Phising-E-Mails mit bekannten Absendern

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

Phising-E-Mails mit bekannten Absendern

Jürgen Gmach
Hi,

zwei meiner Kollegen (an zwei verschiedenen Standorten / getrennte
Netzwerke) haben unabhängig voneinander innerhalb weniger Tage recht gut
gemachte Phising-E-Mails bekommen mit der Aufforderung einen Link zu
klicken und dort eine Rechnung runterzuladen.

Das Besondere:
Bei beiden E-Mails war die Absendeaddresse eine echte Kundenadresse bzw.
die Adresse unseres Vermieters. Bzw. auf den zweiten Blick nicht mehr,
also echter.kontakt@... < fake.addresse@...>

Geht im Moment ne größere Spamwelle um?

Wie kommt der Spammer an sowohl unsere, als auch echte Kunden- bzw.
Lieferantendaten?

Ich kann mir da nur drei Sachen vorstellen:
- meine Kollegen haben sich was eingefangen
- der Kunde und der Vermieter haben sich was eingefangen
- der E-Mailverkehr läuft über "unsaubere" Server und irgendwer greift
da E-Mailadressen ab

Gibt es dazu Meinungen?

Danke!

--
Jürgen Gmach . [hidden email] . +49 9482 941545
APIS Informationstechnologien GmbH . http://www.apis.de
Gewerbepark A 13, 93086 Wörth/Donau . Deutschland
Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684)
Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck
Reply | Threaded
Open this post in threaded view
|

Re: Phising-E-Mails mit bekannten Absendern

Dirk Jakobsmeier
Guten Morgen,

wir haben derzeit das selbe Problem und ich bin auf der Suche nach einer Filtermethode über die Message-ID da diese ebenfalls gefaked aussieht. Eine interne MID kann von extern nicht kommen. Ich habe nur noch keinen Weg gefunden das umzusetzen da der Filter nur auf der externen IP aktiv sein darf.

Meine Vermutung zur entstehung sind vor allem "unsichere" Handys auf denen Mitarbeiter und auch Kunden/Lieferanten Mailadressen speichern. Eine endlose Diskussion, gerade auch was den Datenschutz angeht. Einen Kunden haben wir schon mit Mailadressen im Adressbuch und XING-App gefunden und auf einmal kamen etliche Einladungen an unsere internen Mailverteiler. Der Datenschutz und die IT-Sicherheit wird gerade bei Smart-Phones sträflich vernachlässigt.

Ich habe einen Thread "Nur auf einer IP Message-ID blocken", mal sehen ob jemand einen Tip für einen Filter hat.

On Tue, Sep 26, 2017 at 04:06:53PM +0200, Jürgen Gmach wrote:

> Hi,
>
> zwei meiner Kollegen (an zwei verschiedenen Standorten / getrennte
> Netzwerke) haben unabhängig voneinander innerhalb weniger Tage recht gut
> gemachte Phising-E-Mails bekommen mit der Aufforderung einen Link zu klicken
> und dort eine Rechnung runterzuladen.
>
> Das Besondere:
> Bei beiden E-Mails war die Absendeaddresse eine echte Kundenadresse bzw. die
> Adresse unseres Vermieters. Bzw. auf den zweiten Blick nicht mehr, also
> echter.kontakt@... < fake.addresse@...>
>
> Geht im Moment ne größere Spamwelle um?
>
> Wie kommt der Spammer an sowohl unsere, als auch echte Kunden- bzw.
> Lieferantendaten?
>
> Ich kann mir da nur drei Sachen vorstellen:
> - meine Kollegen haben sich was eingefangen
> - der Kunde und der Vermieter haben sich was eingefangen
> - der E-Mailverkehr läuft über "unsaubere" Server und irgendwer greift da
> E-Mailadressen ab
>
> Gibt es dazu Meinungen?
>
> Danke!
>
> --
> Jürgen Gmach . [hidden email] . +49 9482 941545
> APIS Informationstechnologien GmbH . http://www.apis.de
> Gewerbepark A 13, 93086 Wörth/Donau . Deutschland
> Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684)
> Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck

--


Mit freundlichem Gruß

Dirk Jakobsmeier
Tel.: +49 751 36609-29
Fax: +49 751 36609-66
Mail: [hidden email]

WIGE Konstruktionen GmbH & Co. KG
Persönlich haftende Gesellschafterin:
Sitz Ravensburg                         WIGE Konstruktionen Verwaltungsgesellschaft mbH
Amtsgericht Ravensburg HRA Nr. 1493 Amtsgericht Ravensburg HRB Nr. 2534
Schwanenstrasse 4, 88214 Ravensburg Geschäftsführer: Thomas & Jochen Geschwentner

Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and delete this e-mail. Any unauthorized copying, disclosure or distribution of contents of this e-mail is strictly forbidden.
Before printing, think about ENVIRONMENTAL responsibility


Reply | Threaded
Open this post in threaded view
|

Re: Phising-E-Mails mit bekannten Absendern

Daniel-6
In reply to this post by Jürgen Gmach
Hi,

verwendest keine Prüfung von Hostnamen?

Also sowas wie:
reject_unknown_hostname,
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,

Oder kommt Spam wirklich korrekt eingeliefert mit fraglichen Inhalt von Kundenaccount? Sprich von nem Botnet bzw. gehackten Account?

Gruß Daniel

> Am 26.09.2017 um 16:06 schrieb Jürgen Gmach <[hidden email]>:
>
> Hi,
>
> zwei meiner Kollegen (an zwei verschiedenen Standorten / getrennte Netzwerke) haben unabhängig voneinander innerhalb weniger Tage recht gut gemachte Phising-E-Mails bekommen mit der Aufforderung einen Link zu klicken und dort eine Rechnung runterzuladen.
>
> Das Besondere:
> Bei beiden E-Mails war die Absendeaddresse eine echte Kundenadresse bzw. die Adresse unseres Vermieters. Bzw. auf den zweiten Blick nicht mehr, also echter.kontakt@... < fake.addresse@...>
>
> Geht im Moment ne größere Spamwelle um?
>
> Wie kommt der Spammer an sowohl unsere, als auch echte Kunden- bzw. Lieferantendaten?
>
> Ich kann mir da nur drei Sachen vorstellen:
> - meine Kollegen haben sich was eingefangen
> - der Kunde und der Vermieter haben sich was eingefangen
> - der E-Mailverkehr läuft über "unsaubere" Server und irgendwer greift da E-Mailadressen ab
>
> Gibt es dazu Meinungen?
>
> Danke!
>
> --
> Jürgen Gmach . [hidden email] . +49 9482 941545
> APIS Informationstechnologien GmbH . http://www.apis.de
> Gewerbepark A 13, 93086 Wörth/Donau . Deutschland
> Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684)
> Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck

smime.p7s (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Phising-E-Mails mit bekannten Absendern

Jürgen Gmach
> Also sowas wie:
> reject_unknown_hostname,
> reject_unknown_recipient_domain,
> reject_unknown_sender_domain,

Den ersten Eintrag haben wir nicht, die beiden anderen schon.

> Oder kommt Spam wirklich korrekt eingeliefert mit fraglichen Inhalt
> von Kundenaccount? Sprich von nem Botnet bzw. gehackten Account?

Das kann ich grad nicht sagen. Ich habe keine der fraglichen E-Mails im
Moment vorliegen.

Mir gings erst einmal darum herauszufinden, wie diese passenden
Sender/Empfänger-Kombinationen überhaupt zustandekommen können.

Der zweite Schritt wäre dann die Spam-E-Mails zu erkennen und zu
verhindern.

Gruß,

--
Jürgen Gmach . [hidden email] . +49 9482 941545
APIS Informationstechnologien GmbH . http://www.apis.de
Gewerbepark A 13, 93086 Wörth/Donau . Deutschland
Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684)
Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck
Reply | Threaded
Open this post in threaded view
|

AW: Phising-E-Mails mit bekannten Absendern

Daniel-6
Hi,

ich verwende auch "reject_unknown_hostname", kommt öfters vor, dass IP Adressen keinen Hostnamen haben dann aber Vorgeben Paypal zu sein oder "Bekannte/Freunde" (mit Yahoo, Live oder ähnlichem wo es wohl mal Lücken/Hacks gab ect.), und im helo hast irgendwas ausländischen dsl/calbe Anschluss oder so was absolut nicht passt.

Ist ja nicht so, dass große Firmen oder Banken ect. SPF einsetzen und DNSsec samt DANE ect. und lieber nur lapidar warnen, dass mal wieder Spam unterwegs ist, oder sogar noch Schritt weitergehen und man doch bitte deren Absender pauschalt in Whitelist nehmen möchte, damit bloß deren Mails mit ungültigen Hostnamen oder falschen SPF ect. durchkommen oder andere Versender für Newsletter ect. in derem Namen versenden, aber eben nicht berechtigt sind zu.

Ne IP Adresse die kein Hostnamen (PTR) hat, wird von mir gnadenlos abgelehnt, und da ich reject täglich im Script Auswerte überfliege ich so mal diese und schreib ggf. mal nen Webmaster an wenn was abgelehnt wird, was nicht so sein sollte. In seltenen Fällen Bedank sich Postmaster sogar, da man bei ner Umstellung einfach nen Eintrag im DNS vergessen hat oder so.

Beispiele wären da z.B.:
postfix/smtpd[32455]: NOQUEUE: reject: RCPT from unknown[124.150.134.59]: 450 4.7.25 Client host rejected: cannot find your hostname, [124.150.134.59]; from=<[hidden email]> to=<X> proto=ESMTP helo=<mail.july.com.tw>
postfix/smtpd[26740]: NOQUEUE: reject: RCPT from unknown[1.54.116.178]: 450 4.7.25 Client host rejected: cannot find your hostname, [1.54.116.178]; from=<[hidden email]> to=<X> proto=ESMTP helo=<[1.54.116.178]>
Server postfix/smtpd[16618]: NOQUEUE: reject: RCPT from unknown[115.118.240.252]: 450 4.7.25 Client host rejected: cannot find your hostname, [115.118.240.252]; from=<[hidden email]> to=<X> proto=ESMTP helo=<115.118.240.252.static-mumbai.vsnl.net.in>

Mancher Spam vor dem selbst hier in Liste mal gewarnt wurde, wurde so abgewiesen ohne dass ich noch spezielle reject Regeln schreiben musste.

Muss aber jeder selbst wissen, bei mir ist meiste eh Spam was so abgewiesen wird, eher Einzelfall dass Bekannter Server scheitert.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Jürgen Gmach
Gesendet: Mittwoch, 27. September 2017 18:54
An: Diskussionen und Support rund um Postfix
Betreff: Re: Phising-E-Mails mit bekannten Absendern

> Also sowas wie:
> reject_unknown_hostname,
> reject_unknown_recipient_domain,
> reject_unknown_sender_domain,

Den ersten Eintrag haben wir nicht, die beiden anderen schon.

> Oder kommt Spam wirklich korrekt eingeliefert mit fraglichen Inhalt
> von Kundenaccount? Sprich von nem Botnet bzw. gehackten Account?

Das kann ich grad nicht sagen. Ich habe keine der fraglichen E-Mails im
Moment vorliegen.

Mir gings erst einmal darum herauszufinden, wie diese passenden
Sender/Empfänger-Kombinationen überhaupt zustandekommen können.

Der zweite Schritt wäre dann die Spam-E-Mails zu erkennen und zu
verhindern.

Gruß,

--
Jürgen Gmach . [hidden email] . +49 9482 941545
APIS Informationstechnologien GmbH . http://www.apis.de
Gewerbepark A 13, 93086 Wörth/Donau . Deutschland
Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684)
Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck

smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Phising-E-Mails mit bekannten Absendern

Frank Lanitz
In reply to this post by Jürgen Gmach
On 26.09.2017 16:06, Jürgen Gmach wrote:

> Hi,
>
> zwei meiner Kollegen (an zwei verschiedenen Standorten / getrennte
> Netzwerke) haben unabhängig voneinander innerhalb weniger Tage recht gut
> gemachte Phising-E-Mails bekommen mit der Aufforderung einen Link zu
> klicken und dort eine Rechnung runterzuladen.
>
> Das Besondere:
> Bei beiden E-Mails war die Absendeaddresse eine echte Kundenadresse bzw.
> die Adresse unseres Vermieters. Bzw. auf den zweiten Blick nicht mehr,
> also echter.kontakt@... < fake.addresse@...>
>
> Geht im Moment ne größere Spamwelle um?
>
> Wie kommt der Spammer an sowohl unsere, als auch echte Kunden- bzw.
> Lieferantendaten?
>
> Ich kann mir da nur drei Sachen vorstellen:
> - meine Kollegen haben sich was eingefangen
> - der Kunde und der Vermieter haben sich was eingefangen
> - der E-Mailverkehr läuft über "unsaubere" Server und irgendwer greift
> da E-Mailadressen ab
>
> Gibt es dazu Meinungen?
Ich hätte da noch eine Idee: Zufall.
Unter der Annahme das Spam automatisch durch Permutationen geniert wird,
z.B. aus irgendwie abhanden gekommenen Adressbüchern, kann es ja sein,
dass die schlechten Spams/Phishingmails bereits in den Schutzmechanismen
hängen bleiben und man nur die "guten" sieht.

Gruß Frank



signature.asc (849 bytes) Download Attachment