derwowusste
Goto Top

Ungewollter Datenabfluss via Mail dank Outlooks Autovervollständigung

Moin.

Ich möchte mal einen witzigen Sicherheitsvorfall mit Euch teilen.
Und zwar hat bei uns ein neuer Kollege angefangen und diesen weist die IT natürlich auch sicherheitstechnisch ein.
Er hat z.B. gelernt, dass wir Mails immer digital signieren und somit mit Sicherheit sagen können, ob eine Mail z.B. wirklich von unserem Geschäftsführer kommt, oder Phishing ist. Hat ihm gut gefallen...

...so gut, dass er einem Phisher, der ihm als "Geschäftsführer" (Mailalias war in der Tat der richtige Name) Anweisungen geben wollte, doch bitte ein paar Amazon-Geschenkgutscheine zu kaufen, aufzurubbeln und ihm Fotos davon zu schicken, "eine lange Nase zeigen wollte", indem er ihm geantwortet hat und ihm schrieb, dass er wisse, was Phishing ist. Der Phisher war daraufhin still.

Nun war aber die Mailadresse des Phishers durch das bloße Antworten im Autovervollständigungsspeicher ("NK2") von Outlook. Als dieser neue Mitarbeiter dann ein paar Tage später eine Mail an den GF schreiben wollte, wurde ihm nur die Adresse des Phishers vorgeschlagen (VornameGF NachnameGF <badboy@mail.ru>), welche er blind auswählte denn unseren GF hatte er zuvor noch nie angeschrieben. So gingen dann ein paar Interna an einen Phisher... Tja.

Wir haben nun als IT überlegt, ob man vorsichtshalber die NK2-Speicher monitoren sollte nach Domains, die mit Sicherheit nicht dienstlich genutzt werden (wir schreiben z.B. mit Sicherheit nichts an russische Domains), aber es gibt ja endlos viele Domains. Ich habe daraufhin gestern eine Frage gestellt, ob es Hinweise gibt, welche Maildomains derzeit von Phishern am liebsten genutzt werden. Falls also jemand dazu noch etwas beitragen möchte, verlinke ich auch diese Frage: Beliebte Phisher-Maildomains

Content-ID: 668248

Url: https://administrator.de/contentid/668248

Printed on: October 13, 2024 at 11:10 o'clock

itisnapanto
itisnapanto Sep 19, 2024 at 11:08:40 (UTC)
Goto Top
Moin,

da sieht man es immer wieder . Das Größte Sicherheitsproblem sitzt vor dem Bildschirm
Glaube ganz eindämmen kannst du es nicht. Wir nutzen Geoblocking im Mails aus Ländern zu verhindern mit denen wir eh nix am Hut haben. Ansonsten hilft nur noch das Cat 9 Kabel :D.

Gruss

Ps. Wie alt ist denn euer Outlook wenn ihr noch NK2 Dateien habt
StefanKittel
StefanKittel Sep 19, 2024 at 11:13:42 (UTC)
Goto Top
Na Autovervollständigungen gibt ja überall und immer.

Eine Brainstorm Idee wäre Empfänger in 3 Gruppen aufzuteilen.
Internet, Häufige Kontakt und Andere.

Wenn man an Andere was schickt bekommt man eine Meldung zum bestätigen, dass man an einen Kontakt senden mit dem nicht häufig kommuniziert wird. Sei es addon in Outlook oder als Mail wo man was anklicken muss.

Ja, ist nicht zu Ende gedacht.


Alternativ gibt es Angebot die das abfließen von internen Informationen verhindern können.
Vieleicht könnt Ihr davon etwas einsetzen was schon fertig und erprobt ist.

Stefan
ukulele-7
ukulele-7 Sep 19, 2024 at 11:24:24 (UTC)
Goto Top
Bei uns ist die Vorschlagsfunktion von Mail-Adressen abgeschaltet - Adressen sind immer aus dem Adressbuch auszuwählen.

Ist lästig, hat aber noch den netten Nebeneffekt das kein Winmail.dat-Problem aus diesen Kontakten resultiert.
C.R.S.
C.R.S. Sep 19, 2024 updated at 12:50:34 (UTC)
Goto Top
Gemessen am einzelnen Vorkommen wahrscheinlich der häufigste Datenschutzvorfall in Unternehmen überhaupt.
Abschalten ist eine Möglichkeit.

Warum sowas Simples wie eine Domain-Sperre über den Client lösen? Das gehört eigentlich auf den MTA bzw. dessen Netzwerksicherheit. Ein schlechter MX ist aussagekräftiger als eine schlechte Domain, und im Mailing kann man noch effektiv mit Geo-Restriktionen arbeiten.
Der Bedarf an Domain-Sperren geht in der Regel auch über Phishing hinaus, Richtung DLP. Soweit kuratierte Listen Lücken lassen, könnt ihr all diese Daten individuell über eine Melde-Funktion für Phishing-Mails ziehen.

Grüße
Richard
viragomann
viragomann Sep 19, 2024 at 14:15:46 (UTC)
Goto Top
Outlook bietet ja auch einige Mailtips. Damit kann man ja auch schön Hinweise anzeigen, und das ist rasch eingerichtet.

Hier wäre der ExternalRecipients Mailtip interessant. Sobald der User eine externe Empfängeradresse eingibt, poppt oben ein Warnhinweis auf, dass der Empfänger außerhalb der Domain ist.
Das sollte einem Anwender eigentlich ins Auge stechen.
Der Warnhinweis bietet auch gleich die Möglichkeit, die externe Adresse wieder zu entfernen.

Grüße
sabines
sabines Sep 20, 2024 at 07:41:41 (UTC)
Goto Top
Moin,

wir sind dazu übergegangen im Zweifel auch mal domains zu kaufen, weil die Schusseligkeit einfach zu groß ist.
Insbesondere, wenn jemand aus bspw. tessin dann tesin oder tesssin oder so macht. Damit wird versucht unbeabsichtigten Datenabfluss zu verhindern.

Hier gibt es Leute, die noch nie ein Adressbuch benutzt haben, die rufen an und fragen nach dem Vornamen, damit sie eine Mail adressieren können, mit einer Frage, die sie auch in dem Anruf hätten stellen können.

Da hilft auch das Abschalter des Autovervollständigen nichts.

Ist ja heute Freitag, da passt sowas face-wink
DerWoWusste
DerWoWusste Sep 20, 2024 updated at 12:38:09 (UTC)
Goto Top
Also: ich hatte was zu erzählen, was ich als Erfahrung für wertvoll halte.
Weitere Tipps brauche ich eigentlich gar nicht. Nein, wir wollen keine Maßnahmen auf den Endpunkten und Geoblocking wird auch schon gemacht. Ging nur darum, Erhellendes zu erfahren, was die Erkennung von Phisher- und Spamdomains angeht. Aber das ist kompliziert und wohl nicht wirklich möglich, wie erhofft.

Egal, wir haben kein größeres Problem. Bald wird vermutlich auch noch eine Anhangsklassifizierung umgesetzt, die schon filtert, was wohin gehen darf und dann ist das eh erledigt.
C.R.S.
C.R.S. Sep 21, 2024 at 14:44:22 (UTC)
Goto Top
Zitat von @DerWoWusste:

Also: ich hatte was zu erzählen, was ich als Erfahrung für wertvoll halte.
Weitere Tipps brauche ich eigentlich gar nicht.

Das macht doch nichts. Deshalb ist es eine öffentliche Diskussion, aus der jeder mitnehmen kann, was er möchte, oder es lassen.
Bei dem Vorfall versagten die Eingangsfilterung, die Ausgangsfilterung und die Miterbeitersensibilisierung. Zumindest ein Leser, der sich darin wiederfindet, mag Verbesserungspotenzial sehen und praktikable Gegenmaßnahmen suchen. Der Beitrag dazu ist mehr der Zweck eines Forums, als die Innenperspektive von Themenerstellern nicht zu stören.