8
Vermehrt Phishing mit abgegriffenen E-Mails, möglicherweise Zusammenhang mit Exchange-Vulns
Moin,
wir beobachten auf unseren Spamfiltern seit 2-3 Tragen ein deutlich gestiegenes Volumen an Spam/Phishing, wo offenbar vor kurzem abgegriffene E-Mail-Inhalte benutzt werden, um die Mails seriöser wirken zu lassen.
Gemeinsam ist, dass die betroffenen Korrespondenten auf mindestens einer Seite einen Exchange-Server stehen haben. Hier gibt es möglicherweise einen Zusammenhang mit den zuletzt gemeldeten Sicherheitslücken CVE-2023-21529, CVE-2023-21706, CVE-2023-21707, CVE-2023-21710.
Alle derartigen E-Mails tragen keine gefälschten Absender sondern kommen von offenbar explizit dafür registrierten Domains, die auf den ersten Blick unverdächtig aussehen. Die E-Mails selbst enthalten keine Anhänge und nur einen kurzen unverdächtigen Text ohne Links. Dadurch sind sie wirklich schwer automatisiert zu filtern, bisher greifen unsere Filter über andere "Umstände", auf die ich nicht öffentlich im Detail eingehen will.
Sinn der E-Mails soll vermutlich sein, dass man eine Kommunikation in Gang bringt und in deren Verlauf dann Malware untergeschoben bekommt oder Geld irgendwohin schicken soll.
Der Grund warum das jetzt aktuell deutlich verstärkt auftritt liegt vermutlich darin, dass jetzt alle (jaja, ich weiß) Exchange-Server gegen diese Sicherheitslücke gepatched werden und die kopierten Mailinhalte nicht zu alt sein dürfen, um noch unverdächtig zu erscheinen.
In jedem Fall sollte man momentan besonders wachsam bei sowas sein, auch wenn man selbst keinen Exchange-Server betreibt, denn die E-Mail könnte am anderen Ende abegriffen worden sein.
wir beobachten auf unseren Spamfiltern seit 2-3 Tragen ein deutlich gestiegenes Volumen an Spam/Phishing, wo offenbar vor kurzem abgegriffene E-Mail-Inhalte benutzt werden, um die Mails seriöser wirken zu lassen.
Gemeinsam ist, dass die betroffenen Korrespondenten auf mindestens einer Seite einen Exchange-Server stehen haben. Hier gibt es möglicherweise einen Zusammenhang mit den zuletzt gemeldeten Sicherheitslücken CVE-2023-21529, CVE-2023-21706, CVE-2023-21707, CVE-2023-21710.
Alle derartigen E-Mails tragen keine gefälschten Absender sondern kommen von offenbar explizit dafür registrierten Domains, die auf den ersten Blick unverdächtig aussehen. Die E-Mails selbst enthalten keine Anhänge und nur einen kurzen unverdächtigen Text ohne Links. Dadurch sind sie wirklich schwer automatisiert zu filtern, bisher greifen unsere Filter über andere "Umstände", auf die ich nicht öffentlich im Detail eingehen will.
Sinn der E-Mails soll vermutlich sein, dass man eine Kommunikation in Gang bringt und in deren Verlauf dann Malware untergeschoben bekommt oder Geld irgendwohin schicken soll.
Der Grund warum das jetzt aktuell deutlich verstärkt auftritt liegt vermutlich darin, dass jetzt alle (jaja, ich weiß) Exchange-Server gegen diese Sicherheitslücke gepatched werden und die kopierten Mailinhalte nicht zu alt sein dürfen, um noch unverdächtig zu erscheinen.
In jedem Fall sollte man momentan besonders wachsam bei sowas sein, auch wenn man selbst keinen Exchange-Server betreibt, denn die E-Mail könnte am anderen Ende abegriffen worden sein.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6466411711
Url: https://administrator.de/contentid/6466411711
Ausgedruckt am: 04.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
kann ich bestätigen. Was uns dabei auffällt: In 99% der Fälle findet sich ein .html-Anhang. Deutlicher Hinweis darauf, dass .html / .htm - Anhänge mindestens erst einmal in der Quarantäne, nie aber direkt beim Empfänger landen sollten.
Ob das jetzt rein ein Exchange-Problem ist, weiß ich nicht, wir bekommen auch Mails mit GMX als Ursprung. Glaube eher nicht, dass da ein Exchange im Hintergrund werkelt?
Unseren Exchange haben wir regelmäßig auf den aktuellsten Stand gepatcht.
Gruß
kann ich bestätigen. Was uns dabei auffällt: In 99% der Fälle findet sich ein .html-Anhang. Deutlicher Hinweis darauf, dass .html / .htm - Anhänge mindestens erst einmal in der Quarantäne, nie aber direkt beim Empfänger landen sollten.
Ob das jetzt rein ein Exchange-Problem ist, weiß ich nicht, wir bekommen auch Mails mit GMX als Ursprung. Glaube eher nicht, dass da ein Exchange im Hintergrund werkelt?
Unseren Exchange haben wir regelmäßig auf den aktuellsten Stand gepatcht.
Gruß
Moin, kann ich nicht bestätigen, ist mir in den letzten Tagen noch nicht aufgefallen
Jup das habe ich die Tage auch öfters bemerkt. Da kommen Mails mit Texten die ich vor einem Jahr versendet habe ohne Anpassungen aber mit htmx Anhang.
Rückschlüsse darauf wer das Leck ist, habe ich noch nicht gefunden.
Rückschlüsse darauf wer das Leck ist, habe ich noch nicht gefunden.
Moin,
in unserem Fall war bisher immer ein externer Mailserver beteiligt (einfach mal den Mailverlauf ansehen).
Wenn nur der eigene Mailserver auftaucht, sollte das ein Alarmsignal auslösen
Gruß
in unserem Fall war bisher immer ein externer Mailserver beteiligt (einfach mal den Mailverlauf ansehen).
Wenn nur der eigene Mailserver auftaucht, sollte das ein Alarmsignal auslösen
Gruß
Zitat von @Coreknabe:
in unserem Fall war bisher immer ein externer Mailserver beteiligt (einfach mal den Mailverlauf ansehen).
in unserem Fall war bisher immer ein externer Mailserver beteiligt (einfach mal den Mailverlauf ansehen).
Das ist aber kein Hinweis, wo der Mailinhalt abgegriffen wurde, ob bei euch oder den anderen.
Zitat von @LordGurke:
Das ist aber kein Hinweis, wo der Mailinhalt abgegriffen wurde, ob bei euch oder den anderen.
Zitat von @Coreknabe:
in unserem Fall war bisher immer ein externer Mailserver beteiligt (einfach mal den Mailverlauf ansehen).
in unserem Fall war bisher immer ein externer Mailserver beteiligt (einfach mal den Mailverlauf ansehen).
Das ist aber kein Hinweis, wo der Mailinhalt abgegriffen wurde, ob bei euch oder den anderen.
Nicht zwingend, nein. Aber wenn ich sehe, dass von uns immer andere Postfächer betroffen sind und stets ein "Externer" beteiligt war, ist das schon ein deutlicher Hinweis.
Gruß
Der Witz ist, im Quelltext und den Headern steht nix. Ist so als hätten die schlicht den Text in eine neue Mail kopiert 😆
Zitat von @anteNope:
Der Witz ist, im Quelltext und den Headern steht nix. Ist so als hätten die schlicht den Text in eine neue Mail kopiert 😆
Der Witz ist, im Quelltext und den Headern steht nix. Ist so als hätten die schlicht den Text in eine neue Mail kopiert 😆
Haben die wahrscheinlich auch. Trotzdem taucht ja im Mailverlauf die ursprünglich verwendete Adresse auf.
Gruß
