manumanu2021
Goto Top

Random phishing mail erhalten jedoch unterhalb teil von echter mail enthalten

Hallo,

im Eingangs-Spamfilter ist eine "phishing mail"
Der untere Teil ist letztes Jahr wirklich versendet worden um 12:59 Uhr. (es waren 2-3 interne in Kopie und 1-2 vom externen Empfänger aus Cypern)
Der deutsche User hat sein Windows/Outlook/iOS Device meines Wissens nach auf englisch in Verwendung, sitzt aber in Deutschland. (der exchange server ist auf deutsch installiert)
Die Email "Separator Formatierung" des alten Mailverlaufs scheint mir nicht von Outlook zu stammen und bei Zeitzone ist auch eine Differenz.

Frage:
Man kann nur spekulieren ob die Mail aus dem Eingang des externen zypriotischen Empfängers
oder aus dem gesendet Ordner des deutsch-englischen Versenders abgeflossen sind oder?

Zypern ist eigentlich eine 1 Stunde voraus und im Header einer eingehenden Mail aus Cypern stand was von +2 Stunden....

Es besteht halt eine Mini Chance anhand der GUI-Lokalisierung zu spekulieren, aus wessen Sicht die Email stammt.
Der Exchange hat alle aktuellen Sicherheitsupdates.


Auszug Phishing Mail bzw. siehe Foto:

feb 2022:

Hello, plz click this link to open invoice https:/.....phishing link


Original Message-----
On Friday, 29 June 2021, 10:59 wrote:

Dear XY,

many thanks for sending the invoice, our bank .....
phish1

Content-Key: 1934731624

Url: https://administrator.de/contentid/1934731624

Printed on: May 24, 2024 at 11:05 o'clock

Member: Fennek11
Fennek11 Feb 17, 2022 at 11:53:38 (UTC)
Goto Top
Hallo,

was steht denn in den EMail-Headern?

mfg
Member: em-pie
em-pie Feb 17, 2022 at 11:58:31 (UTC)
Goto Top
Moin,


wir hatten vor einigen Wochen "ähnliches".
Wir haben eine Mail von unserem Geschäftspartner erhalten, dess unterer Verlauf auf einer echten Mail basierte.
Auf Rückfrage unsererseits gab der Partner dann zu, dass seine Systeme kompromittiert worden seien und daher die Spammail mit echtem Inhalt versendet worden ist.

Gruß
em-pie
Member: ManuManu2021
ManuManu2021 Feb 17, 2022 at 12:03:52 (UTC)
Goto Top
Hallo,

der Exchange ist mit OWA aber Country Blocker aktuell noch am Internet.
EAS Quarantäne ist noch nicht aktiviert.

was steht denn in den EMail-Headern?

von der heute eingetroffenen RANDOM Phishing Mail?

Dort ist sichtbar, das der SMTP Server aus U.S Texas kommt.
In so einem Header sind üblicherweise ja keine "Schnipsel" der "echten Mail vom letzten Jahr" soweit ich weiß.
Der Header wird vom Versandserver immer neu-generiert.
Member: Doskias
Doskias Feb 17, 2022 at 12:13:17 (UTC)
Goto Top
Moin,

wir haben diese Woche auch 4 Phishing-Mails bekommen, gefolgt von einer Infomail eines Kunden, dass er kompromittiert wurde und die E-Mails bitte nicht zu öffnen sind. Unser Sicherheitsmechanismen hatten aber bereits gegriffen face-wink

Gruß
Doskias