Probleme mit Phishingmails

[Dirk-HH-83 14]

Hallo, 

 

bei der 20 Mann Firma mit Exchange 2013 (Patchstand ca. Mitte 2017) gibt es einen Man-in-the-Middle Angriff. (Vermutung), die Betrugsversuche waren erkennbar und es ist bisher nichts passiert.

 

Bei dem ausländischen Geschäftspartner (ebenfalls ca. 20 Mann)  landen Mails aktueller Geschäftsvorgänge im Posteingang. (PDF Rechnungen / Aufforderungen die geänderten Bankdaten zu benutzen)

In CC ist der Kollegenkreis der deutschen Firma, aber nur vom Anzeigenamen her.

Reply-to jedoch lautet auf sowas wie die-entsprechende-deutsche-mailadresse@ge-hijackte-domain.com

Die Domain nach dem @ Zeichen ist offenbar nicht extra angelegt und nicht der deutschen Firma nachempfunden.

Der Header dieser Mails besagt eine kurze Weltreise und ist beiden Firmen nicht zuzuordnen.

 

Das ganze passiert jetzt zum zweiten Mal mit demselben ausländischen Geschäftspartner.

OWA ist bei jedem Postfach gesperrt.

im ECP kann man ja sehen welche EAS Geräte mit den Postfächer verbunden sind bzw. läßt sich das mit Powershell abfragen. (dabei wurden bis jetzt keine Auffälligkeiten entdeckt) (es gibt kein MDM bisher)

Outlook Anywhere m.A. ist nach nicht eingerichtet, bzw. wird bei EAS mit selbst signierten Zertifikaten gearbeitet.

Der POP3 Abruf über Port 110 (unverschlüsselt) war bis heute in Kopie die letzten 3 Tage. Wechsel auf Direktempfang steht kurz bevor.

Aus logistischen Gründen hat jedes Postfach 3-8 Vollzugriffe der Kollegen.

 

Es gab vor vielen Monaten einen ähnlichen Vorfall mit einem anderen Geschäftspartner und  davor ein Mailversand nachweislich über OWA/EAS  in ähnlichem Zusammenhang.  (lag an einem sehr schlechten Passwort)

 

Die Passwörter sind mittlerweile verstärkt / geändert.

 

Es wäre wohl zu klären, ob die Rechnungsmail der deutschen Firma bei der ausländischen Partner gelöscht wurde und durch die Phishingsmail ersetzt wurde.   

Vom Timing/Plausibilität her kommen die Phishing-Rechnungen scheinbar zum richtigen Zeitpunkt zu Gunsten asiatischer Bankkonten.

Das einzige Einfallstor ist m.A. nach EAS.   Emailarchivierung gibt es nicht.

Ideen-Maßnahmen: Direktempfpang, SPF Eintrag setzen, Gateway für Emailsignierung/Verschlüsselung besorgen, Emails über Gateway als PDF-Container verschlüsseln, EAS Geräterichtlinien durchsetzen, signierte PDF Rechnungen erstellen, alle PCs austauschen wegen Rootskits, Rechnungen nur verschlüsselte ZIP Datei versenden,  443 eingehend über die Firewall Geolocation-Dienste nur aus Deutschland erlauben, TBC....

 

Wo könnte hier der Schwachpunkt sein?  

 

[testperson 1.680]

Hi,

 

ich würde erstmal prüfen, ob die Mails tatsächlich über einen der Server der Firmen gesendet wurden. Warum sollte jemand, der einen Account samt Passwort hat, nicht die korrekte Firmenadresse nutzen?

Sollte die Mail über einen beteiligten Server gesendet worden sein, dürfte SPF rein gar nix bringen. Wenn nur der Anzeigename mit der E-Mail-Adresse identisch ist, dann bringt SPF ebenalls nix. Wurden die Anhänge mal analysiert oder ist es der gute alte "CEO Fraud" (Wo ich mich immer noch Frage, wie man bei sowas solche Mengen Geld anweisen kann...)?

 

Ein Exchange mit Stand mitte 2017 sollte man evtl. auch mal aufs vorerst letzte CU 21 updaten.

 

Generell ist es aber vermutlich mit den etwas konfusen Infos schwer was dazu zu sagen. Ich wüsste jetzt nichtmal, ob du die Umgebung schon länger betreust oder die Infos "mal eben so" bekommen hast.

 

Gruß

Jan

[NorbertFe 2.035]

vor 18 Minuten schrieb Dirk-HH-83:

Man-in-the-Middle Angriff. (Vermutung),

Wie kommt man denn zu dieser Vermutung? Und ohne das jetzt "unterbewerten" zu wollen, überbewerten würde ich das an deiner Stelle auch nicht. Das ist leider inzwischen fast Normalität, dass eben Phishing und auch Spear Fishing langsam im deutschsprachigem Raum (Absender und Empfänger) angekommen ist.

vor 5 Minuten schrieb testperson:

Wo ich mich immer noch Frage, wie man bei sowas solche Mengen Geld anweisen kann...

Man soll ja nie nie sagen, aber ich kanns auch nicht so richtig verstehen. :)

vor 21 Minuten schrieb Dirk-HH-83:

Wo könnte hier der Schwachpunkt sein?  

Das kann man mit den Infos _nicht_! seriös beantworten.

[Dirk-HH-83 14]

vor 11 Minuten schrieb testperson:

Hi,

 

ich würde erstmal prüfen, ob die Mails tatsächlich über einen der Server der Firmen gesendet wurden. Warum sollte jemand, der einen Account samt Passwort hat, nicht die korrekte Firmenadresse nutzen?

Sollte die Mail über einen beteiligten Server gesendet worden sein, dürfte SPF rein gar nix bringen. Wenn nur der Anzeigename mit der E-Mail-Adresse identisch ist, dann bringt SPF ebenalls nix. Wurden die Anhänge mal analysiert oder ist es der gute alte "CEO Fraud" (Wo ich mich immer noch Frage, wie man bei sowas solche Mengen Geld anweisen kann...)?

 

Ein Exchange mit Stand mitte 2017 sollte man evtl. auch mal aufs vorerst letzte CU 21 updaten.

 

Generell ist es aber vermutlich mit den etwas konfusen Infos schwer was dazu zu sagen. Ich wüsste jetzt nichtmal, ob du die Umgebung schon länger betreust oder die Infos "mal eben so" bekommen hast.

 

Gruß

Jan

 

 

>ich würde erstmal prüfen, ob die Mails tatsächlich über einen der Server der Firmen gesendet wurden. Warum sollte jemand, der einen Account samt Passwort hat, nicht die korrekte Firmenadresse nutzen?

 

Weil das seine Tarnung auffliegen läßt.   Deshalb versendet er von ausserhalb.   Diese Mails haben 3-6 Mann in CC beider Firmen. 

Soll heißen die ausländische Firma erhält die Zahlungsaufroderung mit den richtigen Empfängeradressen für den "CEO Fraud" und in CC die deutsche Firma mit den richtigen Displaynamen aber falschen reply-to-adressen. (die aber keine NDR generieren)

 

Die Umgebung ist nicht neu.

 

[NorbertFe 2.035]

Aluhut? Oder gibts mehr also solche "Vermutungen"? Wie würdest du denn jetzt vorgehen?