nightmum83
Goto Top

Ungebetener Gast im System schickt "Word-Dokument" raus

Guten Morgen,

Bei mir auf der Arbeit werden hin und wieder wohl vereinzelt E-Mails an Kunden und Lieferanten geschickt die ein Word-Dokumente als angebliche Rechnungen erhalten.
Ich kam noch nicht dazu alle Rechnern zu scannen (bin mir aber auch nicht sicher ob McAfee und Avira hier ausreichen) und habe auf den gescannten nur genau 2 Maleware Probleme gehabt.
Wie finde und vorallem löse ich die Angelegenheit?
Zum Untersuchen des Elements selbst bin ich bisher nicht gekommen.
Allerdings weiß ich, dass versucht wurde das Dokument zu öffnen, was "offensichtlich nicht geht".
Da ich es noch nicht untersucht habe kann ich noch keinen Aufschluss über die Natur des "Besuchers" geben.

Hoffe ihr könnt mir helfen und ein besseres Antivirus Programm empfehlen

Lg

Content-ID: 394146

Url: https://administrator.de/forum/ungebetener-gast-im-system-schickt-word-dokument-raus-394146.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Archeon
Archeon 29.11.2018 um 07:01:50 Uhr
Goto Top
Guten morgen,

ein paar mehr Infos zu deiner Infrastruktur wären hilfreich.
Prinzipiell solltest du alle Rechner vom Netz nehmen, offline scannen und erst wieder ans Netz lassen, wenn die wirklich sauber sind.
Im Optimalfall installierst du die Systeme sauber neu, dann kannst du wenigstens auf Nummer sicher gehen, alles erwischt zu haben.
Wie werden denn bei euch Mails verschickt und kommen die auch sicher aus eurem Netz oder nutzt ggf. nur jemand euren Alias?

Gruß
maretz
maretz 29.11.2018 um 07:09:56 Uhr
Goto Top
Moin,

also du hast eigentlich noch nix getan um es selbst zu lösen.. hast auch keine Infos - aber möchtest hier wissen was du tun sollst?
Mit den wenigen Infos kann man nur sagen: Alle rechner neu aufsetzen - und ggf. am Ende feststellen das nur jemand eure Mail-Adresse missbraucht... Aber ich gehe mal davon aus das du erst mal etwas eigeninitative ergreifen möchtest bevor du hier genauere Tips erwartest...
wiesi200
wiesi200 29.11.2018 um 07:10:56 Uhr
Goto Top
Hallo,

die erste Frage, die sich mir stellen würde. Sind die wirklich aus meinem Haus, oder ist nur der Absender "gefälscht".
Ex0r2k16
Ex0r2k16 29.11.2018 um 07:17:34 Uhr
Goto Top
das isses. Ich hatte jetzt auch schon diverse .doc Mails mit gefälschtem Absender (also "quasie" firmenintern) und schlechtem deutsch sowie einer falschen Signatur im Umlauf.
maretz
maretz 29.11.2018 um 07:21:25 Uhr
Goto Top
und woher weisst du das es das hier auch ist? Und nicht irgendein Virus, Trojaner oder böser Mitarbeiter? Ich hatte es auch schon mal das mein Auto stehen geblieben ist weil sich die Steuerkette zerlegt hat (...BMW 1er...). Ist jetzt also jedes Auto was am Rand steht automatisch auch nen Fehler mit der Steuerkette?!?
timene0
timene0 29.11.2018 um 07:22:05 Uhr
Goto Top
Guten Morgen....

Wie geschrieben, erstmal den Empfänger bitten dir die Mail oder gleich den Header zu schicken.
Du musst halt wissen, ob die Mail wirklich aus euren Haus stammt, oder ob einfach der Absender gefälscht wurde.

Falls Absender gefälscht, würde ich zu einem SPF Eintrag raten, das verhindert einiges.


2 Malware Probleme sind 2 zu Viel, aber wir kennen deine Umgebung ja nicht.


Grüße
wiesi200
wiesi200 29.11.2018 um 07:36:23 Uhr
Goto Top
Genau,

erst mal Untersuchen, dann handeln.
Alles andere ist Sinnlos und Zeitverschwendung.
Nightmum83
Nightmum83 29.11.2018 um 07:57:40 Uhr
Goto Top
Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Archeon
Archeon 29.11.2018 um 07:59:21 Uhr
Goto Top
Das solltest du aber definitiv prüfen und nicht einfach nur davon ausgehen.
Die anderen an dich gestellten Fragen darfst du übrigens auch gern beantworten face-wink
wiesi200
wiesi200 29.11.2018 um 08:03:22 Uhr
Goto Top
Zitat von @Nightmum83:

Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.

Du kannst dir nicht sicher sein. Du z.b. bekommst nur von denen Rückmeldung.
Keine Vermutungen wenn man das absichern kann. Dauert nur ein paar Minuten und bist die 100% sicher.
manuel-r
manuel-r 29.11.2018 aktualisiert um 08:12:06 Uhr
Goto Top
Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.

Lass dir von den betroffenen Kontakten die Mailheader schicken und schau da rein. Alles andere ist "im Trüben fischen".
Während du auf die Infos wartest kannst du schon mal ins Logs deines Mailserver schauen, ob es da Auffälligkeiten im Zusammenhang mit den fraglichen Empfängern gibt.

Manuel
maretz
maretz 29.11.2018 um 08:12:43 Uhr
Goto Top
Das ist schön das du davon ausgehst... und woher WEISST du das? Euer Kunde/Lieferant wird vermutlich bei sowas anrufen weil der ja Kontakt zu euch hat. Meinst du ernsthaft das ich auch nur ne Sekunde hier damit verschwenden würde Firmen von denen ich den Müll erhalte zu informieren? Die Mail geht in die Tonne zu den 50 anderen in der Woche und gut... Mir würde sowohl die Zeit als auch die Lust fehlen mich mit den Firmen in Kontakt zu setzen - ich müsste ja:
- Die Mail dafür erst mal öffnen
- Ggf. das Attachment öffnen um zu gucken ob es überhaupt ne valide Formatierung (z.B. Briefkopf,...) enthält
- Bei Google nach der Firma suchen
- Dort den korrekten Ansprechpartner ermitteln
- Dem das ganze Weiterleiten und ggf. sogar noch Rückfragen beantworten
--> oder ich lösch die Mail einfach und es geht mir gepflegt am Ar... vorbei (wie die anderen 1000 Spammails auch).

Woher weisst du also wer jetzt wirklich solche Mails bekommen?
St-Andreas
St-Andreas 29.11.2018 um 08:17:37 Uhr
Goto Top
Moin, hier ein ganz klarer und ernstgemeinter Rat: Such Dir ein Systemhaus das Dich hier unterstützt.
Dir fehlt offensichtlich das notwendige Wissen.
maretz
maretz 29.11.2018 um 08:19:49 Uhr
Goto Top
Naja - zumindest die ersten Sachen kann man idR. auch selbst schon prüfen - z.B. ob der Mailserver überhaupt zu den fraglichen Zeiten was an den Empfänger gegeben hat... Dafür brauchts noch kein Systemhaus. Wenns aber schon anfängt mit "ich hab eigentlich noch nix getan" dann dürfte es schwer werden...
St-Andreas
St-Andreas 29.11.2018 um 08:21:46 Uhr
Goto Top
Eben. Und ich wette ne Kiste Bier, da liegt mehr im Argen als nur 2 Malwarefunde.
Archeon
Archeon 29.11.2018 um 08:27:54 Uhr
Goto Top
Da würde ich mit einsteigen face-wink

Sollte sich raus stellen, dass die Mails wirklich von euch kommen, solltest du den Rat mit dem Systemhaus annehmen, ich denke du selbst wirst sonst nicht Herr (Frau) der Lage.
Penny.Cilin
Penny.Cilin 29.11.2018 um 08:40:50 Uhr
Goto Top
Zitat von @Nightmum83:

Die Mails gehen ausschließlich an Kunden und Lieferanten, somit schließe ich einen Absender Missbrauch eher aus.
Mutmaßungen helfen hier NICHT weiter.
Wie schon mehrfach geschrieben, lasse Dir die E-Mails mit den vollständigen Header-Informationen zukommen.
Dann besorge Dir beispielsweise c't Desinfec't und scanne Deine Rechner offline.
Ich empfehle Dir auch das dazugehörige Sonderheft.

Wenn Dur weitere Informationen hast, kannst Du diese hier posten, damit wir Dir weiter helfen können.

Gruss Penny.
117471
117471 29.11.2018 um 09:10:34 Uhr
Goto Top
Hallo,

sicher, dass die E-Mails überhaupt von euch sind?

Ich kann jede Adresse als Absender auf die Rückseite eines Briefumschlages schreiben, bevor ich ihn in den Briefkasten werfe.

Gruß,
Jörg
Nightmum83
Nightmum83 29.11.2018 um 09:26:19 Uhr
Goto Top
Eigene Initiative als Laie ist nicht unbedingt so einfach.
Evtl möchten Sie auch einfach noch mal mit dem richtigen Fuß aufstehen bevor Sie mich "anfahren"
Oder mir mitteilen, welche Initiativen ich ausser neu aufsetzen ergreifen soll.
Die Rechner alle platt machen und neu aufsetzen darf ich nicht so einfach, sonst hätte ich das getan zumindest so gebildet bin ich in der Materie...
Archeon
Archeon 29.11.2018 um 09:30:15 Uhr
Goto Top
Ohne das passende Wissen wird das aber sehr schwer hier was zu erreichen, du solltest ein Systemhaus dazu ziehen.
Welche Punkte geprüfte werden können bzw. müssen wurde ja bereits mehrfach erwähnt, prüfen ob die Mails wirklich von euch sind und wenn ja, definitiv Hilfe dazu holen.
Nightmum83
Nightmum83 29.11.2018 um 09:35:24 Uhr
Goto Top
Automatisch Abwesenheit antworten, antworten von Empfängern ob die Mails für sie sind und weil ich auf meine private E-Mail jene Mails bekommen habe.

Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.

Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Penny.Cilin
Penny.Cilin 29.11.2018 um 09:39:03 Uhr
Goto Top
Zitat von @Nightmum83:

Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Das sind Mutmaßungen. Hast Du die Header-Informationen der E-Mails? Denn nur so erhält Du die Informationen.

Alles andere ist Göaskugelraten.

Gruss Penny.
Archeon
Archeon 29.11.2018 um 09:43:38 Uhr
Goto Top
Es geht in der IT aber leider nicht immer nach Logik, sondern es müssen die Dinge geprüft und verifiziert werden.
tikayevent
tikayevent 29.11.2018 um 09:45:34 Uhr
Goto Top
Deine Mutmaßungen sind falsch. Wir haben das gleiche und wenn man sich die Header-Infos anschaut, sieht man, dass es einfach Fälschungen sind.

Bei uns wurde bei Geschäftspartnern auf Computer bzw. Postfächer zugegriffen und damit sind eben Kommunikationsbeziehnungen bekannt. Teilweise schicken sich unsere Mitarbeiter gegenseitig diese gefälschten Rechnungen zu.
Kraemer
Kraemer 29.11.2018 um 09:47:13 Uhr
Goto Top
Zitat von @Nightmum83:

Automatisch Abwesenheit antworten, antworten von Empfängern ob die Mails für sie sind und weil ich auf meine private E-Mail jene Mails bekommen habe.

Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.

Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist
Nur mal so als Hinweis, wie falsch du liegen kannst:
Den letzen Fall dieser Art, bei dem ich unterstützend tätig war, war nämlich ganz anders: Von einem Android-Gerät wurden Mailadressen, Signaturen und wer weiß noch was alles gestohlen. Mit diesen Informationen wurden dann über einen offenen SMTP-Server genau solche Mails verschickt.
Also besorg dir die verdammten Header! Ohne wirst du nicht wirklich weiter kommen.
Lochkartenstanzer
Lochkartenstanzer 29.11.2018 um 10:31:44 Uhr
Goto Top
Moin,

Als allererstes läßt Du Dir die Header der mails aushändigen, die angeblich von euch kommen. Dann kann man feststellen, ob die wirklich von euch sind, oder ob jemand einfach nur den falschen Absender draufgeschrieben hat.

Wenn diese Mails sich auf euch zurückführen lassen, sollte im Header stehen, welche Kiste diese Mails bei eurem Mailserver eingekippt hat, Notfalls schaut man un den Logs eures Mailservers nach der passenden message-ID.

Dann kann man gezielt die Kiste "rausziehen", die Blödsinn macht.

lks

PS: Such Dir einen Dienstleister, der Dich an die Hand nimmt.
fisi-pjm
fisi-pjm 29.11.2018 aktualisiert um 10:39:18 Uhr
Goto Top
Zitat von @Nightmum83:

Die Rechner alle platt machen und neu aufsetzen darf ich nicht so einfach, sonst hätte ich das getan zumindest so gebildet bin ich in der Materie...

Wäre auch der Overkill

Hi erst mal,

also folgendes Vorgehen nochmal zusammengefasst:

1.) Definitiv erst einemal feststellen ob die E-Mail aus dem eigenen Haus kommen (Mail Header auf eigenen Mailserver untersuchen, zur Not fesstellen wem der Mailserver gehört, wenn möglich, und den melden) --> zu 90 % wahrscheinlich nur eine gefäkschte Absendeadresse.
Der Versand "nur" an Kunden ist kein Indikator das die Mails aus eurem Haus kommen. Siehe Post von Kraemer.

Wenn Punkt 1 Tatsächlich ergibt das es aus dem eigenen Haus kommt --> Herausfinden welcher Benutzer bzw. welcher PC die schleuder ist. PC aus einem sauberen Backup wiederherstellen, oder neu aufsetzen.
Danach alle anderen Systeme Scannen, da führt dann kein weg drumherum.

Kleiner Wink am Rande, wenn ihr Tatsächlich die schleudern seid, dann dauert es auch nicht lange bis ihr auf Blacklists landet und euer Mailversand generell gestört ist. Hier gilt je früher desto besser, also lieber aktuell ein bisschen Geld in die Hand nehmen für einen ordentlichen Support, als später wesentlich teureres Lehrgeld zu bezahlen.

Man erwartet nicht das jeder alles kann, aber erwarten dass man komuniziert wenn man einer Aufgabe noch nicht gewachsen ist gehört zu einem Seriösen auftreten dazu.

vG
PJM
Bem0815
Bem0815 29.11.2018 um 15:16:07 Uhr
Goto Top
Würden alle Unternehmen ordentlich für den Mail Empfang HELO-Filter verwenden (sowie alle Firmen ihren RDNS für MX richtig konfigurieren) könnte man sofort sagen, dass das Problem liegt tatsächlich bei euch auf einem der Rechner.

Dann gäbe es bei euren Geschäftspartnern nämlich gar nicht die Möglichkeit, das jemand fremdes mit gefälschtem Absender in eurem Namen Mails von einem Rechner sendet, der sich außerhalb des Unternehmens befindet. Die würden sofort durch den Filter fallen.

Unter solche Voraussetzungen könnte man auch definitiv sagen, euer System wäre befallen.

Aber da das ja Wunschdenken ist bleibt das ohne den Header, wie auch andere schon gesagt haben, ein Blick in die Glaskugel.
maretz
maretz 29.11.2018 um 16:42:30 Uhr
Goto Top
Sorry, ernsthaft jetzt? Gut, dann können wir auch gleich anfangen: Wenn alle Menschen nett wären bräuchten wir gar keine Filter - weils ja dann keine Spam-/Virenversender gibt... oh, und eigentlich bräuchten wir ja auch keine Mail - weil man das eben am Telefon bespricht und sich einfach jeder an Absprachen hält...

Soll ich weitermachen?
Bem0815
Bem0815 29.11.2018 um 17:21:28 Uhr
Goto Top
Dein Vergleich hinkt, da du hier Äpfel und Birnen vergleichst.
Beim einen geht es um grobe Fahrlässigkeit bei der Security.
Beim anderen um vorsätzliche Umgehung dieser.

Das wäre wie als würde ich sagen, wenn jeder einen Airbag im Auto hätte, gäbe es weniger Schwer-verletzte bei Unfällen.
Und du würdest sagen wenn es weniger illegale Autorennen geben würde gäbe es weniger Schwer-verletzte.

Beides mag richtig sein, aber ersteres sollte einfach als Standard gelten den man einhalten sollte.
Wer es nicht macht handelt halt fahrlässig.

Zweites ist schlichtweg illegal, es werden aber sowieso irgendwelche Idioten machen und andere damit reinziehen.
Das ist dann auch nicht fahrlässig sondern Vorsatz.
fredmy
fredmy 30.11.2018 um 09:57:07 Uhr
Goto Top
Zitat von @Nightmum83:

Insofern sagt mir das logische Verständnis, dass wer oder was auch immer Zugriff auf unser Adressbuch hat. Und da die Passwörter seit dem ersten Auftritt bereits 2 mal geändert wurden und das nichts brachte steigt die Wahrscheinlichkeit, dass es etwas im System ist

1. Dann stehen sie auch im Log deines SMTP-Servers, wenn sie von Euch gesendet worden sinf.
2. sehr lustige Annahme, das Adressen NUR bei Euch im Adressbuch stehn
3.: schrieb mir eine PM mit sdeinen Wünschen und ich schicke dir eine Antwort von dem von dir gewünschten Ansenderdaten (zumindest stehts auf dem Umschlag so)

Fred
Nightmum83
Nightmum83 01.12.2018 um 11:26:10 Uhr
Goto Top
Zitat von @Penny.Cilin:



Das sind Mutmaßungen. Hast Du die Header-Informationen der E-Mails? Denn nur so erhält Du die Informationen.

Alles andere ist Göaskugelraten.

Gruss Penny.


Guten Morgen,

Ich habe gestern diverse Header untersucht.

Absender und IP's sind alle unterschiedlich.
Ausserdem habe ich den Chef zumindest schon Mal soweit, dass er eine professionelle Security Software besorgt hat. Ich warte derzeit auf die Lizenzen um die Rechner dann damit erneut zu prüfen.


Die Frage die sich mir jetzt im Moment noch stellt, bedeutet unterschiedliche Header auch immer unterschiedliche Sender?

Ausserdem habe ich jetzt beim Check des Spam-Ordners festgestellt, dass einige der Kontakte nun "ebenfalls solche Mails verschicken" ich vermute sie waren so doof und haben versucht das angebliche Word Dokument zu öffnen .... Dieses konnte ich leider noch nicht Untersuchen, da ich das nicht in einem ungesicherten Desktop Bereich machen wollte.

Weiter erscheint es so, dass die bezogenen Infos/Mail Signatur vom Rechner meines Vorgesetzten kommt.

Wenn ich da am Montag endlich mal ran darf, kann ich prüfen ob er aktuell infiziert ist mit etwas oder ob sich nur jemand einmalig Zugriff verschafft hatte.

Zur Struktur.. 6 Rechner im Netzwerk zum Arbeiten mit den "unwichtigen" Programmen darauf (leider NOCH alle mit Admin geführt) und einen weiteren Rechner, der als eine Art Server funktioniert auf dem die wichtigen Programme drauf laufen. Also firmenklient zb den hat damals (gott sei Dank) ein IT Spezialist eingerichtet, der sollte also Recht sicher sein. Bevor jetzt kommt "dann Ruf den an" versuche ich schon seit Tagen, da ich ihn nicht erreiche bin ich hier.
117471
117471 01.12.2018 um 12:33:13 Uhr
Goto Top
Hallo,

Zitat von @Nightmum83:

Ich habe gestern diverse Header untersucht.

Absender und IP's sind alle unterschiedlich.

Natürlich.

Ausserdem habe ich den Chef zumindest schon Mal soweit, dass er eine professionelle Security Software besorgt hat.

Und was soll die bewirken? Die E-Mails stammen nicht von euren Systemen, siehe oben. Genau so gut könntest Du die Blumen auf den Fensterbänken gießen und dann hoffen, dass es aufhört.

Die Frage die sich mir jetzt im Moment noch stellt, bedeutet unterschiedliche Header auch immer unterschiedliche Sender?

Weiter erscheint es so, dass die bezogenen Infos/Mail Signatur vom Rechner meines Vorgesetzten kommt.

Aha - trotz der "unterschiedlichen" IP-Adressen (siehe oben)?

Ernsthaft - Du solltest dich um professionelle Hilfe (Systemhaus o.Ä.) bemühen. Mit deiner Frickelei und Glaskugelraterei vermittelst Du deinen Vorgesetzten gegenüber den Eindruck, als könntest Du konstruktiv zur Lösung der Problematik beitragen.

Dazu fehlt Dir jedoch eindeutig das Grundlagenwissen.

Falls Du dir einmal durchlesen möchtest, was für eine Verantwortung Du blauäugig übernimmst, kannst Du das u.A. hier nachlesen: https://www.kanzlei.de/archiv/virenhaftg-htm

Bist Du dir wirklich sicher, dass Du da eine entsprechende Berufsausbildung und Erfahrung hast?

Gruß,
Jörg
117471
117471 01.12.2018 um 12:35:44 Uhr
Goto Top
Hallo,

Zitat von @Nightmum83:

Bei einem Fake Absender/Absender Missbrauch verhält es sich eher so, dass ständig "konnte nicht zugestellt" Nachrichten kommen.

Blödsinn. Das war vielleicht mal vor 10 Jahren der Fall. Inzwischen haben diese E-Mails exakt einen Absender und einen dazu passenden(!) Empfänger, so dass Backscatter relativ selten geworden sind.

Gruß,
Jörg
Nightmum83
Nightmum83 01.12.2018 um 13:09:26 Uhr
Goto Top
Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...
Damit meine ich, dass die Mails die Signatur und Namen von meinem Vorgesetzten verwenden. Und somit auch die Kontaktdaten sich von dort geholt haben könnten.

Was die Software bewirken soll. Ungeachtet des aktuellen Vorfalls sicherstellen, dass das System nicht doch irgendwann mit wer weiß was infiziert ist und die Daten noch besser sichern.

Ich bemühe mich um das Systemhaus, den für uns zuständigen IT erreiche ich nur nicht, also versuche ich durch Kommunikation hier herauszufinden ob ich wenigstens überhaupt etwas tun kann um den Zustand nur auf "ist" zu halten und nicht noch einen worst case herauf zu beschwören.
Mein Chef ist leider noch unerfahrener als ich, was nicht heißen soll, dass ich mich als qualifiziert empfinde. Und bevor mein Chef weiter auf die Idee kommt "die Datei geht nicht zu öffnen guck.... *Klick*", greife ich lieber mit meinem "unwissen" ein und sage ihm, dass er eine Profi Business Security besorgen soll. Denn der Grundsatz "erst denken, dann klicken" scheint an ihm vorbei gegangen zu sein.

Ich habe zumindest irgendwann einmal das berufliche Gymnasium für Datenverarbeitung besucht und einen Clan-Server gehostet... Liegt weit zurück und ist noch immer weit von dem Wissen entfernt, dass ich benötigen würde an der Stelle aber zumindest eine bessere Ausgangssituation um dafür zu sorgen, dass nichts noch schlimmeres passiert.
117471
117471 01.12.2018 um 15:23:34 Uhr
Goto Top
Hallo,

Zitat von @Nightmum83:

Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...

Wie gesagt - letztendlich ist es deine Verantwortung. Dein Vorgesetzter hat die mal „fein weggeschoben“.

Viel Erfolg!

Gruß,
Jörg
maretz
maretz 01.12.2018 um 15:29:33 Uhr
Goto Top
Ich möchte dich nicht enttäuschen aber ob das besser ist steht auf einem anderem Blatt.... Denn leider ist Halbwissen oft sogar gefährlicher als Unwissen weil man GLAUBT etwas zu können und somit denkt das es korrekt ist was man macht.

Allerdings würde ich eben auch sehen das du nen gutes Systemhaus ranbekommst die sich das mal vor Ort angucken... Denn auch dein "profi-tool" ist sinnlos wenn man nicht weiss was man macht. Es dauert genau 0,5 minuten und ich kann dir nen Virus bauen der an deinem Profi-Tool lächelnd vorbeizieht weils eben die Signatur nicht kennt (klar, is ja auch dann nur für dich zusammengezimmert). Was du aber dein Systemhaus fragen kannst - nach einem Mail-Filter der zumindest schon mal die Viren-Mails vom User fernhält. Das löst nicht alles - aber zumindest 95% kommen gar nicht soweit das jemand klicken könnte. Und somit auch nich auf die Idee kommt das man ja auf "mach trotzdem" klicken kann wenn der Virenscanner hochpoppt das es was verdächtiges is und das es äusserst blöd wäre jetzt das doch zu machen.
fredmy
fredmy 02.12.2018 aktualisiert um 18:13:02 Uhr
Goto Top
Zitat von @Nightmum83:

Wie ich sagte es scheint so als würden die Infos und Mails von dem Rechner kommen...
Damit meine ich, dass die Mails die Signatur und Namen von meinem Vorgesetzten verwenden. Und somit auch die Kontaktdaten sich von dort geholt haben könnten.

Eigentlich hilft dir jedes qualifizierte "Systemhaus" oder eben IT-Dienstleister - Problem ist das ..qualifizierte..


Mein Chef ist leider noch unerfahrener als ich, was nicht heißen soll, dass ich mich als qualifiziert empfinde. Und bevor mein Chef weiter auf die Idee kommt "die Datei geht nicht zu öffnen guck.... *Klick*", greife ich lieber mit meinem "unwissen" ein und sage ihm, dass er eine Profi Business Security besorgen soll.

Denn der Grundsatz "erst denken, dann klicken" scheint an ihm vorbei gegangen zu sein.
Dagegen kann eh keiner was tun.. ist ja Sinn der "Angriffe mit social engeneering" Da hilft normalerweise auch kein Virenscanner oder sowas (zumindest in den ersten Tagen..Wochen)

Ist aber ein völlig anderes Thema; wichtiger sind ordentlich eingestellte Mailsysteme (SPF) auch bei Euch ankommend (und abgehend ist nicht schlecht)
Such dir einen Externen der sich bei Mail auskennt (sowohl Win als auch Linux oder BSD) und spar dir die Mühe wenn die Mails (Header hast du ja) nicht von Eurem Mailserver gesendet worden sind.
Dagegen hilft nur SPF ... sprich der empfangende Server prüft ob die Quell-IP identisch ist mit dem MX-Eintrag im DNS..ansonsten 5xx oder mindesten 4xx

Fred
yaDur1
yaDur1 03.12.2018 um 11:42:48 Uhr
Goto Top
Moin moin,

vielleicht habe ich es ja überlesen, aber ich finde keine Info, ob ihr einen eigenen EmailServer betreibt (z. B. einen Exchange Server von MS) oder ob ihr die MailServer eures Providers (z. B. Telekom) bzw. eines anderen Anbieters (z. B. DomoinFactory) nutzt.
Mach einfach mal ein Outlook auf (oder welches Email Programm ihr auch nutzt) und schau unter den Kontoeinstellungen nach, wohin verbunden wird.

Ist der Server extern (und damit liegen dort höchstwahrscheinlich auch die Kontakte), dann kannst dir den ganzen Aufwand intern erstmal sparen (was nicht bedeuten soll, dass die interne Sicherheit unwichtig wäre..).

Ansonsten erstmal den Orginialheader der Emails checken (wie bereits mehrfach geschrieben) und kontrollieren, ob die Emails wirklich über euren Server versendet werden, oder ob es schlichtweg gefälschte Absenderadressen sind.

Sollte der Absender wirklich "echt" sein, hängt die weitere Vorgehensweise davon ab, wo euer Server steht (siehe oben).

Ciao
yaDur
fisi-pjm
fisi-pjm 06.12.2018 um 16:08:49 Uhr
Goto Top
Hey,

nach den weiteren Erkenntnissen. Hier die absolute Empfhelung - Sucht euch unbedingt jemand der sich mit der Materie auskennt!!! Scheinbar scheint es jemand zu geben der sich um eure IT kümmert, nutzt diese Situation mal um euer derzeitiges gebilde zu überdenken, kleiner Tipp am Rande.
Erst mal ein Antiviren Programm anschaffen, ist wie mal schön Breitbandantibiotika rein ballern weil man sich beim Trinken verschluckt hat. Bringt dir null und schadet eher als es hilft. Soll heisen, läuft dein Virenscanner bei sensiblen Dateien amok und du hast keine Backups bist du danach schlechter dran als vorher.

Erst zusammenhänge verstehen, dann handeln!

gruß
PJM
Ex0r2k16
Ex0r2k16 10.12.2018 um 10:04:40 Uhr
Goto Top
naja...so schlimm ist ein (Marken-) AV auf nem 0815 Office Client nun auch wieder nicht. Aber stimmt schon, Backups muss man haben.
117471
117471 10.12.2018 um 10:58:36 Uhr
Goto Top
Hallo,

Zitat von @Ex0r2k16:

naja...so schlimm ist ein (Marken-) AV auf nem 0815 Office Client nun auch wieder nicht

Hast Du 'ne Ahnung.

Es soll sogar schon vorgekommen sein, dass die mit eigenen Stammzertifikaten SSL-Verbindungen analysieren.

Gruß,
Jörg
wiesi200
wiesi200 10.12.2018 um 12:20:57 Uhr
Goto Top
Bei uns hat er jetzt beim Abspeichern unserer CNC Programme, eben diese geschreddert.
Wenigsten's ist's am selben Tag aufgefallen. Da bei einer neuen Datei ja noch kein Backup da sein kann.
Ex0r2k16
Ex0r2k16 10.12.2018 um 12:35:21 Uhr
Goto Top
deswegen schrieb ich ja auch von 0815 Office Clients =)