Jump to content

Probleme mit Phishingmails


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, 

 

bei der 20 Mann Firma mit Exchange 2013 (Patchstand ca. Mitte 2017) gibt es einen Man-in-the-Middle Angriff. (Vermutung), die Betrugsversuche waren erkennbar und es ist bisher nichts passiert.

 

Bei dem ausländischen Geschäftspartner (ebenfalls ca. 20 Mann)  landen Mails aktueller Geschäftsvorgänge im Posteingang. (PDF Rechnungen / Aufforderungen die geänderten Bankdaten zu benutzen)

In CC ist der Kollegenkreis der deutschen Firma, aber nur vom Anzeigenamen her.

Reply-to jedoch lautet auf sowas wie die-entsprechende-deutsche-mailadresse@ge-hijackte-domain.com

Die Domain nach dem @ Zeichen ist offenbar nicht extra angelegt und nicht der deutschen Firma nachempfunden.

Der Header dieser Mails besagt eine kurze Weltreise und ist beiden Firmen nicht zuzuordnen.

 

Das ganze passiert jetzt zum zweiten Mal mit demselben ausländischen Geschäftspartner.

OWA ist bei jedem Postfach gesperrt.

im ECP kann man ja sehen welche EAS Geräte mit den Postfächer verbunden sind bzw. läßt sich das mit Powershell abfragen. (dabei wurden bis jetzt keine Auffälligkeiten entdeckt) (es gibt kein MDM bisher)

Outlook Anywhere m.A. ist nach nicht eingerichtet, bzw. wird bei EAS mit selbst signierten Zertifikaten gearbeitet.

Der POP3 Abruf über Port 110 (unverschlüsselt) war bis heute in Kopie die letzten 3 Tage. Wechsel auf Direktempfang steht kurz bevor.

Aus logistischen Gründen hat jedes Postfach 3-8 Vollzugriffe der Kollegen.

 

Es gab vor vielen Monaten einen ähnlichen Vorfall mit einem anderen Geschäftspartner und  davor ein Mailversand nachweislich über OWA/EAS  in ähnlichem Zusammenhang.  (lag an einem sehr schlechten Passwort)

 

Die Passwörter sind mittlerweile verstärkt / geändert.

 

Es wäre wohl zu klären, ob die Rechnungsmail der deutschen Firma bei der ausländischen Partner gelöscht wurde und durch die Phishingsmail ersetzt wurde.   

Vom Timing/Plausibilität her kommen die Phishing-Rechnungen scheinbar zum richtigen Zeitpunkt zu Gunsten asiatischer Bankkonten.


Das einzige Einfallstor ist m.A. nach EAS.   Emailarchivierung gibt es nicht.

Ideen-Maßnahmen: Direktempfpang, SPF Eintrag setzen, Gateway für Emailsignierung/Verschlüsselung besorgen, Emails über Gateway als PDF-Container verschlüsseln, EAS Geräterichtlinien durchsetzen, signierte PDF Rechnungen erstellen, alle PCs austauschen wegen Rootskits, Rechnungen nur verschlüsselte ZIP Datei versenden,  443 eingehend über die Firewall Geolocation-Dienste nur aus Deutschland erlauben, TBC....

 

Wo könnte hier der Schwachpunkt sein?  

 

Link zu diesem Kommentar

Hi,

 

ich würde erstmal prüfen, ob die Mails tatsächlich über einen der Server der Firmen gesendet wurden. Warum sollte jemand, der einen Account samt Passwort hat, nicht die korrekte Firmenadresse nutzen?

Sollte die Mail über einen beteiligten Server gesendet worden sein, dürfte SPF rein gar nix bringen. Wenn nur der Anzeigename mit der E-Mail-Adresse identisch ist, dann bringt SPF ebenalls nix. Wurden die Anhänge mal analysiert oder ist es der gute alte "CEO Fraud" (Wo ich mich immer noch Frage, wie man bei sowas solche Mengen Geld anweisen kann...)?

 

Ein Exchange mit Stand mitte 2017 sollte man evtl. auch mal aufs vorerst letzte CU 21 updaten.

 

Generell ist es aber vermutlich mit den etwas konfusen Infos schwer was dazu zu sagen. Ich wüsste jetzt nichtmal, ob du die Umgebung schon länger betreust oder die Infos "mal eben so" bekommen hast.

 

Gruß

Jan

Link zu diesem Kommentar
vor 18 Minuten schrieb Dirk-HH-83:

Man-in-the-Middle Angriff. (Vermutung),

Wie kommt man denn zu dieser Vermutung? Und ohne das jetzt "unterbewerten" zu wollen, überbewerten würde ich das an deiner Stelle auch nicht. Das ist leider inzwischen fast Normalität, dass eben Phishing und auch Spear Fishing langsam im deutschsprachigem Raum (Absender und Empfänger) angekommen ist.

vor 5 Minuten schrieb testperson:

Wo ich mich immer noch Frage, wie man bei sowas solche Mengen Geld anweisen kann...

Man soll ja nie nie sagen, aber ich kanns auch nicht so richtig verstehen. :)

vor 21 Minuten schrieb Dirk-HH-83:

Wo könnte hier der Schwachpunkt sein?  

Das kann man mit den Infos _nicht_! seriös beantworten.

Link zu diesem Kommentar
vor 11 Minuten schrieb testperson:

Hi,

 

ich würde erstmal prüfen, ob die Mails tatsächlich über einen der Server der Firmen gesendet wurden. Warum sollte jemand, der einen Account samt Passwort hat, nicht die korrekte Firmenadresse nutzen?

Sollte die Mail über einen beteiligten Server gesendet worden sein, dürfte SPF rein gar nix bringen. Wenn nur der Anzeigename mit der E-Mail-Adresse identisch ist, dann bringt SPF ebenalls nix. Wurden die Anhänge mal analysiert oder ist es der gute alte "CEO Fraud" (Wo ich mich immer noch Frage, wie man bei sowas solche Mengen Geld anweisen kann...)?

 

Ein Exchange mit Stand mitte 2017 sollte man evtl. auch mal aufs vorerst letzte CU 21 updaten.

 

Generell ist es aber vermutlich mit den etwas konfusen Infos schwer was dazu zu sagen. Ich wüsste jetzt nichtmal, ob du die Umgebung schon länger betreust oder die Infos "mal eben so" bekommen hast.

 

Gruß

Jan

 

 

>ich würde erstmal prüfen, ob die Mails tatsächlich über einen der Server der Firmen gesendet wurden. Warum sollte jemand, der einen Account samt Passwort hat, nicht die korrekte Firmenadresse nutzen?

 

Weil das seine Tarnung auffliegen läßt.   Deshalb versendet er von ausserhalb.   Diese Mails haben 3-6 Mann in CC beider Firmen. 

Soll heißen die ausländische Firma erhält die Zahlungsaufroderung mit den richtigen Empfängeradressen für den "CEO Fraud" und in CC die deutsche Firma mit den richtigen Displaynamen aber falschen reply-to-adressen. (die aber keine NDR generieren)

 

Die Umgebung ist nicht neu.

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...