG
Hallo Fluluk,
ist ein Kampf gegen Windmühlen. Aber im Optimalfall wird dann der Sender gesperrt, was dieser Kostenintensiv bereinigen muss - was sich irgendwann herumspricht und dementsprechend das allgemeine Sicherheitslevel durch Prävention erhöht. U. a auch in euren Systemen, da einfach weniger ausgehende Infiziert sind.
VG
ist ein Kampf gegen Windmühlen. Aber im Optimalfall wird dann der Sender gesperrt, was dieser Kostenintensiv bereinigen muss - was sich irgendwann herumspricht und dementsprechend das allgemeine Sicherheitslevel durch Prävention erhöht. U. a auch in euren Systemen, da einfach weniger ausgehende Infiziert sind.
VG
Hallo,
Das liegt daran, dass die Daten aus den Outlook Kontakten einer bestimmten Person stammen und deren Anzeigename für die Spams genutzt wird. Logischerweise hat man ja in der Regel nur Kontaktdaten von Personen abgespeichert, mit denen was man zu tun hat. Sicherlich wundert sich der Großteil der Kollegen, wenn Sie sehen "Oh Abteilungsleiter Herr XY aus meiner Firma hat mir eine Rechnung geschickt...macht der doch sonst nie" und merken schon, dass da was nicht stimmen kann.
Leider gibt es aber halt immer wieder Kollegen, die das anscheinend nicht komisch finden und die Links/Anhänge öffnen. Steht da der Name einer persönlich bekannten Person wird schon mal wahllos überall draufgeklickt.
Das ist aber schon seit sehr sehr langer Zeit gängig...
Gruß
montana
Zitat von @fluluk:
> Das dubiose an der ganzen Sache ist, dass der Display Name der Absender fast immer von Personen stammt, mit denen unsere MA tatsächlich zu tun haben, teilweise auch von MA aus unserer eigenen Firma, aber auch von Kunden.
> Das dubiose an der ganzen Sache ist, dass der Display Name der Absender fast immer von Personen stammt, mit denen unsere MA tatsächlich zu tun haben, teilweise auch von MA aus unserer eigenen Firma, aber auch von Kunden.
Das liegt daran, dass die Daten aus den Outlook Kontakten einer bestimmten Person stammen und deren Anzeigename für die Spams genutzt wird. Logischerweise hat man ja in der Regel nur Kontaktdaten von Personen abgespeichert, mit denen was man zu tun hat. Sicherlich wundert sich der Großteil der Kollegen, wenn Sie sehen "Oh Abteilungsleiter Herr XY aus meiner Firma hat mir eine Rechnung geschickt...macht der doch sonst nie" und merken schon, dass da was nicht stimmen kann.
Leider gibt es aber halt immer wieder Kollegen, die das anscheinend nicht komisch finden und die Links/Anhänge öffnen. Steht da der Name einer persönlich bekannten Person wird schon mal wahllos überall draufgeklickt.
Das ist aber schon seit sehr sehr langer Zeit gängig...
Gruß
montana
Hi
unserer "Malicious Website" Liste wird auch immer länger und länger ... . Wir haben das gleiche "Problem" wie der Rest der Welt auch, selbst von Legitimen Absendern kommen solche Mails und der "Absendername" entspricht dann einer lokalen Mailadresse und die ReplyTo zeigt dann auf den Absender.
Filtern wird hier recht schwer, da man ja zum Teil auf Korrespondenz mit den diversen Firmen angewiesen ist . Es sind ja nicht nur Absenderadressem die Probleme machen, auch die Webserver auf denen der Mist dann liegt sind ja gekapert worden.
Gruß
@clSchak
unserer "Malicious Website" Liste wird auch immer länger und länger ... . Wir haben das gleiche "Problem" wie der Rest der Welt auch, selbst von Legitimen Absendern kommen solche Mails und der "Absendername" entspricht dann einer lokalen Mailadresse und die ReplyTo zeigt dann auf den Absender.
Filtern wird hier recht schwer, da man ja zum Teil auf Korrespondenz mit den diversen Firmen angewiesen ist . Es sind ja nicht nur Absenderadressem die Probleme machen, auch die Webserver auf denen der Mist dann liegt sind ja gekapert worden.
Gruß
@clSchak
Nicht bei mir. Wir sind ganz gut aufgestellt, denke ich.
Ein EX2010 voll gepatched und aktuell an direkter Front mit Sophos PureMessage for Exchange und einer Reihe von SpamAgenten, die EX mitliefert.
Wir prüfen gegen die folgenden Blockierlisten in dieser Reihenfolge:
- SpamCop
- UCEProtect-Network-L1
- TRUNCATE
- Protected Sky
- BARRACUDA
- SpamRats NoPTR
- SpamRats SPAM
- SORBS ESCALATIONS
- UCEProtect-Network-L2
- UCEProtect-Network-L3
Sophos PureMessage ist eingestellt alles >10 auf dem Spam-Score als SPAM einzustufen.
Emails mit Dateien mit Gefahrenpotential (die müssen nicht gefährlich sein und bergen dennoch Potential) werden zurückgehalten und durch mich geprüft.
Allein durch das Filtern mittels obiger Blocklisten, habe ich seitdem laut PureMessage immer über 95% Sauberkeit auf meinem EX.
Bin sehr zufrieden.
Hallo.
Es gab in den Heise News vor kurzen eine News, daß nun eine Spamwelle mit Absendern von internen Mitarbeitern versendet wird.
ich finde leider die News nicht mehr. Es geht um einen Anhang eines "Mitarbeiters/in".
Heise Artikel zum Thema
Gruss Penny
Es gab in den Heise News vor kurzen eine News, daß nun eine Spamwelle mit Absendern von internen Mitarbeitern versendet wird.
ich finde leider die News nicht mehr. Es geht um einen Anhang eines "Mitarbeiters/in".
Heise Artikel zum Thema
Gruss Penny
Hallo zusammen,
wir kämpfen auch seit einiger Zeit mit diesem Problem.
Mich würde jedoch mal brennend interessieren, über welche Wege die Mailadressen in Umlauf geraten. Teilweise werden Kunden von uns angeschrieben, die schon jahrelang nichtmehr angeschrieben wurden.
Hat hier jemand eine Info?
Grüße
Bloeker
wir kämpfen auch seit einiger Zeit mit diesem Problem.
Mich würde jedoch mal brennend interessieren, über welche Wege die Mailadressen in Umlauf geraten. Teilweise werden Kunden von uns angeschrieben, die schon jahrelang nichtmehr angeschrieben wurden.
Hat hier jemand eine Info?
Grüße
Bloeker
Hallo.
wir kämpfen auch seit einiger Zeit mit diesem Problem.
Mich würde jedoch mal brennend interessieren, über welche Wege die Mailadressen in Umlauf geraten.
Durch gekaperte Rechner/Windows-Installationen/Mailclients/Kontaktlisten in Mailclients.
Teilweise werden Kunden von uns angeschrieben, die schon jahrelang nichtmehr angeschrieben wurden.
Die Kompromittierung geschieht außerhalb Eures Netzes, und deshalb könnt Ihr auch nichts dagegen tun. Ähnliche Frage gab es hier, und gleich noch meine Antwort dazu, damit ich nicht alles nochmal hierhin schreiben muß:
Emailadressen von einem Kunden gefälscht
Grüße
Bloeker
Viele Grüße
von
departure69
Hi,
ja, da sind wir auch wieder mit dabei.
Das geht jetzt wieder ein paar Tage und dann ist wieder Ruhe.
Ein MA hat tatsächlich angerufen und wollte das Dokument haben das der Proxy im verweigert ......
Es gibt also wirklich noch Leute die da draufklicken, Begründung war "den kenne ich ja" .....
VG,
Deepsys
ja, da sind wir auch wieder mit dabei.
Das geht jetzt wieder ein paar Tage und dann ist wieder Ruhe.
Ein MA hat tatsächlich angerufen und wollte das Dokument haben das der Proxy im verweigert ......
Es gibt also wirklich noch Leute die da draufklicken, Begründung war "den kenne ich ja" .....
VG,
Deepsys
"...da man ja zum Teil auf Korrespondenz mit den diversen Firmen angewiesen ist..."
In erster Linie sind diese Absender erst mal auf die Kommunikation mit uns angewiesen.
Ich teile hier die Meinung von certified.net; diese erst mal auf allen Blacklists melden, so dass diese keine Mails mehr versenden können, bis das Übel abgestellt ist.
Wenn die Kommunikation dringend ist, dann können die Absender ja immer noch Telefon und Fax nutzen resp. wenn Dateien ausgetauscht werden müssen, einen sicheren Team-/Download-Server.
In erster Linie sind diese Absender erst mal auf die Kommunikation mit uns angewiesen.
Ich teile hier die Meinung von certified.net; diese erst mal auf allen Blacklists melden, so dass diese keine Mails mehr versenden können, bis das Übel abgestellt ist.
Wenn die Kommunikation dringend ist, dann können die Absender ja immer noch Telefon und Fax nutzen resp. wenn Dateien ausgetauscht werden müssen, einen sicheren Team-/Download-Server.