Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mails wurden abgefangen und verfälscht

Frage Internet E-Mail

Mitglied: Shnuuu

Shnuuu (Level 1) - Jetzt verbinden

15.02.2013 um 12:30 Uhr, 7110 Aufrufe, 5 Kommentare, 1 Danke

Hallo,

wir haben hier ein ernstes problem. Eine Mail an einen Kunden aus Uganda wurde abgefangen und der Inhalt wurde verfälscht. Zum Glück ist (noch) kein Schaden entstanden und es ist aufgefallen. Fangen wir von vorne an:

Eine Kollegin beschwehrte sich die letzten Tage das sie immer eine Unzustellbarkeitsmail bekommt wenn sie an einen Kunden geschrieben hat und ein Kollege von uns dabei in CC war. (Im Bericht weiter unten "KollegeCC").
Da die Mails aber trotzdem an dem KollegenCC ankamen war das erstmal noch nicht tragisch. Ich bin dann erst heute dazu gekommen wir das mal anzuschauen.

Heute habe ich erfahren, dass dies nur passiert wenn sie an diesen einen Kunden schreibt und eben dort den Kollegen in CC hat.

In den Unzustellbarkeitsberichten viel auf, dass dort ein Minuszeichen zuviel drin war. Also beispiel:
Richtig: kollegeCC@firma-online.com
Im Bericht: kollegeCC@firma--online.com

Aber dann kam der Knall als ich mir den Bericht genauer ansah:

Diagnoseinformationen für Administratoren:

Generierender Server: emkei.cz

kollegeCC@firma--online.com
#< #5.4.4 X-Postfix; Host or domain name not found. Name service error for name=firma--online.com type=AAAA: Host not found> #SMTP#

Ursprüngliche Nachrichtenkopfzeilen:

Return-Path: <kollegin@herzog-online.com>
Received: by emkei.cz (Postfix, from userid 33) id 627F2D5ED4; Mon, 11 Feb
2013 09:56:58 +0100 (CET)
To: <Kunde@yahoo.com>
Subject: Re: MONEY/delivery of the 3 machines
From: "Kollegin" <kollegin@firma-online.com>
CC: Kollege CC <kollegeCC@firma--online.com>
X-Priority: 3 (Normal)
Importance: Normal
Errors-To: Kollegin@firma-online.com
Reply-To: Kollegin <compensation_020@hotmail.com>
Content-Type: text/html; charset="utf-8"
Message-ID: <20130211085658.627F2D5ED4@emkei.cz>
Date: Mon, 11 Feb 2013 09:56:58 +0100
MIME-Version: 1.0



Hier fiel sofort emkei.cz als generierender Server auf, obwohl die mail an Yahoo ging. Geht mal auf www.emkei.cz
Dort kann man Fake Emails erstellen.
Außerdem die Reply-To Mail Adresse "compensation_020@hotmail.com" scheint wohl die des Hackers zu sein.


Anscheinend wurden die Mails abgefangen, deren Inhalt verändert und über Den dienst emkei.cz erneut verschickt.
Zu unserer Serverstruktur:
Die Clients arbeiten über Citrix und verschicken auch dort über Outlook 2003 (Ja ich weiß...) ihre Mails.
Der Mail Server ist ein Exchange 2007. Die Mails gehen dann an unseren Provider raus der den Email Empfang & Versand übernimmt. (Für den Empfang haben wir Popcon & ein catchall Konto)

Für mich stellt sich jetzt grad die entscheidene Frage wo die Mails abgefangen wurden und ob wir hier im Haus infiltriert sind oder ob dies erst unterwegs/ beim Kunden geschehen ist.
Unserer Provider ist natürlich informiert und sollte gerade checken was mit den Mails geschehen ist.

Habt ihr Tipps & Empfehlungen was ich tun kann oder überprüfen sollte?

Grüße,
Shnu
Mitglied: AndiEoh
15.02.2013 um 13:22 Uhr
Hallo

folgende Vorgehensweise:

- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
- Prüfen wohin die Mail von euch aus rausging (tatsächlich zum Provider oder nicht)
- Vom Provider die Loginformation verlangen wohin die Mail weiter gereicht wurde

Möglicherweise handelt es sich nur um einen Irrläufer wegen seltsamer Weiterleitungsregeln oder sonstiger Versuche beim Kunden. Was zumindest theoretisch auch möglich ist:

- Yahoo Account des Kunden wurde gehackt/gephished
- Per DNS Spoofing bei eurem Provider wurde die e-Mail falsch weiter geleitet
- Per wie auch immer geartete MitM Attacke wurde die Mail abgefangen/verändert

Falls die Sachen kritisch/vertraulich sind solltet Ihr über PGP oder S/MIME nachdenken.

Gruß

Andi
Bitte warten ..
Mitglied: Shnuuu
15.02.2013, aktualisiert um 13:43 Uhr
Hallo AndieEoh.

- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
-> Wie gesagt eine Mail wurde sicher gefälscht. Dort waren andere Bankverbindungen eingetragen als sie von der Kollegin verschickt wurde. Die anderen wurden aber auch schon länger abgefangen. Ab dem 30.01 fing es an, dass wir unzustellbarkeitsberichte bekommen haben und in diesen die Falschen Information (emkei.cz usw) drin stehen.


- Prüfen wohin die Mail von euch aus rausging (tatsächlich zum Provider oder nicht)
-> Wie kann ich das Prüfen? In der Exchange Nachrichtenverfolgung sieht alles ok aus. Dort stimmen die Empfänger. Ob die Mails beim Provider angekommen sind, kann nur er mir sagen?!

- Vom Provider die Loginformation verlangen wohin die Mail weiter gereicht wurde
-> Ist in Arbeit. Ich warte auf die Antwort.



Möglicherweise handelt es sich nur um einen Irrläufer wegen seltsamer Weiterleitungsregeln oder sonstiger Versuche beim Kunden.
-> Glaube ich nicht, da es wie gesagt seit dem 30.01 bei mehreren Mails zu diesem Kunden passiert ist.

Falls die Sachen kritisch/vertraulich sind solltet Ihr über PGP oder S/MIME nachdenken.
-> Wenn die Sache vom Tisch ist, werden wir definitv mal über sowas nachdenken.
Bitte warten ..
Mitglied: AndiEoh
15.02.2013 um 16:00 Uhr
Zitat von Shnuuu:
Hallo AndieEoh.

- Prüfen was ist beim Kunde angekommen (am besten komplett zuschicken lassen)
-> Wie gesagt eine Mail wurde sicher gefälscht. Dort waren andere Bankverbindungen eingetragen als sie von der Kollegin
verschickt wurde. Die anderen wurden aber auch schon länger abgefangen. Ab dem 30.01 fing es an, dass wir
unzustellbarkeitsberichte bekommen haben und in diesen die Falschen Information (emkei.cz usw) drin stehen.


Es geht nicht nur um die Fälschung sondern auch wer diese Mail über welche Stationen bei eurem Kunden zugestellt hat. Das ist in den Mailheadern vermerkt...


- Prüfen wohin die Mail von euch aus rausging (tatsächlich zum Provider oder nicht)
-> Wie kann ich das Prüfen? In der Exchange Nachrichtenverfolgung sieht alles ok aus. Dort stimmen die Empfänger. Ob
die Mails beim Provider angekommen sind, kann nur er mir sagen?!

Es geht nicht um die Empfänger, sondern darum ob eure Exchange bereits "ausgetrickst" wurde, oder ob die e-Mail korrekt an die IP-Adresse der Provider Relay weiter gereicht wurde.

- Vom Provider die Loginformation verlangen wohin die Mail weiter gereicht wurde
-> Ist in Arbeit. Ich warte auf die Antwort.


Das ist der wichtige Part, damit kann man den Weg bis zu Yahoo.com beweisen oder auch nicht.


Möglicherweise handelt es sich nur um einen Irrläufer wegen seltsamer Weiterleitungsregeln oder sonstiger Versuche beim
Kunden.
-> Glaube ich nicht, da es wie gesagt seit dem 30.01 bei mehreren Mails zu diesem Kunden passiert ist.


Wenn Kontodaten verändert werden sieht es eher gezielt nach Betrug aus...


Falls die Sachen kritisch/vertraulich sind solltet Ihr über PGP oder S/MIME nachdenken.
-> Wenn die Sache vom Tisch ist, werden wir definitv mal über sowas nachdenken.

JETZT ist der Zeitpunkt. Dieser Vorfall zeigt doch schon deutlich das Angriffspotential vorhanden ist und auch genutzt wird.

Gruß

Andi
Bitte warten ..
Mitglied: Shnuuu
20.02.2013 um 08:20 Uhr
Hi,

kleines Update.
Wir wissen momentan so viel, dass die Mails von unserer Seite aus alle korrekt übermittelt worden sind.
Laut den Logs unseres Providers wurden alle Mails ordnungsgemäß an die Yahoo Server übermittelt.

Wir wissen außerdem, dass bei einem der Empfänger eine Mail nie bei ihm angekommen ist, obwohl sie laut den Logs abgeliefert wurde. Das Spricht dann dafür das der Hacker diese Abgefangen/Gelöscht hat.

Über die seite emkei.cz schickt der Hacker immer noch täglich Mails in unserem Namen an die Jungs aus Uganda. Wir bekommen dann jedes mal eine Unzustellbarkeitsmail, da der Hacker immer einen Kollegen von uns mit einer falschen Email Adresse die es nicht gibt "firma--online.com" in CC stellt. (Keine Ahnung warum sie das tun, sie spielen uns damit ja informationen zu.)

Mal sehen wie das weiter gehen wird, aufjedenfall wird wohl eine Strafanzeige gestellt.
Bitte warten ..
Mitglied: AndiEoh
20.02.2013 um 10:07 Uhr
Hallo,

meine Vermutung: Euer Kunde hat sich die Zugangsdaten zu seinem Yahoo Account klauen lassen. Es gibt leider immer noch viele Leute die im WLAN mal kurz unverschlüsselt Ihre Mails checken.
Zu den Bounces: Auch kriminelle kochen nur mit Wasser, wahrscheinlich ein simpler copy&paste Fehler.

Gruß

Andi
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Versendete Mail wurde gelesen ?
Frage von Fitzel69Exchange Server6 Kommentare

Hallo zusammen, folgende Frage: Ich habe einen Exchnage Server 2007 Auf dem Client setzen wir Outlook 2010 ein. Als ...

Firewall
Open VPN Zertifikat wird von Sophos verfälscht
gelöst Frage von VladislavFirewall10 Kommentare

Guten Tag an alle Adminisratoren, ich habe folgendes Problem: Ich habe Netz A(192.168.100.x) und Netz B(192.168.1.x) zwischen den beiden ...

Exchange Server
Bilddateien defekt nach Email versand auch in PDF-Dateien sind die Bilder verfälscht
gelöst Frage von MorpheussuhlExchange Server8 Kommentare

Hallo, Ich hab in unserer Firma seit ca. zwei Wochen ein schweres Problem mit unserem Email-Versand. Da wir bestimmt ...

Exchange Server
Mails aus Outlook (PC) Verschwunden nach dem Outlook auf dem terminalserver geöffnet wurde
gelöst Frage von SirLonestarExchange Server4 Kommentare

Hallo allerseits, Wir nutzen eine Kombination aus PCs (Arbeitsplatz) und Terminalserver. Auf den PCs (Win XP / Win7) ist ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 10 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 15 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 15 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
SMBv1 deaktivieren führte zur Katastrophe, keine Domänenanmeldung mehr
Frage von Freak-On-SiliconWindows Server14 Kommentare

Servus; Habe Mist gebaut. Umgebung: Server 2012R2 Domäne 2x DC ~10 Memberserver (2012R2 und 2008R2) ~100 Windows 8 Clients ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Grafikkarten & Monitore
2x 4K Monitore an einer GraKa betreiben
gelöst Frage von JollyJumper83Grafikkarten & Monitore10 Kommentare

Hallo liebe IT-Gemeinde, ich bin auf der Suche nach einer kostengünstigen GraKa für meinen Präsentations-PC. Wir möchten in unserem ...