15
Emails ausspioniert und Kunden mit geänderter Bankverbindung angeschrieben
Hallo!
In einer verblüffenden Ähnlichkeit zu dem Fall eines anderen Users vor einem Jahr Mails wurden abgefangen und verfälscht fiel einer unserer Mitarbeiter einer ähnlichen Attacke zum Opfer (Trojaner oder Man-In-The-Middle?).
Es geschah vor ein paar Tagen. Ich möchte gerne genau rausfinden, was die Ursache war. Ich beschreibe es kurz:
Wir sind ein Unternehmen das Waren exportiert, in diesem Fall nach Indonesien.
Ein Mitarbeiter in Deutschland namens Operator wickelt mit zwei Kunden, die voneinander nichts wissen, in Indonesien Geschäfte ab. Jetzt erst vor paar Tagen begann die Zahlungsphase und Operator schrieb beiden Kunden jeweils getrennte Zahlungsaufforderungen (eine Bankverbindung wurde nicht angegeben). Einen halben Tag später bekommen unsere Kunden jeweils eine Email mit dem Absender des Operators, der aber von nichts weiß. Darin steht in nicht auffälliger Schreibweise und mit der Textsignatur unseres Operators, dass sich unsere Bankverbindung geändert hat. Die Kontoverbindung adressiert eine Hongkong Bank (auch wir haben da Konten), die den Namen unserer Firma trägt, aber eine andere Kontonummer aufweist. Zum Glück ist kein Schaden entstanden, da der 1. Kunde zur Bestätigung bei uns anrief und die 2. Mail wegen falschem CC vom Mailserver des Hackers zum Operator kam.
Ansonsten hätten wir von den Mails nichts gewusst!
Im folgenden poste ich die 2. Mail, die vom Mailerdemon gesendet wurde. Ich möchte ungefähr abschätzen, wieviel der Daten zum Hacker hin geleakt worden sind.
Dabei habe ich drei Theorien:
1. Operator wurde mit einem Trojaner infiziert: Alle Mails die er verschickt, werden automatisch zum Hacker gesendet - oder noch schlimmer - er hat kompletten Zugriff auf den Rechner von Operator.
2. Operator hat das Passwort des E-Mailkontos: Halte ich nicht so wahrscheinlich, weil er das Passwort sonst nirgends hatte und es nicht ganz simpel war.
3. Die E-Mails werden vom Operator von irgendwo und irgendwie abgefangen.
So und hier jetzt der header. Was bedeutet im header die localhost-IP genau? Kann es evtl sein, dass die Mail direkt vom Rechner des Operators gesendet wurde? Alle Adressen die uns betreffen habe ich verändert (DIEFIRMA sind wir).
Weitergeleitete Nachricht ----------
Von: "Mail Delivery System" <Mailer-Daemon@inside.lunarbreeze.com>
Datum: 04.09.2014 07:28
Betreff: Mail delivery failed: returning message to sender
An: <operator@DIEFIRMA.com>
Cc:
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
shelia.s@DIEFIRMA.com
SMTP error from remote mail server after RCPT TO:<shelia.s@DIEFIRMA.com>:
host mail.DIEFIRMA.com [*.*.62.36]: 550 5.1.1 <shelia.s@DIEFIRMA.com>:
Recipient address rejected: User unknown in virtual mailbox table
This is a copy of the message, including all the headers. ------
Return-path: <operator@DIEFIRMA.com>
Received: from localhost ([127.0.0.1]:52430 helo=inside.lunarbreeze.com)
by inside.lunarbreeze.com with esmtpa (Exim 4.80)
(envelope-from <operator@DIEFIRMA.com>)
id 1XPOPu-00061a-9j; Wed, 03 Sep 2014 21:13:02 -0700
Received: from 41.138.*.* ([41.138.*.*]) <ist von Nigeria>
(SquirrelMail authenticated user algendy@goldenhealth.org)
by inside.lunarbreeze.com with HTTP;
Wed, 3 Sep 2014 21:13:02 -0700
Message-ID: <1ccf0dee74b313**.squirrel@inside.lunarbreeze.com>
Date: Wed, 3 Sep 2014 21:13:02 -0700
Subject: Urgent Information <Name des Kunden>
From: "DIEFIRMA" <operator@DIEFIRMA.com>
To: "Kunde" <Kunde@kundenfirma.asia>
Cc: "DIEFIRMA "" <info@DIEFIRM.com>, <Letzte Buchstabe der Firma fehlt>
"Logistics" <logistics@kundenfirma.asia>,
"Anderer Kunde" <andererkunde@kundenfirma.asia>,
"Shelia" <shelia.s@DIEFIRMA.com> <Nach dem s sollte ein e rein>
Reply-To: operator.DIEFIRMA.com@gmail.com <hier sieht man ne phishing reply to>
User-Agent: SquirrelMail/1.4.22
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
Importance: Normal
In einer verblüffenden Ähnlichkeit zu dem Fall eines anderen Users vor einem Jahr Mails wurden abgefangen und verfälscht fiel einer unserer Mitarbeiter einer ähnlichen Attacke zum Opfer (Trojaner oder Man-In-The-Middle?).
Es geschah vor ein paar Tagen. Ich möchte gerne genau rausfinden, was die Ursache war. Ich beschreibe es kurz:
Wir sind ein Unternehmen das Waren exportiert, in diesem Fall nach Indonesien.
Ein Mitarbeiter in Deutschland namens Operator wickelt mit zwei Kunden, die voneinander nichts wissen, in Indonesien Geschäfte ab. Jetzt erst vor paar Tagen begann die Zahlungsphase und Operator schrieb beiden Kunden jeweils getrennte Zahlungsaufforderungen (eine Bankverbindung wurde nicht angegeben). Einen halben Tag später bekommen unsere Kunden jeweils eine Email mit dem Absender des Operators, der aber von nichts weiß. Darin steht in nicht auffälliger Schreibweise und mit der Textsignatur unseres Operators, dass sich unsere Bankverbindung geändert hat. Die Kontoverbindung adressiert eine Hongkong Bank (auch wir haben da Konten), die den Namen unserer Firma trägt, aber eine andere Kontonummer aufweist. Zum Glück ist kein Schaden entstanden, da der 1. Kunde zur Bestätigung bei uns anrief und die 2. Mail wegen falschem CC vom Mailserver des Hackers zum Operator kam.
Ansonsten hätten wir von den Mails nichts gewusst!
Im folgenden poste ich die 2. Mail, die vom Mailerdemon gesendet wurde. Ich möchte ungefähr abschätzen, wieviel der Daten zum Hacker hin geleakt worden sind.
Dabei habe ich drei Theorien:
1. Operator wurde mit einem Trojaner infiziert: Alle Mails die er verschickt, werden automatisch zum Hacker gesendet - oder noch schlimmer - er hat kompletten Zugriff auf den Rechner von Operator.
2. Operator hat das Passwort des E-Mailkontos: Halte ich nicht so wahrscheinlich, weil er das Passwort sonst nirgends hatte und es nicht ganz simpel war.
3. Die E-Mails werden vom Operator von irgendwo und irgendwie abgefangen.
So und hier jetzt der header. Was bedeutet im header die localhost-IP genau? Kann es evtl sein, dass die Mail direkt vom Rechner des Operators gesendet wurde? Alle Adressen die uns betreffen habe ich verändert (DIEFIRMA sind wir).
Weitergeleitete Nachricht ----------
Von: "Mail Delivery System" <Mailer-Daemon@inside.lunarbreeze.com>
Datum: 04.09.2014 07:28
Betreff: Mail delivery failed: returning message to sender
An: <operator@DIEFIRMA.com>
Cc:
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
shelia.s@DIEFIRMA.com
SMTP error from remote mail server after RCPT TO:<shelia.s@DIEFIRMA.com>:
host mail.DIEFIRMA.com [*.*.62.36]: 550 5.1.1 <shelia.s@DIEFIRMA.com>:
Recipient address rejected: User unknown in virtual mailbox table
This is a copy of the message, including all the headers. ------
Return-path: <operator@DIEFIRMA.com>
Received: from localhost ([127.0.0.1]:52430 helo=inside.lunarbreeze.com)
by inside.lunarbreeze.com with esmtpa (Exim 4.80)
(envelope-from <operator@DIEFIRMA.com>)
id 1XPOPu-00061a-9j; Wed, 03 Sep 2014 21:13:02 -0700
Received: from 41.138.*.* ([41.138.*.*]) <ist von Nigeria>
(SquirrelMail authenticated user algendy@goldenhealth.org)
by inside.lunarbreeze.com with HTTP;
Wed, 3 Sep 2014 21:13:02 -0700
Message-ID: <1ccf0dee74b313**.squirrel@inside.lunarbreeze.com>
Date: Wed, 3 Sep 2014 21:13:02 -0700
Subject: Urgent Information <Name des Kunden>
From: "DIEFIRMA" <operator@DIEFIRMA.com>
To: "Kunde" <Kunde@kundenfirma.asia>
Cc: "DIEFIRMA "" <info@DIEFIRM.com>, <Letzte Buchstabe der Firma fehlt>
"Logistics" <logistics@kundenfirma.asia>,
"Anderer Kunde" <andererkunde@kundenfirma.asia>,
"Shelia" <shelia.s@DIEFIRMA.com> <Nach dem s sollte ein e rein>
Reply-To: operator.DIEFIRMA.com@gmail.com <hier sieht man ne phishing reply to>
User-Agent: SquirrelMail/1.4.22
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
Importance: Normal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 248558
Url: https://administrator.de/contentid/248558
Printed on: April 16, 2024 at 22:04 o'clock
15 Comments
Latest comment
Ich würde mal darauf tippen, dass euer Netz mal gründlich analysiert werden sollte und auch die Sicherheitstechnik ggf. erneuert oder generell aufgebaut werden sollte.
Wir sind ein recht kleines Unternehmen. Unsere Mitarbeiter liegen dezentral und machen zum größten Teil Home Office. Die einzige Sicherheit ist aber leider nur Windows Firewall und Security Essentials scanner :/. Wobei letzteres ich nicht bei jedem nachweisen kann, dass es so ist...
Kann bitte jemand sagen, was dieses 127 bedeutet? Kann die Mail vom Rechner des Operators gesendet sein?
Kann bitte jemand sagen, was dieses 127 bedeutet? Kann die Mail vom Rechner des Operators gesendet sein?
Moin,
. In Deinem Fall ist die 127.0.0.1 einfach der lokale Horst 
.
LG, Thomas
Kann bitte jemand sagen, was dieses 127 bedeutet?
sehr wohl: 127 ist die Summe bspw. aus 126 und 1 . In Deinem Fall ist die 127.0.0.1 einfach der lokale Horst .Die einzige Sicherheit ist aber leider nur Windows Firewall und Security Essentials scanner :/. Wobei letzteres ich nicht bei jedem nachweisen kann, dass es so ist...
Jo denne ... you get, what you pay! Ich sehe da keine "Sicherheit"???LG, Thomas
Moin,
Die Mail selbst ist nicht von euch gekommen, wenn man den Headern glauben darf, Es sei denn Eurer Operator sitzt in Nigeria oder hat eine Nigerianische IP.
Ich würde sagen, da solltet Ihr Dringend eure Kunden informieren, daß solceh Mails in Umlauf sind, wenn diese zwei nciht die einzigen sind, die Ihr habt.
Das beste wäre, daß Ihr einen Fachmann Eures Vertrauens kontaktiert und euch beraten laßt.
Ich kann mir mindestens 4 Stellen vorstellen an denen es Informationslecks geben könnte:
Des weiteren sind so viele Angriffspuntke gegeben, wenn Ihr so organisiert seid, daß es ohne externen Berater vor Ort schwer sein wird, die Ursachen zu finden.
Mein Rat daher:
Sucht euch einen experten aus Eurer Nähe und der soll Euch helfen. Wird aber nicht billig.
Des weitere soltet Ihr Euch mit euren Kudnen anbsprechen, welche Prozeduren (=Protokolle) Ihr einführen wollt, um solche Attacken abzufangen, d.h. z.B. Änderung der Bankverbindung nur nach Rückfrage mit der Operator und nochmaliger schriftlicher Bestätigung.
lks
Die Mail selbst ist nicht von euch gekommen, wenn man den Headern glauben darf, Es sei denn Eurer Operator sitzt in Nigeria oder hat eine Nigerianische IP.
Received: from 41.138.*.* ([41.138.*.*]) <ist von Nigeria> (SquirrelMail authenticated user algendy@goldenhealth.org) by inside.lunarbreeze.com with HTTP; Wed, 3 Sep 2014 21:13:02 -0700
Ich würde sagen, da solltet Ihr Dringend eure Kunden informieren, daß solceh Mails in Umlauf sind, wenn diese zwei nciht die einzigen sind, die Ihr habt.
Das beste wäre, daß Ihr einen Fachmann Eures Vertrauens kontaktiert und euch beraten laßt.
Ich kann mir mindestens 4 Stellen vorstellen an denen es Informationslecks geben könnte:
- Euer Operator (oder dessen System)
- Euer Mailprovider. ihr habe vermutlich keinen eigenen Mailserver, wenn Ihr so klein seid udn der vertrieb im Home-Office arbeitet.
- Der Mailprovider eures Kunden.
- Die Kundensysteme. Wenn die im asiatischen Raum sitzen, ist die Wahrscheinlichkeit der Infektion mit Malware höher als in Europa, wenn man den Statistiken der AV-herstelelr glauben darf.
Des weiteren sind so viele Angriffspuntke gegeben, wenn Ihr so organisiert seid, daß es ohne externen Berater vor Ort schwer sein wird, die Ursachen zu finden.
Mein Rat daher:
Sucht euch einen experten aus Eurer Nähe und der soll Euch helfen. Wird aber nicht billig.
Des weitere soltet Ihr Euch mit euren Kudnen anbsprechen, welche Prozeduren (=Protokolle) Ihr einführen wollt, um solche Attacken abzufangen, d.h. z.B. Änderung der Bankverbindung nur nach Rückfrage mit der Operator und nochmaliger schriftlicher Bestätigung.
lks
@ Lochkartenstanzer:
Danke Dir! Der Mailserver selber ist speicheranbieter.de - bei denen haben wir einen account. Die sind zwar nicht sehr groß, aber meinst du wirklich, dass sowas bei denen sein kann? Der Rest ist mir natürlich auch schon aufgefallen - wir lassen alles neuinstallieren und ein richtiges Sicherheitskonzept reinbringen. Mir ist natürlich klar, dass es bis jetzt sehr unvorsichtig war.
@ keine-ahnung:
Du hast die Frage in dem Kontext nicht gelesen - mir war schon klar, dass es der localhost ist. Aber danke trotzdem für deine Hilfe.
Danke Dir! Der Mailserver selber ist speicheranbieter.de - bei denen haben wir einen account. Die sind zwar nicht sehr groß, aber meinst du wirklich, dass sowas bei denen sein kann? Der Rest ist mir natürlich auch schon aufgefallen - wir lassen alles neuinstallieren und ein richtiges Sicherheitskonzept reinbringen. Mir ist natürlich klar, dass es bis jetzt sehr unvorsichtig war.
@ keine-ahnung:
Du hast die Frage in dem Kontext nicht gelesen - mir war schon klar, dass es der localhost ist. Aber danke trotzdem für deine Hilfe.
Zitat von @Kalleos:
Typische Antwort wenn man die Frage mit 127 nicht im Kontext gelesen hat, aber trotzdem danke für deine Hilfe.
Typische Antwort wenn man die Frage mit 127 nicht im Kontext gelesen hat, aber trotzdem danke für deine Hilfe.
Thomas hat dir die richtige antwort gegen. das ist der lokalhost.
Wenn man oben schaut sieht man, daß der host inside.lunarbreeze.com die Mail erst aus Ngeria bekommen hat udn dann sich nochmal selbst zugeschickt hat (vermutlich lokal durch den spam- und mailware-filter).
Ist Lunar Pages euer Provider oder der eures Kunden?
lks
Zitat von @Kalleos:
@ Lochkartenstanzer:
Danke Dir! Der Mailserver selber ist speicheranbieter.de - bei denen haben wir einen account. Die sind zwar nicht sehr groß,
aber meinst du wirklich, dass sowas bei denen sein kann? Der Rest ist mir natürlich auch schon aufgefallen - wir lassen alles
neuinstallieren und ein richtiges Sicherheitskonzept reinbringen. Mir ist natürlich klar, dass es bis jetzt sehr unvorsichtig
war.
@ Lochkartenstanzer:
Danke Dir! Der Mailserver selber ist speicheranbieter.de - bei denen haben wir einen account. Die sind zwar nicht sehr groß,
aber meinst du wirklich, dass sowas bei denen sein kann? Der Rest ist mir natürlich auch schon aufgefallen - wir lassen alles
neuinstallieren und ein richtiges Sicherheitskonzept reinbringen. Mir ist natürlich klar, dass es bis jetzt sehr unvorsichtig
war.
z.B. Heise-Meldungen zu diesem Thema.
Man muß imemr damit rechnen, daß Mailaccoutns gekapert werden, wenn die wichtig genug sind. Daher sollte man sich für solche Fälle versichern und Fall-Back-Möglichkeiten einbauen.
lks
Nachtrag: Wenn Lunar Pages euer provider ist und die mail aus Nigeria eingekippt wurde, heßt das, daß entweder euer Mailaccount kompromittiert wurde oder der Provider ein Sicherheitsleck hat.
Sorry für den Kommentar wegen 127.
algendy@goldenhealth.org, der server inside.lunarbreeze.com und squirrel mail haben mit uns nichts zutun.
Hab gerade nachgeschaut, ob irgendwelche probleme mit speicheranbieter publik sind, habe aber nichts gefunden. Ich denke mal, dass wir uns erstmal mit den anderen Punkten als speicheranbieter beschäftigen. Danke!
algendy@goldenhealth.org, der server inside.lunarbreeze.com und squirrel mail haben mit uns nichts zutun.
Hab gerade nachgeschaut, ob irgendwelche probleme mit speicheranbieter publik sind, habe aber nichts gefunden. Ich denke mal, dass wir uns erstmal mit den anderen Punkten als speicheranbieter beschäftigen. Danke!
Noch ein Tipp auf die schnelle:
Ihr könnt mit Thunderbird, Enigmail und OpenPGP auf die schnelle auf signierte (und ggf. verschlüsselte) Mails umstellen. Dann fallen solche falschen Mails sofort auf.
Das wäre auch meine empfehlung, gleich einen schlüsselaustausch mit den Partnern anzuleiern.
lks
Ihr könnt mit Thunderbird, Enigmail und OpenPGP auf die schnelle auf signierte (und ggf. verschlüsselte) Mails umstellen. Dann fallen solche falschen Mails sofort auf.
Das wäre auch meine empfehlung, gleich einen schlüsselaustausch mit den Partnern anzuleiern.
lks
Der Hacker wird sicherlich ein Proxy in Nigeria haben. Nach Scam-Berichten für asiatische Betrugsfälle, wird oft auf Afrikanische Proxys zurückgegriffen.
Zitat von @Kalleos:
Sorry für den Kommentar wegen 127.
algendy@goldenhealth.org, der server inside.lunarbreeze.com und squirrel mail haben mit uns nichts zutun.
Sorry für den Kommentar wegen 127.
algendy@goldenhealth.org, der server inside.lunarbreeze.com und squirrel mail haben mit uns nichts zutun.
Dann wird der Angreifer vermutlich ein open relay benutzt haben. Und dagegen kan man gar nichts direkt unetrnehmen, genauso, wie man gegen einen Angreifer etwas übernehmen kann, der einen gefälschten Brief mit eurer Absenderadresse in eien beliebigen Briefkasten der Republik einwerfen kann.
lks
Machtrag:
Nur so als Beispiel:
In letzter Zeit häufen sich Mails von Freunden mit yahoo-adressen, die nicht von diesen Freunden kommen, sogar nciht mal von yahoo-Servern. Da muß jemand offensichtlich ganz viele yahoo-Adressen inklusive deren yahoo-Adressbüchern abgegriffen haben und versucht da Malware zu veteilen.
Zitat von @Lochkartenstanzer:
Noch ein Tipp auf die schnelle:
Ihr könnt mit Thunderbird, Enigmail und OpenPGP auf die schnelle auf
signierte (und ggf. verschlüsselte) Mails umstellen. Dann fallen solche falschen Mails sofort auf.
Das wäre auch meine empfehlung, gleich einen schlüsselaustausch mit den Partnern anzuleiern.
lks
Noch ein Tipp auf die schnelle:
Ihr könnt mit Thunderbird, Enigmail und OpenPGP auf die schnelle auf
signierte (und ggf. verschlüsselte) Mails umstellen. Dann fallen solche falschen Mails sofort auf.
Das wäre auch meine empfehlung, gleich einen schlüsselaustausch mit den Partnern anzuleiern.
lks
Hallo,
währ da auch mein erster Gedanke.
Und eure Kunden drauf hinweisen das die alles andere in Zukunft ignorieren sollen was nicht sauber signiert ist.
Hallo,
und sich das Auto Nachts besser abkühlen soll, denn eine Wegfahrsperre ist ja drin und den
Schlüssel hat auch niemand außer mir.
ist derzeit auch recht billig zu "schießen" und ein AV Schutz kostet um die ~30 €
für ein Jahr und kann abgesetzt werden. Das sollte nicht das Problem sein.
Das ist als wenn ich nach einem Einbruch zu hause wissen möchte was der Dieb alles
in der Hand hatte bzw. berührt hat! Das kann Dir niemand sagen.
Für mich sieht es wie folgt aus:
Wirt sind in der Krise und wenn die beiden Indonesier etwas von einander wüssten
könnte man mutmaßen das nun der eine wohl gerne wüsste was Du (Ihr) dem anderen
zahlt damit er mehr verlangen kann bzw. weniger bezahlen muss, das ist einfach so.
Wissen die wirklich nichts von einander würde ich einfach mal mutmaßen wollen das die
dort vor Ort sicherlich auch ein Problem oder Sicherheitsloch haben könnten, denn dort ist
es nicht unüblich das die Sicherheitsmaßnahmen noch viel schlechter sind als hier, könnte
man meinen, also das muss ja nun nicht von denen aus gehen und in HongKong sind auch
nicht nur die lieben Leute unterwegs also würde ich mal sagen auch die in einer Bank kann
eingebrochen werden bzw. der Papiermüll durchsucht werden und wenn dann da Eure Knt.-Nr
irgend wo auftaucht braucht man nur noch heraus finden wo Ihr seit und Euch.........
Eventuell hat der Indonesier ja auch einen ISP und dort sitzt jemand der Geld braucht.
Oder der ISP ist ein WISP und die halbe Stadt kann mitlesen wann wer etwas zahlen
soll kann auch alles sein.
Meine Meinung wenn Du nicht einen Forensiker besorgst der alle Eure PCs untersucht
wirst Du es nicht ausfindig machen, und selbst das ist keine Garantie für so etwas, denn
wie schon angesprochen kann auch wer anderes ein Sicherheitsproblem haben und nicht Ihr selber.
- Setze alle PCs neu auf (Neuinstallation)
Nimm mindestens Windows 7 Pro oder Windows 8.1 Pro dafür
- Installiere einen AV Schutz wie Kaspersky, ESET oder TrendMicro
Die gibt es auch im Paket für mehrere Installationen als "Bundle"
- Installiert einen richtigen Router der mindestens SPI&NAT macht
Und einen der VPN fähig ist, damit kann man dann auch sicher untereinander Daten austauschen
- Benutzt die PCs nicht für den privaten Gebrauch
Surfen, spielen, downloaden, Musik, Filme, private Mail, P2P, private DropBox,
sollte alles auf einem anderen PC erledigt werden!
- Stelle Dir bei Euch einen kleinen Mailserver hin und über den geht dann ausschließlich die Mail
Man kann auch einen kleinen Mailserver mieten, würde ich aber nicht machen wollen
- Lass Deine Leute am Samstag vom AV Schutz einen Vollscan des PCs machen
Und danach gleich ein Backup der wichtigen Daten
- Installiert Euch gpg4win wenn ihr Outlook benutzt und bei Thunderbird Enigmail.
Damit kann man dann die Mails signieren und die Signatur auch prüfen.
- Bei Zahlungen würde ich vorschlagen nur noch telefonisch oder per SMS
eben diese zu bestätigen, Du siehst ja das hat Euch den Ar...... gerettet
Wenn man alles oder viel ins Home Office auslagert ist das sicherlich für beide Seiten
nicht schlecht, nur in so einer Situation ist das dann wohl eher hinderlich, denn das ein
echter AV Schutz vorhanden ist und auch genutzt wird ist das doch das mindeste was man
heute erwarten kann bzw. das dieser auch genutzt wird.
Bleibt nur zu hoffen das Ihr alle ein Backup habt!
Gruß
Dobby
Wir sind ein recht kleines Unternehmen.
Und Sicherheit habt Ihr nicht nötig?Unsere Mitarbeiter liegen dezentral und machen zum größten Teil Home Office.
Und daher ist das mit der Sicherheit jetzt egal oder?Die einzige Sicherheit ist aber leider nur Windows Firewall und Security Essentials scanner :/.
Das ist so als wenn ich das Auto abschließe aber die Fenster unter lasse weil es so warm istund sich das Auto Nachts besser abkühlen soll, denn eine Wegfahrsperre ist ja drin und den
Schlüssel hat auch niemand außer mir.
Wobei letzteres ich nicht bei jedem nachweisen kann, dass es so ist...
Also eine AVM Fritz!Box für ~200 € macht SPI&NAT und ein Windows 7 Proist derzeit auch recht billig zu "schießen" und ein AV Schutz kostet um die ~30 €
für ein Jahr und kann abgesetzt werden. Das sollte nicht das Problem sein.
Lunar Pages ist ein Webhoster
(SquirrelMail authenticated user algendy@goldenhealth.org) ist "under construction"
(SquirrelMail authenticated user algendy@goldenhealth.org) ist "under construction"
Ich möchte ungefähr abschätzen, wieviel der Daten zum Hacker hin geleakt worden sind.
Dann sag uns doch mal seit wann das "Spiel" so geht!Das ist als wenn ich nach einem Einbruch zu hause wissen möchte was der Dieb alles
in der Hand hatte bzw. berührt hat! Das kann Dir niemand sagen.
Für mich sieht es wie folgt aus:
Wirt sind in der Krise und wenn die beiden Indonesier etwas von einander wüssten
könnte man mutmaßen das nun der eine wohl gerne wüsste was Du (Ihr) dem anderen
zahlt damit er mehr verlangen kann bzw. weniger bezahlen muss, das ist einfach so.
Wissen die wirklich nichts von einander würde ich einfach mal mutmaßen wollen das die
dort vor Ort sicherlich auch ein Problem oder Sicherheitsloch haben könnten, denn dort ist
es nicht unüblich das die Sicherheitsmaßnahmen noch viel schlechter sind als hier, könnte
man meinen, also das muss ja nun nicht von denen aus gehen und in HongKong sind auch
nicht nur die lieben Leute unterwegs also würde ich mal sagen auch die in einer Bank kann
eingebrochen werden bzw. der Papiermüll durchsucht werden und wenn dann da Eure Knt.-Nr
irgend wo auftaucht braucht man nur noch heraus finden wo Ihr seit und Euch.........
Eventuell hat der Indonesier ja auch einen ISP und dort sitzt jemand der Geld braucht.
Oder der ISP ist ein WISP und die halbe Stadt kann mitlesen wann wer etwas zahlen
soll kann auch alles sein.
Meine Meinung wenn Du nicht einen Forensiker besorgst der alle Eure PCs untersucht
wirst Du es nicht ausfindig machen, und selbst das ist keine Garantie für so etwas, denn
wie schon angesprochen kann auch wer anderes ein Sicherheitsproblem haben und nicht Ihr selber.
- Setze alle PCs neu auf (Neuinstallation)
Nimm mindestens Windows 7 Pro oder Windows 8.1 Pro dafür
- Installiere einen AV Schutz wie Kaspersky, ESET oder TrendMicro
Die gibt es auch im Paket für mehrere Installationen als "Bundle"
- Installiert einen richtigen Router der mindestens SPI&NAT macht
Und einen der VPN fähig ist, damit kann man dann auch sicher untereinander Daten austauschen
- Benutzt die PCs nicht für den privaten Gebrauch
Surfen, spielen, downloaden, Musik, Filme, private Mail, P2P, private DropBox,
sollte alles auf einem anderen PC erledigt werden!
- Stelle Dir bei Euch einen kleinen Mailserver hin und über den geht dann ausschließlich die Mail
Man kann auch einen kleinen Mailserver mieten, würde ich aber nicht machen wollen
- Lass Deine Leute am Samstag vom AV Schutz einen Vollscan des PCs machen
Und danach gleich ein Backup der wichtigen Daten
- Installiert Euch gpg4win wenn ihr Outlook benutzt und bei Thunderbird Enigmail.
Damit kann man dann die Mails signieren und die Signatur auch prüfen.
- Bei Zahlungen würde ich vorschlagen nur noch telefonisch oder per SMS
eben diese zu bestätigen, Du siehst ja das hat Euch den Ar...... gerettet
Wenn man alles oder viel ins Home Office auslagert ist das sicherlich für beide Seiten
nicht schlecht, nur in so einer Situation ist das dann wohl eher hinderlich, denn das ein
echter AV Schutz vorhanden ist und auch genutzt wird ist das doch das mindeste was man
heute erwarten kann bzw. das dieser auch genutzt wird.
Bleibt nur zu hoffen das Ihr alle ein Backup habt!
Gruß
Dobby
1
Vielen Dank Dir Gobby! Wir haben den Punkt Sicherheit total ausgeblendet, da wir zurzeit Unmengen an Aufgaben haben...
Noch etwas zu Mailserver:
Unseren haben wir ja bei Speicheranbieter. Die Mails allerdings werden von GMail über POP direkt in eigene GMail Accounts geholt (TLS ist dabei aktiv). Diese verschlüsselte TLS Übertragung konnte man schon vertrauen oder? Auf jeden Fall werden wir jetzt aber auf PGP-Softwarelösungen wechseln...
Noch etwas zu Mailserver:
Unseren haben wir ja bei Speicheranbieter. Die Mails allerdings werden von GMail über POP direkt in eigene GMail Accounts geholt (TLS ist dabei aktiv). Diese verschlüsselte TLS Übertragung konnte man schon vertrauen oder? Auf jeden Fall werden wir jetzt aber auf PGP-Softwarelösungen wechseln...
Hallo,
aber man sollte solche Sachen nicht auf die lange Bank schiebend denn
dann geht es demnächst wieder in die Hose und dann haben die eventuell
noch Erfolg und dann wollen "die anderen" auch mehr Geld "verdienen"
nämlich Eures.
Minuten die Mail ab und versendet sie aber sofort.
Denn Eure Mail Adresenn und IPs haben die jetzt erst einmal, das ist sicher!
Und wenn man nun davon ausgeht das man bei Euch etwas holen kann
ist die Wahrscheinlichkeit wohl eher hoch als niedrig anzusehen das sie
es noch einmal bzw. mehrmals versuchen.
Dort wurde kein Script hinterlegt was alles zu denen kopiert?
Die IPMI Schnittstelle am Server ist abgesichert mittels einer neuen Firmware?
oder Anbieter schon alles im Klartext mitlesen kann?
nur dann muss eben auch sichergestellt sein das die PCs einfach neu aufgesetzt
werden und auch eine AV Software benutzt wird und ich meine nicht den MS eigenen
AV Schutz MSRT. und da sehe ich das wirkliche Problem bei Euch. Ebenso mit dem
Backup und der Nutzung der PCs für nur die geschäftlichen Zwecke, klar ich kann mich
auch irren nur mir ist eben so.
Gruß
Dobby
Vielen Dank Dir Gobby! Wir haben den Punkt Sicherheit total ausgeblendet,
da wir zurzeit Unmengen an Aufgaben haben...
Klar wenn das liebe Geld lockt setzt der verstand aus, gar keine Frageda wir zurzeit Unmengen an Aufgaben haben...
aber man sollte solche Sachen nicht auf die lange Bank schiebend denn
dann geht es demnächst wieder in die Hose und dann haben die eventuell
noch Erfolg und dann wollen "die anderen" auch mehr Geld "verdienen"
nämlich Eures.
Noch etwas zu Mailserver:
Besser der steht lokal bei Euch in der Firma und holt ab und an zum Beispiel alle 5Minuten die Mail ab und versendet sie aber sofort.
Denn Eure Mail Adresenn und IPs haben die jetzt erst einmal, das ist sicher!
Und wenn man nun davon ausgeht das man bei Euch etwas holen kann
ist die Wahrscheinlichkeit wohl eher hoch als niedrig anzusehen das sie
es noch einmal bzw. mehrmals versuchen.
Unsere haben wir ja bei Speicheranbieter.
Und der hat kein Probelm bzw, einen Einbruch zu vermelden?Dort wurde kein Script hinterlegt was alles zu denen kopiert?
Die IPMI Schnittstelle am Server ist abgesichert mittels einer neuen Firmware?
Die Mails allerdings werden von GMail über POP direkt in eigene GMail Accounts geholt
(TLS ist dabei aktiv). Diese verschlüsselte TLS Übertragung konnte man schon vertrauen oder?
Was nützt Dir eine Verschlüsselung auf dem Transportweg wenn man an Deinem Server(TLS ist dabei aktiv). Diese verschlüsselte TLS Übertragung konnte man schon vertrauen oder?
oder Anbieter schon alles im Klartext mitlesen kann?
Auf jeden Fall werden wir jetzt aber auf PGP-Softwarelösungen wechseln...
GPG4win für Outlook oder aber Enigmail für thunderbird reicht schon völlig ausnur dann muss eben auch sichergestellt sein das die PCs einfach neu aufgesetzt
werden und auch eine AV Software benutzt wird und ich meine nicht den MS eigenen
AV Schutz MSRT. und da sehe ich das wirkliche Problem bei Euch. Ebenso mit dem
Backup und der Nutzung der PCs für nur die geschäftlichen Zwecke, klar ich kann mich
auch irren nur mir ist eben so.
Gruß
Dobby
