Jump to content

E-Mails werde abgefangen / Schadsoftware


Recommended Posts

Hallo zusammen,

 

ich habe aktuell folgendes Problem:

Unsere Struktur: Client Office 2016 --> Exchange Server 2016 --> Smarthost

 

Einige unsere Benutzer erhalten Spam-Mails von verschiedenen unbekannten Absendern. (Enthallten ist eine Zip Datei .. mit dem Hinweis: bitte öffnen mit folgendem Passwort ... 

 

Das komische dabei ist, die Spam Mails enthalten alten Schriftverkehr. 

Heißt zum Beispiel: "xyz@xyz.de  & Max@Mustermann.de" schreiben sich gegenseitig E-Mails. Die Spam Mails beinhaltet dann genau diesen Schriftverkehr,und es sieht so aus als hätte Max@Mustermann.de "xyz" einfach nur geantwortet. 

Erkennbar ist der Schwindel daran das die Domain anders ist. bsp.: Max@Kolk4349.com

 

Es sind einige Benutzer, die davon Betroffen sind und es werden verschiedene Schriftverkehre verwendet. Also nicht nur Gespräche mit der Domain @mustermann.de sondern verschiedene. 

 

Rein logisch macht es ja kein Sinn das unser Exchange Server / oder die Clients gehackt wurden oder infiziert sind, da man sonst ja keine Schadsoftware mehr versenden brauche auf genau diese Clients & Server.

Was logischer klingt, ist das der Smarthost gehackt oder infiziert wurde, und die dritte Person davon den Schriftverkehr hat. 

Jedoch streitet der Smarthost es ab und meint es wäre technisch unmöglich etc. etc. etc.

 

Hat jemand andere Ideen und Anhaltspunkte, die ich prüfen könnte um das Probleme zu beheben ?

(Smarthost ändern kann wegen Weihnachten Urlaub etc. erst in paar Wochen getestet werden. ) 

 

Vielen Dank und schöne Feiertage euch :) 

Link to post

Da hat sich irgendwer Emotet eingefangen. Im Zweifel derjenige, an dem die ursprüngliche Mail mal geschickt wurde. Der Virus greift auf Outlook zu und versendet dort enthaltende Mails erneut und ergänzt sie um ein einen wichtigen Anhang, Schützen kann man sich, in dem man alle Dateianhänge herausfiltert die folgenden Bedingungen  entsprechen: Ausführbarer Code (auch in Archiven). Office-Dateien mit Makros (auch in Archiven).

Dazu gibt es am Markt entsprechende Lösungen.

 

Update: Der Virus verwendet dann zum Versenden von Mails gehackte SMTP-Konten. Gern bei irgendwelchen Web-Hostern. Die bieten ja auch meist den Empfang und den Versand von Mails an.

Wir hatten auch mal einen Fall bei dem ältere Mails von uns wieder den zu uns zurück fanden. Jeweils mit validen Absendern, deren SMTP-Konten gehackt oder "abgephisht" waren. 

 

Edited by zahni
  • Like 2
Link to post

Und, gibt's Neuigkeiten?
Ich könnte Dir nun recht aktuelle Vorfälle melden, die ich in den letzten Monaten erfahren musste.
Schadsoftware (nach über einem Jahr kamen Mails an, die sich auf eine Kommunikation von vor 1,5 jahren bezog), "abgephiste" Zugänge für O365 OWA Konten, Domains die mit unserem ähnlich klingenden Namen registriert wurden und diese Mails dann an Kunden gingen...
Backscatter wo nur ein "länder blocking" half und so weiter...
Wir werden echt gut geärgert :D
In vielen Fällen halfen mir Gateway Logs und E-Mail Header.
Den Receive Connector gut zu konfigurieren ist ja schon viel wert...

Edited by heuchler
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...