9
Spoofing mit Originalmails?
Hallo zusammen,
wir haben folgende Problematik.
Wir setzen M365 (Exchange online) ein mit dem Outlook-Desktop Client (nicht new). Ausnahmslos aktuelle Windows 11 Installationen. Alles Clients inkl. Software sind up-to-date. Im Netzwerk setzen wir keine Mailserver ein. Einige Kollegen aus dem Team arbeiten auch über OWA.
MFA ist für die User aktiviert.
Ein Freigegebenes Postfach team@abc.com wird von 4 Personen aktiv benutzt. Diese Personen haben read and manage permissions sowie sand as permissions.
Die abc.com-Domäne ist bei einem externen Provider. SPF, DKIM und DMARC ist eingerichtet und funktionieren.
Die direkte Anmeldung an team@abc.om ist seit Anfang 2022 geblockt. Der Zugriff kann ausschließlich über die Members erfolgen.
team@abc.com schickt eine Mail. Diese Mail kommt beim Kunden an. Nach ca. 60 Sekunden treffen 3 identische Mails beim Kunden ein - aber von einer Gmail-Adresse. Der Inhalt ist komplett identisch. Die Syntax ist team.abc.com@gmail.com.
Ein "normales" Spoofing ist mir durchaus bewusst, bei dem eine beliebige Mail augenscheinlich von einer ähnlichen Adresse kommt, die einen echten Eindruck macht.
Ich habe sämtliche Konten auf irgendwelche Regeln geprüft. Sogar die Regeln im Nachrichtenfluss habe ich überprüft. team@abc.com besitzt keinerlei Regeln (habe das Konto zur Anmeldung freigegeben und die Regeln überprüft), auch im Konto selbst wird nichts weitergeleitet.
Wenn ich das Tracelog von team@abc.com durchschaue, ist kein Eintrag zu finden, wo wir an gmail senden.
Es geht sogar noch weiter
team@abc.com schickt eine Mail an Kunde 1 mit einem Angebot in PDF-Form in Höhe von 74521,23 € raus. Kommt auch an. Einige Zeit später kommt aber eine Mail mit einer Rechnung von der "Fake"-Gmail-Adresse an Kunde B mit einem PDF mit exakt dem gleichen Betrag von Angebot A.
Es ist nicht bei allen Kontakten so. Bisher haben wir 4 Kunden ausgemacht, bei denen das so ist. (ja, ich habe versucht mit der IT von denen Kontakt aufzunehmen).
Ich kann mir einfach nicht erklären, wo der Eingriff erfolgt/e. Ich komme immer wieder zurück, dass beim Empfänger was passiert.
Ich kann mir auch nicht vorstellen, dass unserer Rechner "irgendwie" befallen sind, weil es scheinbar nur team@abc.com betrifft (bisher), dennoch würde ich die Rechner neu aufsetzen. Aber was kann ich/man noch machen?
wir haben folgende Problematik.
Wir setzen M365 (Exchange online) ein mit dem Outlook-Desktop Client (nicht new). Ausnahmslos aktuelle Windows 11 Installationen. Alles Clients inkl. Software sind up-to-date. Im Netzwerk setzen wir keine Mailserver ein. Einige Kollegen aus dem Team arbeiten auch über OWA.
MFA ist für die User aktiviert.
Ein Freigegebenes Postfach team@abc.com wird von 4 Personen aktiv benutzt. Diese Personen haben read and manage permissions sowie sand as permissions.
Die abc.com-Domäne ist bei einem externen Provider. SPF, DKIM und DMARC ist eingerichtet und funktionieren.
Die direkte Anmeldung an team@abc.om ist seit Anfang 2022 geblockt. Der Zugriff kann ausschließlich über die Members erfolgen.
team@abc.com schickt eine Mail. Diese Mail kommt beim Kunden an. Nach ca. 60 Sekunden treffen 3 identische Mails beim Kunden ein - aber von einer Gmail-Adresse. Der Inhalt ist komplett identisch. Die Syntax ist team.abc.com@gmail.com.
Ein "normales" Spoofing ist mir durchaus bewusst, bei dem eine beliebige Mail augenscheinlich von einer ähnlichen Adresse kommt, die einen echten Eindruck macht.
Ich habe sämtliche Konten auf irgendwelche Regeln geprüft. Sogar die Regeln im Nachrichtenfluss habe ich überprüft. team@abc.com besitzt keinerlei Regeln (habe das Konto zur Anmeldung freigegeben und die Regeln überprüft), auch im Konto selbst wird nichts weitergeleitet.
Wenn ich das Tracelog von team@abc.com durchschaue, ist kein Eintrag zu finden, wo wir an gmail senden.
Es geht sogar noch weiter
team@abc.com schickt eine Mail an Kunde 1 mit einem Angebot in PDF-Form in Höhe von 74521,23 € raus. Kommt auch an. Einige Zeit später kommt aber eine Mail mit einer Rechnung von der "Fake"-Gmail-Adresse an Kunde B mit einem PDF mit exakt dem gleichen Betrag von Angebot A.
Es ist nicht bei allen Kontakten so. Bisher haben wir 4 Kunden ausgemacht, bei denen das so ist. (ja, ich habe versucht mit der IT von denen Kontakt aufzunehmen).
Ich kann mir einfach nicht erklären, wo der Eingriff erfolgt/e. Ich komme immer wieder zurück, dass beim Empfänger was passiert.
Ich kann mir auch nicht vorstellen, dass unserer Rechner "irgendwie" befallen sind, weil es scheinbar nur team@abc.com betrifft (bisher), dennoch würde ich die Rechner neu aufsetzen. Aber was kann ich/man noch machen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670615
Url: https://administrator.de/forum/spoofing-mit-originalmails-670615.html
Ausgedruckt am: 10.01.2025 um 13:01 Uhr
9 Kommentare
Neuester Kommentar
team@abc.com schickt eine Mail an Kunde 1 mit einem Angebot in PDF-Form in Höhe von 74521,23 € raus. Kommt auch an. Einige Zeit später kommt aber eine Mail mit einer Rechnung von der "Fake"-Gmail-Adresse an Kunde B mit einem PDF mit exakt dem gleichen Betrag von Angebot A.
Ist da nur der Beitrag gleich und ein geändertes Angebot oder ist es dasselbe PDF?
Was sagt der externe Provider dazu?
Moin,
check mal die Login Logs von allen Beteiligten - es gab auch schon Fälle wo Apps auf Konten Zugriff hatten. Zusätzlich würde ich noch alle Web-Sessions invalidieren und ggfs. auch die Passwörter ändern lassen.
lg,
Slainte
check mal die Login Logs von allen Beteiligten - es gab auch schon Fälle wo Apps auf Konten Zugriff hatten. Zusätzlich würde ich noch alle Web-Sessions invalidieren und ggfs. auch die Passwörter ändern lassen.
lg,
Slainte
Sorry, die Info habe ich im Eifer des Schreibens unterschlagen.
Das ist ja auch noch so eine Sache.
Aus dem Angebot für Kunde 1 wurde eine Rechnung für Kunde 2. Es wurde lediglich der Betreff in der PDF geändert und die Fußzeilen mit den Firmenangaben wurde entfernt. Stattdessen wurde am Ende mit einem Textfeld geschrieben, dass es geänderte Bankdaten gibt. Es ist also nicht das identische PDF, sondern ein angepasstes
Ich habe von Microsoft die schriftliche Bestätigung, dass nichts über deren Tenant ging.
Bei IONOS sah ich bisher keinen Bedarf, da der Ausgang über Microsoft läuft. IONOS verweist auch auf Microsoft, wenn ich versuche direkt beim Provider eine Mail für die Domäne anzulegen. Ich kann auch gar nicht beim Provider irgendwas mit Mails machen
Das ist ja auch noch so eine Sache.
Aus dem Angebot für Kunde 1 wurde eine Rechnung für Kunde 2. Es wurde lediglich der Betreff in der PDF geändert und die Fußzeilen mit den Firmenangaben wurde entfernt. Stattdessen wurde am Ende mit einem Textfeld geschrieben, dass es geänderte Bankdaten gibt. Es ist also nicht das identische PDF, sondern ein angepasstes
Ich habe von Microsoft die schriftliche Bestätigung, dass nichts über deren Tenant ging.
Bei IONOS sah ich bisher keinen Bedarf, da der Ausgang über Microsoft läuft. IONOS verweist auch auf Microsoft, wenn ich versuche direkt beim Provider eine Mail für die Domäne anzulegen. Ich kann auch gar nicht beim Provider irgendwas mit Mails machen
Also greift da manuell jemand bewusst ein. Passiert ja nicht bei allen Mails, sondern gezielt.
Ich bin da bei einem Strafantrag. Das von @SlainteMhath mal machen, aber auch den externen Provider konfrontieren.
Auf die Schnelle würde ich jetzt mal die Mailadresse stilllegen und Zugriffe außerhalb der Firma unterbinden.
Da ist natürlich auch ein Problem, dass man der Datenschutzbehörde melden werden muss. Für mich hört sich das nach schützenswerten Daten an, wenn da Kundendaten mit im Spiel sind.
Ich bin da bei einem Strafantrag. Das von @SlainteMhath mal machen, aber auch den externen Provider konfrontieren.
Auf die Schnelle würde ich jetzt mal die Mailadresse stilllegen und Zugriffe außerhalb der Firma unterbinden.
Da ist natürlich auch ein Problem, dass man der Datenschutzbehörde melden werden muss. Für mich hört sich das nach schützenswerten Daten an, wenn da Kundendaten mit im Spiel sind.
1
also Vom Kunden die sollen die erhalten Email im Original als Anhang dir per Email zuschicken.
Dann kannst du den Header im Original anschauen.
Und dann ganz klar sehen welchen weg die Email genommen hat.
also welches system wie und was.... obs intern fehler im system oder angreifer von extern oder oder...
Alles andere macht zwar spass aber wird dich effektiv nicht zur Rätsels Lösung führen.
Dann kannst du den Header im Original anschauen.
Und dann ganz klar sehen welchen weg die Email genommen hat.
also welches system wie und was.... obs intern fehler im system oder angreifer von extern oder oder...
Alles andere macht zwar spass aber wird dich effektiv nicht zur Rätsels Lösung führen.
1[...] Textfeld geschrieben, dass es geänderte Bankdaten gibt [...]
Also der klassische BEC ... das würde ich so erstmal den betroffenen Kunden mitteilen und darauf drängen das die Ihre (Mail-)Infrastruktur prüfen. IdR werden in Outlook Regeln angelegt, die das Weiterleiten übernehmen - das gilt es zu unterbinden.IONOS hat damit nix zu tun, dein MX-Record zeigt ja (hoffentlich
) auf M365, richtig?Zusätzlich sollten die dir Kunden diese gmail-Mails zur Verfügung stellen - möglichst im Orignal msg/eml, damit du auch die Original Header unter die Lupen nehmen kannst.
Und dann Anzeige stellen, Rechtsanwalt hinzuziehen und hoffen das deine Kunden intelligent genug sind eure "Rechnungen" nicht an die Bank auf den Jungferninseln zu überweisen
1stimmt, könnte ja auch das Problem des Kunden sein, garnicht eures... das die hacker bei sich im netz haben und wie
SlainteMhath geschrieben hat ihr Email system krassen schnurz produziert, also original email unterbinden vor zustellung, stattdessen weiterleiten an hacker der schnell das ding editiert und dann zuschickt in der hoffung das jemand falsch das geld aufs konto des hackers überweist.... klingt auch sehr plausibel.
dann seid ihr mal defintiv nicht schuld an der sache
1
ich habe noch mal die verbundenen apps bei allen usern geprüft. alle anwender sehr vorbildlich, heißt: nur die normalen microsoft apps wie excel, powerpoint, viva, word, und wie da alle heißen haben zugriff. das war noch ein guter tipp!
bzgl. des datenschutzes: wir arbeiten ausschließlich b2b und wir haben auch keine persönlichen daten von personen, mit denen wir arbeiten - außer vielleicht die namen und jeweiligen email-adressen.
die original mails habe ich noch mal angefordert. da muss ich sagen, dass man sich auf deren seite wohl sehr bedeckt hält. ich habe von den kunden bisher noch niemand von der technik erreicht. nur die jeweiligen betroffenen sachbearbeiter koopieren etwas, aber die haben bisher nur stumpf die mails weitergeleitet - aber das lässt sich lösen.
der mx ist korrekt und zeigt auch nur auf ms. ich bin das dns gefühlt 20 mal zeichen für zeichen durchgegangen, um ja nichts zu verpassen. der mailfluss selbst funktioniert tadellos.
wie gesagt: ich komme immer wieder zum selben schluss, dass auf empfängerseite was geschehen muss. es werden doch keine mails zwischendurch abhanden kommen können.
was ich auch nicht wusste ist, dass die owa-regeln nicht zwingend im desktop-outlook-client angezeigt werden. das habe ich die ersten mal völlig übersehen und bin da daher auch noch mal dort nachgegangen, leider ohne erfolg.
ich habe jetzt auch - vorerst - die firewall so eingestellt, dass nix an gmail oder googlemail bzw. mail.google rausgehen kann - ich weiß, ist ein strohhalm, aber vielleicht wird da ja was geloggt.
bzgl. des datenschutzes: wir arbeiten ausschließlich b2b und wir haben auch keine persönlichen daten von personen, mit denen wir arbeiten - außer vielleicht die namen und jeweiligen email-adressen.
die original mails habe ich noch mal angefordert. da muss ich sagen, dass man sich auf deren seite wohl sehr bedeckt hält. ich habe von den kunden bisher noch niemand von der technik erreicht. nur die jeweiligen betroffenen sachbearbeiter koopieren etwas, aber die haben bisher nur stumpf die mails weitergeleitet - aber das lässt sich lösen.
der mx ist korrekt und zeigt auch nur auf ms. ich bin das dns gefühlt 20 mal zeichen für zeichen durchgegangen, um ja nichts zu verpassen. der mailfluss selbst funktioniert tadellos.
wie gesagt: ich komme immer wieder zum selben schluss, dass auf empfängerseite was geschehen muss. es werden doch keine mails zwischendurch abhanden kommen können.
was ich auch nicht wusste ist, dass die owa-regeln nicht zwingend im desktop-outlook-client angezeigt werden. das habe ich die ersten mal völlig übersehen und bin da daher auch noch mal dort nachgegangen, leider ohne erfolg.
ich habe jetzt auch - vorerst - die firewall so eingestellt, dass nix an gmail oder googlemail bzw. mail.google rausgehen kann - ich weiß, ist ein strohhalm, aber vielleicht wird da ja was geloggt.
Google kann man hier auch einschalten, die mögen es gar nicht wenn man deren Absender für solche Absichten missbraucht.
1
