32
Spoofing mit Originalmails?
Hallo zusammen,
wir haben folgende Problematik.
Wir setzen M365 (Exchange online) ein mit dem Outlook-Desktop Client (nicht new). Ausnahmslos aktuelle Windows 11 Installationen. Alles Clients inkl. Software sind up-to-date. Im Netzwerk setzen wir keine Mailserver ein. Einige Kollegen aus dem Team arbeiten auch über OWA.
MFA ist für die User aktiviert.
Ein Freigegebenes Postfach team@abc.com wird von 4 Personen aktiv benutzt. Diese Personen haben read and manage permissions sowie sand as permissions.
Die abc.com-Domäne ist bei einem externen Provider. SPF, DKIM und DMARC ist eingerichtet und funktionieren.
Die direkte Anmeldung an team@abc.om ist seit Anfang 2022 geblockt. Der Zugriff kann ausschließlich über die Members erfolgen.
team@abc.com schickt eine Mail. Diese Mail kommt beim Kunden an. Nach ca. 60 Sekunden treffen 3 identische Mails beim Kunden ein - aber von einer Gmail-Adresse. Der Inhalt ist komplett identisch. Die Syntax ist team.abc.com@gmail.com.
Ein "normales" Spoofing ist mir durchaus bewusst, bei dem eine beliebige Mail augenscheinlich von einer ähnlichen Adresse kommt, die einen echten Eindruck macht.
Ich habe sämtliche Konten auf irgendwelche Regeln geprüft. Sogar die Regeln im Nachrichtenfluss habe ich überprüft. team@abc.com besitzt keinerlei Regeln (habe das Konto zur Anmeldung freigegeben und die Regeln überprüft), auch im Konto selbst wird nichts weitergeleitet.
Wenn ich das Tracelog von team@abc.com durchschaue, ist kein Eintrag zu finden, wo wir an gmail senden.
Es geht sogar noch weiter
team@abc.com schickt eine Mail an Kunde 1 mit einem Angebot in PDF-Form in Höhe von 74521,23 € raus. Kommt auch an. Einige Zeit später kommt aber eine Mail mit einer Rechnung von der "Fake"-Gmail-Adresse an Kunde B mit einem PDF mit exakt dem gleichen Betrag von Angebot A.
Es ist nicht bei allen Kontakten so. Bisher haben wir 4 Kunden ausgemacht, bei denen das so ist. (ja, ich habe versucht mit der IT von denen Kontakt aufzunehmen).
Ich kann mir einfach nicht erklären, wo der Eingriff erfolgt/e. Ich komme immer wieder zurück, dass beim Empfänger was passiert.
Ich kann mir auch nicht vorstellen, dass unserer Rechner "irgendwie" befallen sind, weil es scheinbar nur team@abc.com betrifft (bisher), dennoch würde ich die Rechner neu aufsetzen. Aber was kann ich/man noch machen?
wir haben folgende Problematik.
Wir setzen M365 (Exchange online) ein mit dem Outlook-Desktop Client (nicht new). Ausnahmslos aktuelle Windows 11 Installationen. Alles Clients inkl. Software sind up-to-date. Im Netzwerk setzen wir keine Mailserver ein. Einige Kollegen aus dem Team arbeiten auch über OWA.
MFA ist für die User aktiviert.
Ein Freigegebenes Postfach team@abc.com wird von 4 Personen aktiv benutzt. Diese Personen haben read and manage permissions sowie sand as permissions.
Die abc.com-Domäne ist bei einem externen Provider. SPF, DKIM und DMARC ist eingerichtet und funktionieren.
Die direkte Anmeldung an team@abc.om ist seit Anfang 2022 geblockt. Der Zugriff kann ausschließlich über die Members erfolgen.
team@abc.com schickt eine Mail. Diese Mail kommt beim Kunden an. Nach ca. 60 Sekunden treffen 3 identische Mails beim Kunden ein - aber von einer Gmail-Adresse. Der Inhalt ist komplett identisch. Die Syntax ist team.abc.com@gmail.com.
Ein "normales" Spoofing ist mir durchaus bewusst, bei dem eine beliebige Mail augenscheinlich von einer ähnlichen Adresse kommt, die einen echten Eindruck macht.
Ich habe sämtliche Konten auf irgendwelche Regeln geprüft. Sogar die Regeln im Nachrichtenfluss habe ich überprüft. team@abc.com besitzt keinerlei Regeln (habe das Konto zur Anmeldung freigegeben und die Regeln überprüft), auch im Konto selbst wird nichts weitergeleitet.
Wenn ich das Tracelog von team@abc.com durchschaue, ist kein Eintrag zu finden, wo wir an gmail senden.
Es geht sogar noch weiter
team@abc.com schickt eine Mail an Kunde 1 mit einem Angebot in PDF-Form in Höhe von 74521,23 € raus. Kommt auch an. Einige Zeit später kommt aber eine Mail mit einer Rechnung von der "Fake"-Gmail-Adresse an Kunde B mit einem PDF mit exakt dem gleichen Betrag von Angebot A.
Es ist nicht bei allen Kontakten so. Bisher haben wir 4 Kunden ausgemacht, bei denen das so ist. (ja, ich habe versucht mit der IT von denen Kontakt aufzunehmen).
Ich kann mir einfach nicht erklären, wo der Eingriff erfolgt/e. Ich komme immer wieder zurück, dass beim Empfänger was passiert.
Ich kann mir auch nicht vorstellen, dass unserer Rechner "irgendwie" befallen sind, weil es scheinbar nur team@abc.com betrifft (bisher), dennoch würde ich die Rechner neu aufsetzen. Aber was kann ich/man noch machen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670615
Url: https://administrator.de/forum/spoofing-mit-originalmails-670615.html
Ausgedruckt am: 22.02.2025 um 13:02 Uhr
32 Kommentare
Neuester Kommentar
team@abc.com schickt eine Mail an Kunde 1 mit einem Angebot in PDF-Form in Höhe von 74521,23 € raus. Kommt auch an. Einige Zeit später kommt aber eine Mail mit einer Rechnung von der "Fake"-Gmail-Adresse an Kunde B mit einem PDF mit exakt dem gleichen Betrag von Angebot A.
Ist da nur der Beitrag gleich und ein geändertes Angebot oder ist es dasselbe PDF?
Was sagt der externe Provider dazu?
Moin,
check mal die Login Logs von allen Beteiligten - es gab auch schon Fälle wo Apps auf Konten Zugriff hatten. Zusätzlich würde ich noch alle Web-Sessions invalidieren und ggfs. auch die Passwörter ändern lassen.
lg,
Slainte
check mal die Login Logs von allen Beteiligten - es gab auch schon Fälle wo Apps auf Konten Zugriff hatten. Zusätzlich würde ich noch alle Web-Sessions invalidieren und ggfs. auch die Passwörter ändern lassen.
lg,
Slainte
Sorry, die Info habe ich im Eifer des Schreibens unterschlagen.
Das ist ja auch noch so eine Sache.
Aus dem Angebot für Kunde 1 wurde eine Rechnung für Kunde 2. Es wurde lediglich der Betreff in der PDF geändert und die Fußzeilen mit den Firmenangaben wurde entfernt. Stattdessen wurde am Ende mit einem Textfeld geschrieben, dass es geänderte Bankdaten gibt. Es ist also nicht das identische PDF, sondern ein angepasstes
Ich habe von Microsoft die schriftliche Bestätigung, dass nichts über deren Tenant ging.
Bei IONOS sah ich bisher keinen Bedarf, da der Ausgang über Microsoft läuft. IONOS verweist auch auf Microsoft, wenn ich versuche direkt beim Provider eine Mail für die Domäne anzulegen. Ich kann auch gar nicht beim Provider irgendwas mit Mails machen
Das ist ja auch noch so eine Sache.
Aus dem Angebot für Kunde 1 wurde eine Rechnung für Kunde 2. Es wurde lediglich der Betreff in der PDF geändert und die Fußzeilen mit den Firmenangaben wurde entfernt. Stattdessen wurde am Ende mit einem Textfeld geschrieben, dass es geänderte Bankdaten gibt. Es ist also nicht das identische PDF, sondern ein angepasstes
Ich habe von Microsoft die schriftliche Bestätigung, dass nichts über deren Tenant ging.
Bei IONOS sah ich bisher keinen Bedarf, da der Ausgang über Microsoft läuft. IONOS verweist auch auf Microsoft, wenn ich versuche direkt beim Provider eine Mail für die Domäne anzulegen. Ich kann auch gar nicht beim Provider irgendwas mit Mails machen
Also greift da manuell jemand bewusst ein. Passiert ja nicht bei allen Mails, sondern gezielt.
Ich bin da bei einem Strafantrag. Das von @SlainteMhath mal machen, aber auch den externen Provider konfrontieren.
Auf die Schnelle würde ich jetzt mal die Mailadresse stilllegen und Zugriffe außerhalb der Firma unterbinden.
Da ist natürlich auch ein Problem, dass man der Datenschutzbehörde melden werden muss. Für mich hört sich das nach schützenswerten Daten an, wenn da Kundendaten mit im Spiel sind.
Ich bin da bei einem Strafantrag. Das von @SlainteMhath mal machen, aber auch den externen Provider konfrontieren.
Auf die Schnelle würde ich jetzt mal die Mailadresse stilllegen und Zugriffe außerhalb der Firma unterbinden.
Da ist natürlich auch ein Problem, dass man der Datenschutzbehörde melden werden muss. Für mich hört sich das nach schützenswerten Daten an, wenn da Kundendaten mit im Spiel sind.
1
also Vom Kunden die sollen die erhalten Email im Original als Anhang dir per Email zuschicken.
Dann kannst du den Header im Original anschauen.
Und dann ganz klar sehen welchen weg die Email genommen hat.
also welches system wie und was.... obs intern fehler im system oder angreifer von extern oder oder...
Alles andere macht zwar spass aber wird dich effektiv nicht zur Rätsels Lösung führen.
Dann kannst du den Header im Original anschauen.
Und dann ganz klar sehen welchen weg die Email genommen hat.
also welches system wie und was.... obs intern fehler im system oder angreifer von extern oder oder...
Alles andere macht zwar spass aber wird dich effektiv nicht zur Rätsels Lösung führen.
1[...] Textfeld geschrieben, dass es geänderte Bankdaten gibt [...]
Also der klassische BEC ... das würde ich so erstmal den betroffenen Kunden mitteilen und darauf drängen das die Ihre (Mail-)Infrastruktur prüfen. IdR werden in Outlook Regeln angelegt, die das Weiterleiten übernehmen - das gilt es zu unterbinden.IONOS hat damit nix zu tun, dein MX-Record zeigt ja (hoffentlich
) auf M365, richtig?Zusätzlich sollten die dir Kunden diese gmail-Mails zur Verfügung stellen - möglichst im Orignal msg/eml, damit du auch die Original Header unter die Lupen nehmen kannst.
Und dann Anzeige stellen, Rechtsanwalt hinzuziehen und hoffen das deine Kunden intelligent genug sind eure "Rechnungen" nicht an die Bank auf den Jungferninseln zu überweisen
1stimmt, könnte ja auch das Problem des Kunden sein, garnicht eures... das die hacker bei sich im netz haben und wie
SlainteMhath geschrieben hat ihr Email system krassen schnurz produziert, also original email unterbinden vor zustellung, stattdessen weiterleiten an hacker der schnell das ding editiert und dann zuschickt in der hoffung das jemand falsch das geld aufs konto des hackers überweist.... klingt auch sehr plausibel.
dann seid ihr mal defintiv nicht schuld an der sache
1
ich habe noch mal die verbundenen apps bei allen usern geprüft. alle anwender sehr vorbildlich, heißt: nur die normalen microsoft apps wie excel, powerpoint, viva, word, und wie da alle heißen haben zugriff. das war noch ein guter tipp!
bzgl. des datenschutzes: wir arbeiten ausschließlich b2b und wir haben auch keine persönlichen daten von personen, mit denen wir arbeiten - außer vielleicht die namen und jeweiligen email-adressen.
die original mails habe ich noch mal angefordert. da muss ich sagen, dass man sich auf deren seite wohl sehr bedeckt hält. ich habe von den kunden bisher noch niemand von der technik erreicht. nur die jeweiligen betroffenen sachbearbeiter koopieren etwas, aber die haben bisher nur stumpf die mails weitergeleitet - aber das lässt sich lösen.
der mx ist korrekt und zeigt auch nur auf ms. ich bin das dns gefühlt 20 mal zeichen für zeichen durchgegangen, um ja nichts zu verpassen. der mailfluss selbst funktioniert tadellos.
wie gesagt: ich komme immer wieder zum selben schluss, dass auf empfängerseite was geschehen muss. es werden doch keine mails zwischendurch abhanden kommen können.
was ich auch nicht wusste ist, dass die owa-regeln nicht zwingend im desktop-outlook-client angezeigt werden. das habe ich die ersten mal völlig übersehen und bin da daher auch noch mal dort nachgegangen, leider ohne erfolg.
ich habe jetzt auch - vorerst - die firewall so eingestellt, dass nix an gmail oder googlemail bzw. mail.google rausgehen kann - ich weiß, ist ein strohhalm, aber vielleicht wird da ja was geloggt.
bzgl. des datenschutzes: wir arbeiten ausschließlich b2b und wir haben auch keine persönlichen daten von personen, mit denen wir arbeiten - außer vielleicht die namen und jeweiligen email-adressen.
die original mails habe ich noch mal angefordert. da muss ich sagen, dass man sich auf deren seite wohl sehr bedeckt hält. ich habe von den kunden bisher noch niemand von der technik erreicht. nur die jeweiligen betroffenen sachbearbeiter koopieren etwas, aber die haben bisher nur stumpf die mails weitergeleitet - aber das lässt sich lösen.
der mx ist korrekt und zeigt auch nur auf ms. ich bin das dns gefühlt 20 mal zeichen für zeichen durchgegangen, um ja nichts zu verpassen. der mailfluss selbst funktioniert tadellos.
wie gesagt: ich komme immer wieder zum selben schluss, dass auf empfängerseite was geschehen muss. es werden doch keine mails zwischendurch abhanden kommen können.
was ich auch nicht wusste ist, dass die owa-regeln nicht zwingend im desktop-outlook-client angezeigt werden. das habe ich die ersten mal völlig übersehen und bin da daher auch noch mal dort nachgegangen, leider ohne erfolg.
ich habe jetzt auch - vorerst - die firewall so eingestellt, dass nix an gmail oder googlemail bzw. mail.google rausgehen kann - ich weiß, ist ein strohhalm, aber vielleicht wird da ja was geloggt.
Google kann man hier auch einschalten, die mögen es gar nicht wenn man deren Absender für solche Absichten missbraucht.
1
Aber das ist ja nun mehr als unwahrscheinlich, wenn das bei 4 Kunden auftritt.
Trommel
Aber das ist ja nun mehr als unwahrscheinlich, wenn das bei 4 Kunden auftritt.
Außer sie haben irgendwelche Gemeinsamkeiten, wie z.B. denselben Provider.
Das Abgreifen kann überall auf dem Weg vom Sender zu Kunden erfolgen. Insbesondere die Clouds sind verseucht mit Schnorchlern. Es gibt standardisierte Schnittstellen für Behörden, die allerdings inzwischen auch von "pöhsen Purschen" benutzt werden. Es kann auch malware auf den Endsystemen sein.
ich würde auf jeden Fall mal bei google/alphabet vorstellig werden, um die Mailadrese auf die schnelle stillzulegen. Ansonsten würde ich mal präparierte Mails losschicken, die nach Hause anrufen, wenn sie irgendwo geöffnet werden. Funktioniert zwar nicht immer aber man wundert sich manchmal wo die Mail bzw. das Attachment manchmal landet. (z.B. deep packet inspection bei manchen Carriern.
)lks
Zitat von @Lochkartenstanzer:
Außer sie haben irgendwelche Gemeinsamkeiten, wie z.B. denselben Provider.
lks
Aber das ist ja nun mehr als unwahrscheinlich, wenn das bei 4 Kunden auftritt.
Außer sie haben irgendwelche Gemeinsamkeiten, wie z.B. denselben Provider.
lks
Das wäre ja ein Super-GAU, wenn der Provider kompromittiert ist. Da könnte der Angreifer ja auch gleich die originale E-Mail manipulieren oder eigentlich auch noch viel mehr Schaden anrichten als die Rechnung mit einer offensichtlichen Jungferninsel-IBAN zu schicken.
Trommel
Zitat von @Trommel:
Das wäre ja ein Super-GAU, wenn der Provider kompromittiert ist. Da könnte der Angreifer ja auch gleich die originale E-Mail manipulieren oder eigentlich auch noch viel mehr Schaden anrichten als die Rechnung mit einer offensichtlichen Jungferninsel-IBAN zu schicken.
Zitat von @Lochkartenstanzer:
Außer sie haben irgendwelche Gemeinsamkeiten, wie z.B. denselben Provider.
lks
Aber das ist ja nun mehr als unwahrscheinlich, wenn das bei 4 Kunden auftritt.
Außer sie haben irgendwelche Gemeinsamkeiten, wie z.B. denselben Provider.
lks
Das wäre ja ein Super-GAU, wenn der Provider kompromittiert ist. Da könnte der Angreifer ja auch gleich die originale E-Mail manipulieren oder eigentlich auch noch viel mehr Schaden anrichten als die Rechnung mit einer offensichtlichen Jungferninsel-IBAN zu schicken.
Leise schnorcheln ist unauffälliger und einfacher als aktiv den traffic zu manipulieren.
lks
Moin @rrobbyy,
alleine schon bei diesem Satz, schrillen bei mir sämtliche Alarmglocken!
Dieser sagt mir nämlich, dass ihr zu 99,99% kompromitiert seid. 😔
Denn würde das Problem nur bei einem einzigen Empfänger geschehen, dann könnte man noch sagen, das die Change 50 zu 50 ist, dass eventuell auch der Empfänger betroffen ist.
Wenn ein solches Problem jedoch bei 4 unterschiedlichen Empfängern ähnlich ist, dann liegt der Grund dafür, meiner Erfahrung nach zu 100% beim Versender, sorry.
Ich sehe hier eigentlich nur zwei Möglichkeiten, entweder ist euer ganzer Tenant kompromitiert oder mindestens eines der Endgeräte, die Zugriff auf das entsprechende Postfach haben.
Gruss Alex
Es ist nicht bei allen Kontakten so. Bisher haben wir 4 Kunden ausgemacht, bei denen das so ist. (ja, ich habe versucht mit der IT von denen Kontakt aufzunehmen).
alleine schon bei diesem Satz, schrillen bei mir sämtliche Alarmglocken!
Dieser sagt mir nämlich, dass ihr zu 99,99% kompromitiert seid. 😔
Denn würde das Problem nur bei einem einzigen Empfänger geschehen, dann könnte man noch sagen, das die Change 50 zu 50 ist, dass eventuell auch der Empfänger betroffen ist.
Wenn ein solches Problem jedoch bei 4 unterschiedlichen Empfängern ähnlich ist, dann liegt der Grund dafür, meiner Erfahrung nach zu 100% beim Versender, sorry.
Ich sehe hier eigentlich nur zwei Möglichkeiten, entweder ist euer ganzer Tenant kompromitiert oder mindestens eines der Endgeräte, die Zugriff auf das entsprechende Postfach haben.
Gruss Alex
Moin @rrobbyy,
die kannst du nicht mal den Hassen zum Fressen geben.
MS wurde erst vorletztes Jahr selbst gehackt und hat über Monate nicht realisiert, dass mitunter auch die Mails derer Security-Abteilung, ausspioniert worden sind. 😔
Und so wie es aussieht ...
https://www.mdr.de/nachrichten/deutschland/wirtschaft/microsoft-hacker-a ...
... haben die selbst im März vergangenen Jahres, die Lage wohl noch nicht in den Griff bekommen. 😭
Weitere Infos:
https://www.borncity.com/blog/2024/06/28/microsoft-neues-vom-midnight-bl ...
Gruss Alex
Ich habe von Microsoft die schriftliche Bestätigung, dass nichts über deren Tenant ging.
die kannst du nicht mal den Hassen zum Fressen geben.
MS wurde erst vorletztes Jahr selbst gehackt und hat über Monate nicht realisiert, dass mitunter auch die Mails derer Security-Abteilung, ausspioniert worden sind. 😔
Und so wie es aussieht ...
https://www.mdr.de/nachrichten/deutschland/wirtschaft/microsoft-hacker-a ...
... haben die selbst im März vergangenen Jahres, die Lage wohl noch nicht in den Griff bekommen. 😭
Weitere Infos:
https://www.borncity.com/blog/2024/06/28/microsoft-neues-vom-midnight-bl ...
Gruss Alex
Zitat von @MysticFoxDE:
Moin @rrobbyy,
die kannst du nicht mal den Hassen zum Fressen geben.
MS wurde erst vorletztes Jahr selbst gehackt und hat über Monate nicht realisiert, dass mitunter auch die Mails derer Security-Abteilung, ausspioniert worden sind. 😔
Und so wie es aussieht ...
https://www.mdr.de/nachrichten/deutschland/wirtschaft/microsoft-hacker-a ...
... haben die selbst im März vergangenen Jahres, die Lage wohl noch nicht in den Griff bekommen. 😭
Moin @rrobbyy,
Ich habe von Microsoft die schriftliche Bestätigung, dass nichts über deren Tenant ging.
die kannst du nicht mal den Hassen zum Fressen geben.
MS wurde erst vorletztes Jahr selbst gehackt und hat über Monate nicht realisiert, dass mitunter auch die Mails derer Security-Abteilung, ausspioniert worden sind. 😔
Und so wie es aussieht ...
https://www.mdr.de/nachrichten/deutschland/wirtschaft/microsoft-hacker-a ...
... haben die selbst im März vergangenen Jahres, die Lage wohl noch nicht in den Griff bekommen. 😭
Deswegen würde ich das Problem bei MS verorten und nicht beim Sender. Ich habe es nur nicht ganz so deutlich geschrieben.
lks
PS: Ich war mal (vor sehr langer Zeit) bei einem einem ISP/Carrier in der deutschen Security-Abteilung. Aber die war nur für die Sicherheit der Kunden und deren Infrastruktur zuständig. Die eigene Security wurde von der zentrale im europäischen Ausland gemanaged. Wir wußten schon, warum die Infrastruktur unserer Abteilung unabhängig von der Konzrninfrastruktur war.
Moin @Lochkartenstanzer,
da der TO einen Exchange-Online hat, ist MS aber auch quasi der Sender, zumindest stellen die den sendenden SMTP Server. 🙃
Wenn der TO einen OnPrem-Exchange hätte, dann wäre das Problem bei dem jetzigen Erkentnisstand wahrscheinlich auch in unter 24 Stunden gefunden. Bei einem Exchange-Online, gleich die Suche danach jedoch eher der nach der Nadel im Häuhaufen, zumal man die MS eigene Infrastruktur auch nicht wirklich gut analysieren kann. 😔
Gruss Alex
Deswegen würde ich das Problem bei MS verorten und nicht beim Sender.
da der TO einen Exchange-Online hat, ist MS aber auch quasi der Sender, zumindest stellen die den sendenden SMTP Server. 🙃
Wenn der TO einen OnPrem-Exchange hätte, dann wäre das Problem bei dem jetzigen Erkentnisstand wahrscheinlich auch in unter 24 Stunden gefunden. Bei einem Exchange-Online, gleich die Suche danach jedoch eher der nach der Nadel im Häuhaufen, zumal man die MS eigene Infrastruktur auch nicht wirklich gut analysieren kann. 😔
Gruss Alex
Nach den bisherigen Infos würde ich eher auf einen kompromittierten Client auf eurer Seite tippen. Dass der M365 Account gehackt wurde mit MFA halte ich für unwahrscheinlich (oder habt ihr Ausnahmen, ist MFA wirklich erzwungen?), außerdem würde der User recht schnell als "risky" geflagged werden, trotzdem mal die Logs der User prüfen von wo aus die Logins stammen. Sind die Mitarbeiter im HO mit privaten Rechnern?
Moin @geraldxx,
so unwahrscheinlich ist das trotz MFA bei Microsoft nun leider auch nicht ...
https://www.heise.de/news/Microsoft-Azure-MFA-Schutz-war-aushebelbar-101 ...
... und das ist nur der jügste Artikel in dieser Richtung. 😔
Gruss Alex
Dass der M365 Account gehackt wurde mit MFA halte ich für unwahrscheinlich
so unwahrscheinlich ist das trotz MFA bei Microsoft nun leider auch nicht ...
https://www.heise.de/news/Microsoft-Azure-MFA-Schutz-war-aushebelbar-101 ...
... und das ist nur der jügste Artikel in dieser Richtung. 😔
Gruss Alex
Zitat von @MysticFoxDE:
Moin @geraldxx,
so unwahrscheinlich ist das trotz MFA bei Microsoft nun leider auch nicht ...
https://www.heise.de/news/Microsoft-Azure-MFA-Schutz-war-aushebelbar-101 ...
... und das ist nur der jügste Artikel in dieser Richtung. 😔
Moin @geraldxx,
Dass der M365 Account gehackt wurde mit MFA halte ich für unwahrscheinlich
so unwahrscheinlich ist das trotz MFA bei Microsoft nun leider auch nicht ...
https://www.heise.de/news/Microsoft-Azure-MFA-Schutz-war-aushebelbar-101 ...
... und das ist nur der jügste Artikel in dieser Richtung. 😔
Wollte ich auch gerade schreiben, daß die pôhsen Purschen, anscheinend nicht wissen daß das unwahrscheinlich sein sollen und es trotzdem tun.
lks
Das war möglich (3% Chance) ist allerdings bereits gelöst. Und der Login klappt dann auch nur ein einziges Mal. Ich halte das immer noch für unwahrscheinlich wenn jemand Zugang zu einem Benutzeraccount hätte, müsste er nicht den Umweg über eine Gmail Adresse gehen. Ein fähiger Admin würde das anhand der Logs auch sofort sehen ;) Ein noch fähigerer Admin würde das über Policies unterbinden.
Ihr seid ja rege dabei! Dafür ein mal vielen Dank!
Homeoffice ist seit Ende Corona deaktiviert - außer bei Admins. GF will Präsenz.
Lediglich Teams und Outlook sind auf mobile Endgeräte installiert.
Im Login-Log stehen diverse Anmeldeversuche. Tatsächlich gab es Ende Dezember ein erfolgreichen Login in "Florida" bei einem User. Der User selbst war aber hier in Deutschland. Daraufhin habe ich die Abmeldung erzwungen und die Zugangsdaten geändert. Kurios dabei finde ich, dass das Konto MFA hatte, im Backend bei Entra-ID stand "disabled" ich habe diesen jetzt auf "enforced" umgestellt.
Nehmen wir mal, jemand hatte Zugriff auf dieses Konto. Man kann doch nicht als normaler Anwender das Konto so manipulieren, dass ohne Outlook-Regeln die Mails weitergeleitet werden? Und selbst dann, müsste ich doch dann im Trace-Log der Nachrichten einen Ausgang an Gmail finden?
Korrekt: wir haben keinen lokalen Mail-Server mehr im Haus. Alles läuft über die Cloud. Irgendwelche Einstellungen im Tenant wurden auch nicht vorgenommen, dass man vielleicht einen andere E-Mail-Server für Postausgänge verwenden möchte - kann man das überhaupt?
Ja, auch bei mir schrillen die Alarme. Das es Einbruchsversuche bei MS gab, habe ich verfolgt. Die Frage stellt sich jetzt aber dennoch: Wie geht's jetzt weiter?
Ich habe heute alle Rechner, die auf das Postfach Zugriff haben komplett formatiert und neu aufgesetzt. Ich weiß mir sonst nicht zu helfen.
Ja, man müsste die Domäne komplett neu aufsetzen und wirklich sicher zu gehen. Aber ihr wisst auch, dass man das nicht mal aus dem Hut zaubert. Letztendlich werde ich aber nicht drumherum kommen?
Homeoffice ist seit Ende Corona deaktiviert - außer bei Admins. GF will Präsenz.
Lediglich Teams und Outlook sind auf mobile Endgeräte installiert.
Im Login-Log stehen diverse Anmeldeversuche. Tatsächlich gab es Ende Dezember ein erfolgreichen Login in "Florida" bei einem User. Der User selbst war aber hier in Deutschland. Daraufhin habe ich die Abmeldung erzwungen und die Zugangsdaten geändert. Kurios dabei finde ich, dass das Konto MFA hatte, im Backend bei Entra-ID stand "disabled" ich habe diesen jetzt auf "enforced" umgestellt.
Nehmen wir mal, jemand hatte Zugriff auf dieses Konto. Man kann doch nicht als normaler Anwender das Konto so manipulieren, dass ohne Outlook-Regeln die Mails weitergeleitet werden? Und selbst dann, müsste ich doch dann im Trace-Log der Nachrichten einen Ausgang an Gmail finden?
Korrekt: wir haben keinen lokalen Mail-Server mehr im Haus. Alles läuft über die Cloud. Irgendwelche Einstellungen im Tenant wurden auch nicht vorgenommen, dass man vielleicht einen andere E-Mail-Server für Postausgänge verwenden möchte - kann man das überhaupt?
Ja, auch bei mir schrillen die Alarme. Das es Einbruchsversuche bei MS gab, habe ich verfolgt. Die Frage stellt sich jetzt aber dennoch: Wie geht's jetzt weiter?
Ich habe heute alle Rechner, die auf das Postfach Zugriff haben komplett formatiert und neu aufgesetzt. Ich weiß mir sonst nicht zu helfen.
Ja, man müsste die Domäne komplett neu aufsetzen und wirklich sicher zu gehen. Aber ihr wisst auch, dass man das nicht mal aus dem Hut zaubert. Letztendlich werde ich aber nicht drumherum kommen?
Moin,
das klingt alles nicht gut. Jetzt weißt Du ja auch, dass es einen erfolgreichen Angriff bei Euch (nicht beim Kunden) gegeben hat. Also das, was bei diesen Symptomen eigentlich auch zu erwarten war.
Wann hast Du das mit "Florida" festgestellt? Jetzt jüngst? Jedenfalls solltest Du da das große Programm auspacken. Alles kontrollieren bei dem User, alle Weiterleitungen, Regeln, App Kennwörter, angemeldete und autorisierte Clients etc., ggf. auch alle registrierten Anwendungen in Microsoft Entra ID. Hatte dieser User Zugriff auf andere Bereiche des Tenants? Dann auch dort alles kontrollieren und ändern. Irgendwelche (App) Kennwörter und angemeldete Clients im Zweifel immer ändern und rauskicken. Möglicherweise/ wahrscheinlicherweise besteht auf einem der Zugangswege zu Exchange Online eben auch heute noch Zugriff.
Ein mögliches Szenario, wenn der "Florida"-User entsprechende Zugriffsrechte hat (ich gehe davon aus, dass der User Zugriff auf das fragliche Postfach hat), ist es ja, dass dort ein Mailclient Zugriff nimmt, der die gesendeten Mails überwacht und dann einen Automatismus anstösst (die ca. 60 Sekunden später gesendenten Mails). Und wenn dann ein Mensch darüber schaut, erklärt das, warum dann PDFs mit Rechnungen deutlich später hinterherkommen. Das ganze geht dann von Angreifer aus über die GMail-Server, daher auch bei Dir keine "abgehenden" Spuren.
Gruß
DivideByZero
das klingt alles nicht gut. Jetzt weißt Du ja auch, dass es einen erfolgreichen Angriff bei Euch (nicht beim Kunden) gegeben hat. Also das, was bei diesen Symptomen eigentlich auch zu erwarten war.
Wann hast Du das mit "Florida" festgestellt? Jetzt jüngst? Jedenfalls solltest Du da das große Programm auspacken. Alles kontrollieren bei dem User, alle Weiterleitungen, Regeln, App Kennwörter, angemeldete und autorisierte Clients etc., ggf. auch alle registrierten Anwendungen in Microsoft Entra ID. Hatte dieser User Zugriff auf andere Bereiche des Tenants? Dann auch dort alles kontrollieren und ändern. Irgendwelche (App) Kennwörter und angemeldete Clients im Zweifel immer ändern und rauskicken. Möglicherweise/ wahrscheinlicherweise besteht auf einem der Zugangswege zu Exchange Online eben auch heute noch Zugriff.
Ein mögliches Szenario, wenn der "Florida"-User entsprechende Zugriffsrechte hat (ich gehe davon aus, dass der User Zugriff auf das fragliche Postfach hat), ist es ja, dass dort ein Mailclient Zugriff nimmt, der die gesendeten Mails überwacht und dann einen Automatismus anstösst (die ca. 60 Sekunden später gesendenten Mails). Und wenn dann ein Mensch darüber schaut, erklärt das, warum dann PDFs mit Rechnungen deutlich später hinterherkommen. Das ganze geht dann von Angreifer aus über die GMail-Server, daher auch bei Dir keine "abgehenden" Spuren.
Gruß
DivideByZero
Am Sonntag noch eine Antwort bekommen - meine Güte ;)
Ich bin die mir verfügbaren Logs durchgegangen.
Das habe ich gestern festgestellt. Zum Glück sind diese User nur im Büro tätig und nicht weltweit unterwegs. Florida war der einzige Login außerhalb von Deutschland. Wenn natürlich ein User mit seinem mobilen Endgerät Teams oder Outlook irgendwo am Wochenende geöffnet hat, sehe ich entsprechend die externe IP und nicht unsere eigene externe.
Der User selbst hat "nur" Zugriff auf seinen Bereich - ist ein "normaler" Büro-Anwender (geschlechtsneutral gemeint
Es gibt aber hunderte fehlgeschlagene Anmeldeversuche auf verschiedene Accounts. Zumindest die Freigegebenen Postfächer haben ein Sign in block.
Ich habe den Tenant vor einem Jahr auch so eingestellt, dass ich eine Mail bekomme, falls jemand eine Weiterleitung aktiviert. Das funktioniert tatsächlich überraschend gut ^^
Die letzten Tage habe ich die meisten User von allen Sitzungen zwangsabgemeldet und zu neuen Passwörter gezwungen. MFA (mittlerweile weiß ich, dass auch das nicht sicher ist) hat sich überall korrekt gemeldet. Fremde Anmeldeversuche konnte ich bis jetzt nicht feststellen. Dass M für Multi steht ist schon klar, aber würdet ihr jetzt noch einen dritten Faktor hinzunehmen?
Die falsche Anmeldung würde die letzten Mails erklären.
Jedoch gingen bereits Ende November die Mails zu gmail. Wir haben das nur mitbekommen, weil uns der Kunde die letzten Tage anrief und meinte, dass der "Ton" in der Mail sehr aggressiv ist und das dies uns nicht ähnlich sieht. Dass die Kunden mal früher auf die Absenderadresse hätten schauen können, bewerte ich jetzt mal nicht.
Ich bin die mir verfügbaren Logs durchgegangen.
Das habe ich gestern festgestellt. Zum Glück sind diese User nur im Büro tätig und nicht weltweit unterwegs. Florida war der einzige Login außerhalb von Deutschland. Wenn natürlich ein User mit seinem mobilen Endgerät Teams oder Outlook irgendwo am Wochenende geöffnet hat, sehe ich entsprechend die externe IP und nicht unsere eigene externe.
Der User selbst hat "nur" Zugriff auf seinen Bereich - ist ein "normaler" Büro-Anwender (geschlechtsneutral gemeint
Es gibt aber hunderte fehlgeschlagene Anmeldeversuche auf verschiedene Accounts. Zumindest die Freigegebenen Postfächer haben ein Sign in block.
Ich habe den Tenant vor einem Jahr auch so eingestellt, dass ich eine Mail bekomme, falls jemand eine Weiterleitung aktiviert. Das funktioniert tatsächlich überraschend gut ^^
Die letzten Tage habe ich die meisten User von allen Sitzungen zwangsabgemeldet und zu neuen Passwörter gezwungen. MFA (mittlerweile weiß ich, dass auch das nicht sicher ist) hat sich überall korrekt gemeldet. Fremde Anmeldeversuche konnte ich bis jetzt nicht feststellen. Dass M für Multi steht ist schon klar, aber würdet ihr jetzt noch einen dritten Faktor hinzunehmen?
Die falsche Anmeldung würde die letzten Mails erklären.
Jedoch gingen bereits Ende November die Mails zu gmail. Wir haben das nur mitbekommen, weil uns der Kunde die letzten Tage anrief und meinte, dass der "Ton" in der Mail sehr aggressiv ist und das dies uns nicht ähnlich sieht. Dass die Kunden mal früher auf die Absenderadresse hätten schauen können, bewerte ich jetzt mal nicht.
Moin @geraldxx,
man findet aktuell hunderte, wenn nicht gar tausende Artikel im Netz, wo sich Anweder darüber beschwerren, dass ihr Microsoft-Account trotz MFA gehackt wurde. 😔
Und wie ich schon oben geschrieben habe, die von der Heise angesprochene Lücke, war bei weitem nicht die einzige Geschichte.
https://www.golem.de/news/lapsus-hackergruppe-umgeht-2fa-mit-einfachem-t ...
Wenn der Angreifer die gefälschten Mails auch über dieselbe Infrastruktur verschicken würde, wo er diese auch gelkaut hat, dann würde dadurch massiv die Gefahr der Enttarnung ansteigen und genau das vermeiden die mit dem versenden über den G-Mail Account. 😉
Bei dem letzten bekannten Hack von Microsoft, haben die Angreifer auch deren Security-Abteilung infiltriert gehabt und zwar monatelang ohne dass es jemandem aufgefallen ist. 😔😭
Gruss Alex
Das war möglich (3% Chance) ist allerdings bereits gelöst. Und der Login klappt dann auch nur ein einziges Mal.
man findet aktuell hunderte, wenn nicht gar tausende Artikel im Netz, wo sich Anweder darüber beschwerren, dass ihr Microsoft-Account trotz MFA gehackt wurde. 😔
Und wie ich schon oben geschrieben habe, die von der Heise angesprochene Lücke, war bei weitem nicht die einzige Geschichte.
https://www.golem.de/news/lapsus-hackergruppe-umgeht-2fa-mit-einfachem-t ...
Ich halte das immer noch für unwahrscheinlich wenn jemand Zugang zu einem Benutzeraccount hätte, müsste er nicht den Umweg über eine Gmail Adresse gehen.
Wenn der Angreifer die gefälschten Mails auch über dieselbe Infrastruktur verschicken würde, wo er diese auch gelkaut hat, dann würde dadurch massiv die Gefahr der Enttarnung ansteigen und genau das vermeiden die mit dem versenden über den G-Mail Account. 😉
Ein fähiger Admin würde das anhand der Logs auch sofort sehen ;)
Ein noch fähigerer Admin würde das über Policies unterbinden.
Ein noch fähigerer Admin würde das über Policies unterbinden.
Bei dem letzten bekannten Hack von Microsoft, haben die Angreifer auch deren Security-Abteilung infiltriert gehabt und zwar monatelang ohne dass es jemandem aufgefallen ist. 😔😭
Gruss Alex
Das Szenario mit der "fremden" Anmeldung ist durchaus möglich. Wahrscheinlich gab es schon vor Monaten eine oder mehrere erfolgreiche Anmeldungen, bevor MFA aktiviert wurde.
Ich habe auch "erlebt", dass bestehende Anmeldungen stand hielten, NACHDEM MFA aktiviert wurde.
Ich habe auch "erlebt", dass bestehende Anmeldungen stand hielten, NACHDEM MFA aktiviert wurde.
Zitat von @rrobbyy:
Die letzten Tage habe ich die meisten User von allen Sitzungen zwangsabgemeldet und zu neuen Passwörter gezwungen.
Die letzten Tage habe ich die meisten User von allen Sitzungen zwangsabgemeldet und zu neuen Passwörter gezwungen.
Hast Du auch die anderen genannten Punkte überprüft (insbesondere Drittanwendungen über App Kennwörter und registrierte Anwendungen in Microsoft Entra ID)? Da könnte auch noch etwas schlummern.
Zitat von @rrobbyy:
Im Login-Log stehen diverse Anmeldeversuche. Tatsächlich gab es Ende Dezember ein erfolgreichen Login in "Florida" bei einem User. Der User selbst war aber hier in Deutschland. Daraufhin habe ich die Abmeldung erzwungen und die Zugangsdaten geändert. Kurios dabei finde ich, dass das Konto MFA hatte, im Backend bei Entra-ID stand "disabled" ich habe diesen jetzt auf "enforced" umgestellt.
Im Login-Log stehen diverse Anmeldeversuche. Tatsächlich gab es Ende Dezember ein erfolgreichen Login in "Florida" bei einem User. Der User selbst war aber hier in Deutschland. Daraufhin habe ich die Abmeldung erzwungen und die Zugangsdaten geändert. Kurios dabei finde ich, dass das Konto MFA hatte, im Backend bei Entra-ID stand "disabled" ich habe diesen jetzt auf "enforced" umgestellt.
Hat vielleicht einer deiner Kollegen dem Jammern des Users nachgegeben MFA wäre ihm / ihr zu umständlich? Leider gibt es in Entra viele Wege / Möglichkeiten für MFA, man sollte genau wissen was man macht um MFA auch wirklich zu erzwingen. Nicht das da ein Kollege um die Ecke kommt und für gewisse User deaktiviert (habe ich auch schon erlebt, Admin ist mit einem User befreundet, da werden dann solche Extrawünsche umgesetzt).
PS: In den Logs solltest du auch sehen können ob MFA beim Login benutzt wurde beim User aus Florida, dann wäre das Rätsel um MFA ist unsicher auch gelöst (MFA war ja anscheinend nicht aktiviert), zumindest in diesem Fall. Normalerweise wird Entra auch sehr hellhörig bei Anmeldungen aus einem anderen Land... wenn man es denn richtig konfiguriert. Aber wenn man MFA nicht benutzt und erzwingt kann auch Microsoft da auch nichts dafür ;)
Moin @rrobbyy,
na klar, das ist bei vielen ITler einer der produktivsten Tage, weil an diesem nicht ständig irgend ein Anwender/Kunden dazwischenkommt. 🤪
Du meinst damit bestimmt die Weiterleitung innerhalb eines Postfachs.
Bei einem Exchange kann man aber auch per Transportregel den Nachrichtenfluss ordentlich manipulieren. 😔
Was spuckt den auf deinem Exchange-Online ...
... aus?
Was meinst du den genau mit "zu gmail"?
Gruss Alex
Am Sonntag noch eine Antwort bekommen - meine Güte ;)
na klar, das ist bei vielen ITler einer der produktivsten Tage, weil an diesem nicht ständig irgend ein Anwender/Kunden dazwischenkommt. 🤪
Ich habe den Tenant vor einem Jahr auch so eingestellt, dass ich eine Mail bekomme, falls jemand eine Weiterleitung aktiviert. Das funktioniert tatsächlich überraschend gut ^^
Du meinst damit bestimmt die Weiterleitung innerhalb eines Postfachs.
Bei einem Exchange kann man aber auch per Transportregel den Nachrichtenfluss ordentlich manipulieren. 😔
Was spuckt den auf deinem Exchange-Online ...
Get-TransportRule | Select *... aus?
Jedoch gingen bereits Ende November die Mails zu gmail.
Was meinst du den genau mit "zu gmail"?
Gruss Alex
sorry für die späte antwort.
zu euren fragen:
Die Transportregeln habe ich geprüft. Dort sind nur meine Regeln enthalten, die auch gewollt sind.
Die Logs im Exchange, wie gesagt, zeigen keinerlei Kontakt zu Gmail - weder für den Empfang, noch für das Senden.
Daher halte ich es auch für mehr als wahrscheinlich, dass sich ein Dritter an einen Account angemeldet hat, der auch das TeamPostfach im Zugriff hat.
Mittlerweile habe ich die 80% der Rechner komplett neu aufgesetzt und MFA komplett bei Entra erzwungen. Auch mussten die User neue PWs vergeben. Danach habe ich noch mal die Zwangsabmeldung für alle User initiiert.
Ich glaube, mehr kann man fast nicht mehr machen - bin aber für Vorschläge immer offen.
Ich möchte mich aber auch jetzt schon für die Angebote bedanken, die per DM kamen.
zu euren fragen:
Die Transportregeln habe ich geprüft. Dort sind nur meine Regeln enthalten, die auch gewollt sind.
Die Logs im Exchange, wie gesagt, zeigen keinerlei Kontakt zu Gmail - weder für den Empfang, noch für das Senden.
Daher halte ich es auch für mehr als wahrscheinlich, dass sich ein Dritter an einen Account angemeldet hat, der auch das TeamPostfach im Zugriff hat.
Mittlerweile habe ich die 80% der Rechner komplett neu aufgesetzt und MFA komplett bei Entra erzwungen. Auch mussten die User neue PWs vergeben. Danach habe ich noch mal die Zwangsabmeldung für alle User initiiert.
Ich glaube, mehr kann man fast nicht mehr machen - bin aber für Vorschläge immer offen.
Ich möchte mich aber auch jetzt schon für die Angebote bedanken, die per DM kamen.
Hast Du denn alle ggf. autorisierten Drittanbindungen und app Kennwörter zurückgesetzt? Wenn nicht vorhanden, dann natürlich nicht erforderlich, aber wenn vorhanden, dann reicht das Abmelden der normalen User (Zugänge) nicht.
tatsächlich hatten und haben wir keine Drittanwendungen für die MS-Cloud. Hier waren nur die "Standard-Apps" aus dem Office-Umfeld verbunden. Das bin tatsächlich bei allen User einzeln durchgegangen.
