aif-get
Goto Top

Spam Email mit echtem Antwort Anhang

Hallo,

ein Kollege hat mir und anderem eine Email zukommen lassen. irgeneine Word VBS verseuchte Datei ist dort drinne.

Merkwürdigt ist nur, dass die Mail eine Antwort auf eine von mir an ihn stammende Mail ist. Also mit echtem Inhalt, den ich mal vor ein paar Monaten gesendet hatte.
Kann man schon fast drauf reinfallen.
Die Absender Adresse ist allerdings eine weniger vertrauenwürdige externe Domain und Absende-Mailserver ebenfalls ein externer.

Frage wäre hier nun: Ist der Mail Account vom Kollegen gehacked worden oder der gesamte PC?

Content-ID: 526217

Url: https://administrator.de/forum/spam-email-mit-echtem-antwort-anhang-526217.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

SeaStorm
SeaStorm 17.12.2019 aktualisiert um 10:02:20 Uhr
Goto Top
Hi

Frage wäre hier nun: Ist der Mail Account vom Kollegen gehacked worden oder der gesamte PC?
Das können wir so mit der Fülle an Informationen natürlich nur Glaskugeln...

Die Absender Adresse ist allerdings eine weniger vertrauenwürdige externe Domain und Absende-Mailserver ebenfalls ein externer.
Wobei das natürlich schon sehr darauf hindeutet das es einfach nur eine gefakte Mail ist und ihr weder SPF noch sonstige Schutzmechanismen habt
beidermachtvongreyscull
beidermachtvongreyscull 17.12.2019 um 10:08:33 Uhr
Goto Top
Da ist alles möglich vom
  • Hacking des Endpunktes Deines Kollegen zum
  • Hacking des E-Mail-Kontos Deines Kollegen zum
  • Man-in-the-Middle-Angriff
  • usw.
erikro
erikro 17.12.2019 um 10:13:55 Uhr
Goto Top
Moin,

hatten wir hier zwei Mal. Beide Male war es eine Emotet-Variante. Die Mails wirken extrem authentisch, so dass ich selbst beinahe mal reingefallen wäre. DOC sollte man nicht mehr reinlassen. Den Rechner des Kollegen solltest Du vom Netz nehmen und ihn vorsichtshalber platt machen.

Liebe Grüße

Erik
VGem-e
VGem-e 17.12.2019 um 10:52:39 Uhr
Goto Top
Moin,

hört sich für mich auch wie eine Ransomware a la Emotet an.

Nicht nur bei uns werden deshalb inzwischen viele Dateianhänge komplett gesperrt und im Mailverkehr dauerhaft entfernt.

Gruß
VGem-e
aif-get
aif-get 17.12.2019 um 11:33:20 Uhr
Goto Top
Vom Netz nehmen wäre wohl eine möglichkeit.

Aber konnnte nach einem Scan keine ransomware finden oder ähnliches.

Es kann natürlich auch sein, dass der Mail Account auf dem heimrechner des kollegen infiziert ist?

- Habe nun den Rechne rmal vom Netz genommen
- AD Passwort zurück gesetzt
Lochkartenstanzer
Lochkartenstanzer 17.12.2019 aktualisiert um 13:02:11 Uhr
Goto Top
Zitat von @aif-get:

Frage wäre hier nun: Ist der Mail Account vom Kollegen gehacked worden oder der gesamte PC?


Moin,

Der Möglichkeiten gäbe es viele:

  • Dein PC
  • Dein Mailaccount
  • Dein Internet-Provider
  • Dein Email-Server
  • Dein Email-Provider

  • Sein PC
  • Sein Mailaccount
  • Sein Internet-Provider
  • Sein Email-Server
  • Sein Email-Provider

  • Das BKA
  • Die NSA
  • Google face-smile

etc.

Wo "lagert" Ihr denn Eure Mails?


lks
aif-get
aif-get 17.12.2019 aktualisiert um 14:54:39 Uhr
Goto Top
Wir lagern die Mails per IMAP Server auf unserem Exchange 2016

Aktuell bekommen meherer Kollegen auch spam Mails von dieser einen Person..
erikro
erikro 17.12.2019 um 15:40:27 Uhr
Goto Top
Moin,

Zitat von @aif-get:

Vom Netz nehmen wäre wohl eine möglichkeit.

Nein, das ist Pflicht. face-wink

Aber konnnte nach einem Scan keine ransomware finden oder ähnliches.

Du hast von einem bekannt schadsoftwarefreien Medium gebootet? Sowas wie z. B. Desinfect von heise?

Es kann natürlich auch sein, dass der Mail Account auf dem heimrechner des kollegen infiziert ist?

Das kann natürlich sein. Aber warum liest er mit dem seine dienstlichen Mails? Bzw. warum ist auf dem Privatrechner ein dienstlicher Account eingerichtet?

- Habe nun den Rechne rmal vom Netz genommen
- AD Passwort zurück gesetzt

Zwei gute Maßnahmen. Ich würde da auch nicht lange nachdenken, ob mein Virenscanner vielleicht recht hat, wenn er nichts findet, sondern einfach alles platt machen und neu installieren. Lieber das als ein komplett verschlüsseltes Netz inkl. aller Server. Oder?

Liebe Grüße

Erik
Lochkartenstanzer
Lochkartenstanzer 17.12.2019 aktualisiert um 16:10:04 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @aif-get:

Aber konnnte nach einem Scan keine ransomware finden oder ähnliches.

Du hast von einem bekannt schadsoftwarefreien Medium gebootet? Sowas wie z. B. Desinfect von heise?


Man sollte immer im Hinterkopf behalten, daß ein Scan bei Fund nur bestätigen kann, daß ein Malwarebefall da ist (abgesehen von false positives, die sich aber überprüfen lassen), aber ohne einen Fund nie ein Nachweis ist, daß kein Befall stattgefunden hat! Nicht umsonst muss das Schlangenöl dauernd erneuert werden.

lks
erikro
erikro 17.12.2019 um 16:23:39 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Man sollte immer im Hinterkopf behalten, daß ein Scan bei Fund nur bestätigen kann, daß ein Malwarebefall da ist (abgesehen von false positives, die sich aber überprüfen lassen), aber ohne einen Fund nie ein Nachweis ist, daß kein Befall stattgefunden hat! Nicht umsonst muss das Schlangenöl dauernd erneuert werden.

Genau deshalb würde ich in dem Fall auch nicht lange nachdenken, sondern gleich alles platt machen.
aif-get
aif-get 19.12.2019 aktualisiert um 10:21:19 Uhr
Goto Top
Ja also platt machen ist wohl die beste lösung.

Aber präventiev gefragt:

Gibt es eigentlich ein System bei dem von einer Email der Anhang (Egal welcher) von der mail splitten wird? Der reine Text wird dann an den Empfänger weiter geleitet. Später wird eine Mail an den Sender schickt dass der Anhang an ein extra Portal hochgeladen werden sollte, wo dann zb mit gdata scanner separat gescanned wird.

Ich hoffe ich konnte es in etwa so richtig erklären.

Danke für einen Hinweis dies bezgl. oder ein Stichwort welches man suchen kann.
erikro
erikro 19.12.2019 um 11:23:02 Uhr
Goto Top
Moin,

Zitat von @aif-get:
Gibt es eigentlich ein System bei dem von einer Email der Anhang (Egal welcher) von der mail splitten wird? Der reine Text wird dann an den Empfänger weiter geleitet. Später wird eine Mail an den Sender schickt dass der Anhang an ein extra Portal hochgeladen werden sollte, wo dann zb mit gdata scanner separat gescanned wird.

Unsere Firewall (watchguard) macht sowas in der Art. Wir haben sie aber so eingestellt, dass doc und xls weggeworfen wird. Der User erhält die Mail mit dem Hinweis, dass der Anhang entfernt und gelöscht wurde. Sicher kann man da auch einstellen, dass das irgendwo hingespeichert wird.

hth

Erik