Spam Mail mit Inhalt eines alten Mails

snoopy354
Goto Top
Hallo an alle,
habe eine Frage zu einer Spam Mail die ich zur Analyse erhalten habe:

Folgender Inhalt ist E-Mail:
„Hey,

Ich hoffe, es geht dir gut. Ich möchte Sie benachrichtigen, dass ich die Daten für Ihre Bewertung zur Verfügung gestellt habe. Bitte sagen Sie mir, falls Sie Probleme haben und in den Hyperlink unten erhalten.

Dann kommt ein Link zu onedrive.live.com mit einer zip Datei und einem Passwort!“

Okay soweit nichts besonderes, aber jetzt kommt’s danach ist der Inhalt eines Mails welches wirklich vor geraumer Zeit an diesen Benutzer gesendet wurde. Daher die Frage wenn jemand den Inhalt des original Mail hat, muss er doch Zugriff auf einen der damals im Verteiler gewesen Empfänger oder dessen PC gehabt haben, oder auf dem Provider um von dort das Mail kopieren zu können.

Sehe ich das falsch?

Zur Info:
Der Absender der das per Mail gesendet hat ist gefälscht und wenn ich mir die den Mailheader ansehe, sehe ich auch das ist von einem anderen Mail Server kommt.

In den Log Files habe ich nichts verdächtiges gefunden.

Danke für eure Hilfe

Content-Key: 2342532423

Url: https://administrator.de/contentid/2342532423

Ausgedruckt am: 02.07.2022 um 01:07 Uhr

Mitglied: NordicMike
NordicMike 30.03.2022 um 13:27:02 Uhr
Goto Top
Wenn eine Mail mit gefälschtem Absender ankommt, ist SPF/DMARC nicht richtig eingerichtet, entweder beim Inhaber der betroffenen Absender Email Adresse im DNS oder der Empfänger wertet sie nicht richtig aus.
Mitglied: Snoopy354
Snoopy354 30.03.2022 um 13:38:10 Uhr
Goto Top
Danke für die Antwort aber mir geht es darum wie der zum Inhalt des Mails kam.
Mitglied: VGem-e
VGem-e 30.03.2022 um 13:46:25 Uhr
Goto Top
Servus,

klingt für mich sehr stark nach einer abgegriffenen E-Mail-Kommunikation durch einen Computervirus.
Wir hatten vor kurzem intern hierzu eine entsprechende Warn-Mail erhalten.

Gruß
VGem-e
Mitglied: Coreknabe
Coreknabe 30.03.2022 um 13:52:07 Uhr
Goto Top
Moin,

das hatten wir zuletzt auch häufiger. Ich würde mal darauf tippen, dass das Absenderkonto gehacked wurde oder wie @VGem-e schon erwähnt, wurde die Mail abgegriffen.

Es schadet sicher nichts, auf Deiner Seite mal genauer hinzusehen, aber ich würde das Problem nicht bei Dir direkt vermuten.

Gruß
Mitglied: Snoopy354
Snoopy354 30.03.2022 um 14:38:32 Uhr
Goto Top
Danke
Mitglied: Snoopy354
Snoopy354 30.03.2022 um 14:39:24 Uhr
Goto Top
Hat wer zufällig noch den Link der Warn-Mail,

Bitte Danke
Mitglied: HanTrio
HanTrio 30.03.2022 um 14:48:37 Uhr
Goto Top
Hatten wir neulich auch, quasi exakt der gleiche Fall -> Mail von vor 1000 Jahren wurde "zitiert" (inkl einem Zugangspasswort, also ein solches, welches die Person an sich identifiziert)

Inhaltlich ebenfalls ein etwas.. holpriges Deutsch, was tatsächlich der primäre Auslöser war, dass wir uns das etwas genauer angeschaut haben.
-> Schnell war klar, die sendende Adresse war eine völlig andere, den enthaltenen Link hat glücklicherweise niemand angeklickt o.ä.

Ich habe dann den damaligen Sender (der originalen Email, welche zitiert wurde) kontaktiert: "Ja ach, da war mal was vor nem halben Jahr, da wurde vielleicht unser Exchange geknackt, und es sind ein paar Mails wohl von außen eingesehen worden" -> Fall war klar.

Ich habe dann zumindest unsererseits das Personen-Passwort neu gesetzt, viel mehr kann man ja eh nicht tun.
Mitglied: Coreknabe
Coreknabe 30.03.2022 um 14:58:02 Uhr
Goto Top
Zitat von @Snoopy354:

Hat wer zufällig noch den Link der Warn-Mail,

Bitte Danke

Glaube nicht face-smile
Wir hatten vor kurzem intern hierzu eine entsprechende Warn-Mail erhalten.
Mitglied: VGem-e
Lösung VGem-e 30.03.2022 um 15:39:56 Uhr
Goto Top
Servus,

@Snoopy354 gab selbst schon indirekt das richtige Stichwort und dann findet sich z.B. https://www.netzwoche.ch/news/2022-03-15/die-malware-qakbot-ist-zurueck!

Gruß
Mitglied: Snoopy354
Snoopy354 30.03.2022 um 18:00:36 Uhr
Goto Top
Danke für den Link noch mal
Mitglied: StefanKittel
StefanKittel 30.03.2022 um 20:43:32 Uhr
Goto Top
Ich habe auch bei verschiedenen Kunden alte Mails die weitergeleitet wurden seit ca. 6 Monaten.
Mal mehr und mal weniger.
Auffällig ist, dass viele Mails kurz vor Exchange Haifun datieren.

Das betrifft aber auch Kunden die normale 1und1 Postfächer bei Ionos haben.

Beliebiger Absender support@firmaxyz.com (SPF OK)
Onedrive-Link
Darunter das Kennwort
Alte Mail darunter

Möglich dass damals viele Mails überall abgegriffen wurden.
Der Patch kam ja mitte März und die ersten Zugriffe schon 2-3 Monate früher.

Tun kann man ja jetzt eh nichts mehr.
Außer One-Drive per Antispam filtern.
Mitglied: Snoopy354
Snoopy354 31.03.2022 um 09:31:11 Uhr
Goto Top
Danke

@steffankittel danke für deine Antwort sind die Mails die Du da im Anhang hast alle vor dem März.2021?

Onedrive liegt doch bei Microsoft und sollte also registriert sein, oder?
Ich bin mir schon bewusst das der Account wahrscheinlich auch gehackt ist, aber macht da Microsoft nichts?

Danke
Mitglied: Coreknabe
Coreknabe 31.03.2022 um 09:41:41 Uhr
Goto Top
Onedrive liegt doch bei Microsoft und sollte also registriert sein, oder?
Ich bin mir schon bewusst das der Account wahrscheinlich auch gehackt ist, aber macht da Microsoft nichts?

Selber Grund, warum immer wieder massenhaft Spam von GMail-Konten verschickt werden, es sind schlicht zu viele...
Mitglied: StefanKittel
StefanKittel 31.03.2022 um 10:04:05 Uhr
Goto Top
Zitat von @Snoopy354:
@steffankittel danke für deine Antwort sind die Mails die Du da im Anhang hast alle vor dem März.2021?
Ja

Onedrive liegt doch bei Microsoft und sollte also registriert sein, oder?
Ich bin mir schon bewusst das der Account wahrscheinlich auch gehackt ist, aber macht da Microsoft nichts?
Einfacher.
Der Absender der meisten Mails ist ein regulärer o365 Account. Vermutlich sogar bezahlt.
Nicht gehackt sondern einfach auf eine komische Domäne hjkgdhfjgdhf.com bei Microsoft registriert.

Dieser wird vermutlich nach einiger Zeit gesperrt, aber dann haben vermutlich schon einige auf den Link geklickt.