14
Spam Mail mit Inhalt eines alten Mails
Hallo an alle,
habe eine Frage zu einer Spam Mail die ich zur Analyse erhalten habe:
Folgender Inhalt ist E-Mail:
„Hey,
Ich hoffe, es geht dir gut. Ich möchte Sie benachrichtigen, dass ich die Daten für Ihre Bewertung zur Verfügung gestellt habe. Bitte sagen Sie mir, falls Sie Probleme haben und in den Hyperlink unten erhalten.
Dann kommt ein Link zu onedrive.live.com mit einer zip Datei und einem Passwort!“
Okay soweit nichts besonderes, aber jetzt kommt’s danach ist der Inhalt eines Mails welches wirklich vor geraumer Zeit an diesen Benutzer gesendet wurde. Daher die Frage wenn jemand den Inhalt des original Mail hat, muss er doch Zugriff auf einen der damals im Verteiler gewesen Empfänger oder dessen PC gehabt haben, oder auf dem Provider um von dort das Mail kopieren zu können.
Sehe ich das falsch?
Zur Info:
Der Absender der das per Mail gesendet hat ist gefälscht und wenn ich mir die den Mailheader ansehe, sehe ich auch das ist von einem anderen Mail Server kommt.
In den Log Files habe ich nichts verdächtiges gefunden.
Danke für eure Hilfe
habe eine Frage zu einer Spam Mail die ich zur Analyse erhalten habe:
Folgender Inhalt ist E-Mail:
„Hey,
Ich hoffe, es geht dir gut. Ich möchte Sie benachrichtigen, dass ich die Daten für Ihre Bewertung zur Verfügung gestellt habe. Bitte sagen Sie mir, falls Sie Probleme haben und in den Hyperlink unten erhalten.
Dann kommt ein Link zu onedrive.live.com mit einer zip Datei und einem Passwort!“
Okay soweit nichts besonderes, aber jetzt kommt’s danach ist der Inhalt eines Mails welches wirklich vor geraumer Zeit an diesen Benutzer gesendet wurde. Daher die Frage wenn jemand den Inhalt des original Mail hat, muss er doch Zugriff auf einen der damals im Verteiler gewesen Empfänger oder dessen PC gehabt haben, oder auf dem Provider um von dort das Mail kopieren zu können.
Sehe ich das falsch?
Zur Info:
Der Absender der das per Mail gesendet hat ist gefälscht und wenn ich mir die den Mailheader ansehe, sehe ich auch das ist von einem anderen Mail Server kommt.
In den Log Files habe ich nichts verdächtiges gefunden.
Danke für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2342532423
Url: https://administrator.de/contentid/2342532423
Printed on: April 24, 2024 at 04:04 o'clock
14 Comments
Latest comment
Wenn eine Mail mit gefälschtem Absender ankommt, ist SPF/DMARC nicht richtig eingerichtet, entweder beim Inhaber der betroffenen Absender Email Adresse im DNS oder der Empfänger wertet sie nicht richtig aus.
Danke für die Antwort aber mir geht es darum wie der zum Inhalt des Mails kam.
Servus,
klingt für mich sehr stark nach einer abgegriffenen E-Mail-Kommunikation durch einen Computervirus.
Wir hatten vor kurzem intern hierzu eine entsprechende Warn-Mail erhalten.
Gruß
VGem-e
klingt für mich sehr stark nach einer abgegriffenen E-Mail-Kommunikation durch einen Computervirus.
Wir hatten vor kurzem intern hierzu eine entsprechende Warn-Mail erhalten.
Gruß
VGem-e
Moin,
das hatten wir zuletzt auch häufiger. Ich würde mal darauf tippen, dass das Absenderkonto gehacked wurde oder wie @VGem-e schon erwähnt, wurde die Mail abgegriffen.
Es schadet sicher nichts, auf Deiner Seite mal genauer hinzusehen, aber ich würde das Problem nicht bei Dir direkt vermuten.
Gruß
das hatten wir zuletzt auch häufiger. Ich würde mal darauf tippen, dass das Absenderkonto gehacked wurde oder wie @VGem-e schon erwähnt, wurde die Mail abgegriffen.
Es schadet sicher nichts, auf Deiner Seite mal genauer hinzusehen, aber ich würde das Problem nicht bei Dir direkt vermuten.
Gruß
Danke
Hat wer zufällig noch den Link der Warn-Mail,
Bitte Danke
Bitte Danke
Hatten wir neulich auch, quasi exakt der gleiche Fall -> Mail von vor 1000 Jahren wurde "zitiert" (inkl einem Zugangspasswort, also ein solches, welches die Person an sich identifiziert)
Inhaltlich ebenfalls ein etwas.. holpriges Deutsch, was tatsächlich der primäre Auslöser war, dass wir uns das etwas genauer angeschaut haben.
-> Schnell war klar, die sendende Adresse war eine völlig andere, den enthaltenen Link hat glücklicherweise niemand angeklickt o.ä.
Ich habe dann den damaligen Sender (der originalen Email, welche zitiert wurde) kontaktiert: "Ja ach, da war mal was vor nem halben Jahr, da wurde vielleicht unser Exchange geknackt, und es sind ein paar Mails wohl von außen eingesehen worden" -> Fall war klar.
Ich habe dann zumindest unsererseits das Personen-Passwort neu gesetzt, viel mehr kann man ja eh nicht tun.
Inhaltlich ebenfalls ein etwas.. holpriges Deutsch, was tatsächlich der primäre Auslöser war, dass wir uns das etwas genauer angeschaut haben.
-> Schnell war klar, die sendende Adresse war eine völlig andere, den enthaltenen Link hat glücklicherweise niemand angeklickt o.ä.
Ich habe dann den damaligen Sender (der originalen Email, welche zitiert wurde) kontaktiert: "Ja ach, da war mal was vor nem halben Jahr, da wurde vielleicht unser Exchange geknackt, und es sind ein paar Mails wohl von außen eingesehen worden" -> Fall war klar.
Ich habe dann zumindest unsererseits das Personen-Passwort neu gesetzt, viel mehr kann man ja eh nicht tun.
Glaube nicht
Wir hatten vor kurzem intern hierzu eine entsprechende Warn-Mail erhalten.
Servus,
@Snoopy354 gab selbst schon indirekt das richtige Stichwort und dann findet sich z.B. https://www.netzwoche.ch/news/2022-03-15/die-malware-qakbot-ist-zurueck!
Gruß
@Snoopy354 gab selbst schon indirekt das richtige Stichwort und dann findet sich z.B. https://www.netzwoche.ch/news/2022-03-15/die-malware-qakbot-ist-zurueck!
Gruß
Danke für den Link noch mal
Ich habe auch bei verschiedenen Kunden alte Mails die weitergeleitet wurden seit ca. 6 Monaten.
Mal mehr und mal weniger.
Auffällig ist, dass viele Mails kurz vor Exchange Haifun datieren.
Das betrifft aber auch Kunden die normale 1und1 Postfächer bei Ionos haben.
Beliebiger Absender support@firmaxyz.com (SPF OK)
Onedrive-Link
Darunter das Kennwort
Alte Mail darunter
Möglich dass damals viele Mails überall abgegriffen wurden.
Der Patch kam ja mitte März und die ersten Zugriffe schon 2-3 Monate früher.
Tun kann man ja jetzt eh nichts mehr.
Außer One-Drive per Antispam filtern.
Mal mehr und mal weniger.
Auffällig ist, dass viele Mails kurz vor Exchange Haifun datieren.
Das betrifft aber auch Kunden die normale 1und1 Postfächer bei Ionos haben.
Beliebiger Absender support@firmaxyz.com (SPF OK)
Onedrive-Link
Darunter das Kennwort
Alte Mail darunter
Möglich dass damals viele Mails überall abgegriffen wurden.
Der Patch kam ja mitte März und die ersten Zugriffe schon 2-3 Monate früher.
Tun kann man ja jetzt eh nichts mehr.
Außer One-Drive per Antispam filtern.
Danke
@steffankittel danke für deine Antwort sind die Mails die Du da im Anhang hast alle vor dem März.2021?
Onedrive liegt doch bei Microsoft und sollte also registriert sein, oder?
Ich bin mir schon bewusst das der Account wahrscheinlich auch gehackt ist, aber macht da Microsoft nichts?
Danke
@steffankittel danke für deine Antwort sind die Mails die Du da im Anhang hast alle vor dem März.2021?
Onedrive liegt doch bei Microsoft und sollte also registriert sein, oder?
Ich bin mir schon bewusst das der Account wahrscheinlich auch gehackt ist, aber macht da Microsoft nichts?
Danke
Onedrive liegt doch bei Microsoft und sollte also registriert sein, oder?
Ich bin mir schon bewusst das der Account wahrscheinlich auch gehackt ist, aber macht da Microsoft nichts?
Ich bin mir schon bewusst das der Account wahrscheinlich auch gehackt ist, aber macht da Microsoft nichts?
Selber Grund, warum immer wieder massenhaft Spam von GMail-Konten verschickt werden, es sind schlicht zu viele...
Zitat von @Snoopy354:
@steffankittel danke für deine Antwort sind die Mails die Du da im Anhang hast alle vor dem März.2021?
Ja@steffankittel danke für deine Antwort sind die Mails die Du da im Anhang hast alle vor dem März.2021?
Onedrive liegt doch bei Microsoft und sollte also registriert sein, oder?
Ich bin mir schon bewusst das der Account wahrscheinlich auch gehackt ist, aber macht da Microsoft nichts?
Einfacher.Ich bin mir schon bewusst das der Account wahrscheinlich auch gehackt ist, aber macht da Microsoft nichts?
Der Absender der meisten Mails ist ein regulärer o365 Account. Vermutlich sogar bezahlt.
Nicht gehackt sondern einfach auf eine komische Domäne hjkgdhfjgdhf.com bei Microsoft registriert.
Dieser wird vermutlich nach einiger Zeit gesperrt, aber dann haben vermutlich schon einige auf den Link geklickt.
