Interessanter Phishing-Versuch(?)

Mitglied: ukulele-7
Hallo Zusammen,

wir hatten heute eine bemerkenswerte "Phishing"-Mail. Bedenklich weil:

  • Der vermeintliche Absender (noreply@) eine lokale Bank ist, konkret eine Sparkasse in direkter Nachbarschaft. Die Absendedomain war zwar sparkasse.de und nicht die eigentliche Sparkasse, aber das ist schon gut gemacht.
  • Die Empfänger waren ALLE Geschäftsführer. Auch hier ein Schönheitsfehler: Ein GF wurde unter alter und neuer E-Mail Adresse angesprochen aber das bedeutet das hier Domain übergreifend eine gute Empfängerliste erstellt wurde.

Die E-Mail war nur Text und lief über einen Server p02eh.mail.s-web.de [195.140.96.5], vermutlich nicht das web.de . Damit sehr unverdächtig.

Größtes Manko: Es gibt keinen Rückkanal und keine Schadsoftware. Angeblich wurde unsere E-Mail Adresse (bei der Bank) geändert, aber wenn ich den Scammer dann nicht kontaktieren kann kriegt er ja auch keine Daten von mir - seltsam.

Content-Key: 1318360276

Url: https://administrator.de/contentid/1318360276

Ausgedruckt am: 26.10.2021 um 15:10 Uhr

Mitglied: aqui
aqui 28.09.2021 aktualisiert um 16:00:22 Uhr
Goto Top
"s-"web.de Kleiner aber feiner Unterschied ;-) face-wink
https://www.ip-tracker.org/lookup.php?ip=195.140.96.5
Mitglied: ukulele-7
ukulele-7 28.09.2021 um 16:06:40 Uhr
Goto Top
Ja das "vermutlich" war eigentlich nur Füllwort :-) face-smile Aber immerhin die Domain eines Deutschen Unternehmens, macht eine Abuse Meldung vielleicht sogar Sinn. Aber der Sache wollte der Admin der Bank schon nachgehen.
Mitglied: KowaKowalski
KowaKowalski 28.09.2021 um 16:16:39 Uhr
Goto Top
Zitat von @aqui:

"s-"web.de Kleiner aber feiner Unterschied ;-) face-wink
https://www.ip-tracker.org/lookup.php?ip=195.140.96.5

...das kommt wohl aus deren eigenem Netz

Finanz Informatik ist der Dienstleister der Sparkassen
Mitglied: aqui
aqui 28.09.2021 aktualisiert um 16:28:26 Uhr
Goto Top
Dann also doch wohl ein peinlicher Irrtum was Phishing ist und was nicht und du hast der freundlichen Sparkasse von Nebenan böses Unrecht angetan !!
Mitglied: ukulele-7
ukulele-7 28.09.2021 aktualisiert um 16:38:09 Uhr
Goto Top
Der Admin hat mir bestätigt es würde sich um keine echte Sparkassen-Mail handeln. Mal sehen ob er das revidiert.

Die haben natürlich ein Gateway in einem ihrer RZ, das hatte ich auch erst in Verdacht. Nur das kennt diese Mail-Adressen (aber eigentlich ja auch noch mehr), vielleicht läuft das ja doch Amok.
Mitglied: maretz
maretz 28.09.2021 um 17:44:33 Uhr
Goto Top
ganz ehrlich - die kommen doch mitttlerweile täglich, mal sparkasse, mal xyz-bank,.... üblicherweise mit "Neues Sicherheitsverfahren" was aktiviert werden muss... Verdächtig (und gut gemacht) wäre es aber erst wenn da nich als Anrede "Sehr geehrte Kunden:innen" o.ä. drin steht sondern der eigene Name UND die korrekte Konto-Nummer... bei allem anderem: Wer da noch drauf klickt dem kann man nich helfen - und wer dann noch seine Daten eingibt dem noch viel weniger...
Mitglied: LordGurke
LordGurke 28.09.2021 um 20:17:46 Uhr
Goto Top
Wenn euer Mailserver diese E-Mail von der oben genannten IP empfangen hat, dann kommt sie auch aus dem Netz der Sparkasse.
Hat die Mail eine DKIM-Signatur, die unter "s-web.de" liegt? Dann wären alle Zweifel ausgeräumt, dass die Mail wirklich von der Sparkasse resp. deren Dienstleister kommt.
Mitglied: ukulele-7
ukulele-7 29.09.2021 um 10:05:33 Uhr
Goto Top
Nein DKIM-Signatur is nich.
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 29.09.2021 aktualisiert um 10:48:37 Uhr
Goto Top
Nennt sich Spear Fisching, auf die Zielperson exakt zugeschnittene Mail um was abzugreifen.

Zufallstreffer gibts zwar immer mal, Amazon, VR-Bank, "Die Sparkasse", Postbank, man fühlt sich beim ersten Eindruck erstmal irgendwie angesprochen weil man da zufällig ein Konto hat, oder die Typen die sich als vermeintliche Vodaphone Vertriebler in unserem Firmenkunden-Nummernkontingent abtelefonieren, obwohl wir als Konzernkunde eine eigene Kundenbetreuung haben... dienstliche Vodaphone Nummer, aber Anruf von Leuten die offenbar Privatkunden was aufschwatzen wollen incl gefakter deutscher Absenderrufnummer (Cold Calls bei Privatpersonen sind seit 2 Jahren 100% illegal in Deutschland), da klingelt sofort was, das kann nicht echt sein.

Aber Informationen über Geschäftsführer kann man z.B. übers Handelsregister ermitteln, Zeitungen, unverfängliche Telefonate, und den Rest wohlmöglich im Darknet irgendwie besorgen. Und Zusch, 10 Bitcoins für die "Sparkasse" gekauft und überwiesen und weg. Man sollte die Einschläge näher kommen hören, und die Mitarbeiter verpflichtend 2x im Jahr an Cybersecurity-Schulungen teilnehmen lassen.
Mitglied: ukulele-7
ukulele-7 29.09.2021 um 12:37:28 Uhr
Goto Top
Für mich sprechen zwei Gründe gegen Spear Phishing:
- Die E-Mail ist zu harmlos, der betroffene konnte ja gar Schadsoftware ausführen, abrufen oder Daten preis geben. Einer echten Person als Angreifer wäre das sicherlich aufgefallen. Wenn das automatisch passiert ist war dem Angreifer vielleicht gar nicht bewusst das er grade E-Mails ohne Link raus haut.
- Wie gesagt einer der Empfänger war doppelt. Die alte E-Mail Adresse gibt es seit ~10 Jahren nicht mehr. Die ist aber auf besonders vielen Spam-Listen immer noch unterwegs.

Keine Sorge meine Anwender sind ziemlich sensibel was solche Fälle angeht. Aufgrund des Absende-Servers würde ich aber in diesem Fall auch eher Richtung Sparkasse gucken, da hat vielleicht auch einer Blödsinn gemacht.
Mitglied: aqui
aqui 30.09.2021 um 10:10:45 Uhr
Goto Top
Das Einfachste wäre ja mal bei die Sparkasse anrufen und nachfragen...bzw. denen mal einen Screenshot schicken. ;-) face-wink
Mitglied: ukulele-7
Lösung ukulele-7 30.09.2021 um 15:31:31 Uhr
Goto Top
Zitat von @aqui:

Das Einfachste wäre ja mal bei die Sparkasse anrufen und nachfragen...bzw. denen mal einen Screenshot schicken. ;-) face-wink


Zitat von @ukulele-7:

Der Admin hat mir bestätigt es würde sich um keine echte Sparkassen-Mail handeln. Mal sehen ob er das revidiert.
Aber ich vermute der Admin hat nicht Recht, die E-Mail kommt wirklich aus dem System der SPK. Am selben Tag gab es auch eine E-Mail-Adresse die dort von einem Berater geändert wurde.
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server10 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Speicherkarten (SD) im Netzwerk verfügbar machen (NAS) gelöst mathuVor 1 TagFrageSpeicherkarten7 Kommentare

Guten Morgen liebe Gemeinde :-) Ich habe eine Frage zu NAS Speichersystemen mit Speicherkartenkunktion. Bisher haben wir die folgenden Geräte von Synology (EDS14) genutzt. Diese ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...