Software Frage Firmenkonto Emails mit Inhalt werden verschickt -Trojaner?

Dieses Thema im Forum "Tech & FAQ Forum" wurde erstellt von lessie, 18 April 2019.

  1. lessie

    lessie Bekanntes Mitglied

    Registriert seit:
    23 April 2001
    Beiträge:
    6.780
    Hey,

    wir haben ein Problem: unter dem Namen eines Kollegen werden Emails mit altem Anhang verschickt und als neu "Email" dann so ein Rotz:
    "gerne senden wir Ihnen die gewünschten Dokumente im Anhang dieser E-Mail als .doc-Datei.
    hxxx://xxxx.de/files/JQN-237-T1175/xxx_06623525680_April_18_2019.doc"
    (als xxx Domain unserer Firma---das ganze geht zu so einer komischen Webseite: http://drhsetayesh.ir/wp-admin usw.)

    Mit freundlichen Grüße
    Name des Mitarbeiters

    Ich habe schon seinen Computer neu Aufgesetzt und die Festplatte durch ne SDD ersetzt. Also alles frisch.

    wir haben nen Exchange Server 2011. Woran liegt es nun? Die Firma die uns betreut meint, wir müssen die .de Domain aufgeben und in com ummüntzen, dann hätten wir ruhe. Wirklich so?
    Zuletzt bearbeitet: 3 Mai 2019
  2. the gun

    the gun Bedaure die Lebenden ohne Liebe.

    Registriert seit:
    12 Dezember 2001
    Beiträge:
    685
    So einen Fall hatten bei unserem Exchange Server auch schon mal. Da wurden allerdings die Mails unverändert rausgeschickt. Das war dann ein Datenbankfehler der durch unsachgemäßes Handling entstanden ist. Bei uns hat dann eine Datenbank Reparatur den Spuk beseitigt.
    Bei dir lese ich aber raus, das die Mails verändert werden, das riecht doch eher nach einem Trojaner oder ähnlichem Unrat auf dem Server.
  3. lessie

    lessie Bekanntes Mitglied

    Registriert seit:
    23 April 2001
    Beiträge:
    6.780
    Es werden alte Emails an die jeweiligen Adressaten dieser Mails praktisch zurückgeschickt, mit dem neuen Anhang. Zum Glück nicht Inhalte an fremde Leute.
  4. the gun

    the gun Bedaure die Lebenden ohne Liebe.

    Registriert seit:
    12 Dezember 2001
    Beiträge:
    685
    Die Domain (.DE) als Ursache scheint mir eher unwahrscheinlich. Ich würde da eher bei der Datenbank anfangen zu suchen.
    Eure betreuende Fa. scheint da aber eher von Fremdeinwirkung auszugehen. Ich würde die mal fragen ob sie Indizien dafür haben, die du evtl. nicht kennst.
  5. ibinsfei

    ibinsfei Team (Technik) Mitarbeiter

    Registriert seit:
    12 August 2001
    Beiträge:
    6.664
    Werden denn die Mails auch wirklich von eurem Server versendet? Schau dir die Header der Mails mal an, dann siehst du, von wo die kommen.
  6. lessie

    lessie Bekanntes Mitglied

    Registriert seit:
    23 April 2001
    Beiträge:
    6.780
    Return-Path: <stglee37@cfl.rr.com>
    Received: from cdptpa-cmomta01.email.rr.com ([107.14.166.228]) by
    mx.kundenserver.de (mxeue111 [217.72.192.67]) with ESMTPS (Nemesis) id
    1N002a-1gwn8o1qnm-00wvzR for <meinname@Firma.de>; Thu, 18 Apr 2019 11:24:16
    +0200
    Received: from [76.92.174.41] ([76.92.174.41]) by cmsmtp with SMTPA id
    H3HBhE2dgfHC7H3HDhXy8o; Thu, 18 Apr 2019 09:24:16 +0000
    Date: Thu, 18 Apr 2019 04:35:44 -0600

    Woher haben die dann die Inhalte der Emails?
  7. Joshua

    Joshua Gott sei Dank Atheist

    Registriert seit:
    17 September 2017
    Beiträge:
    741
    E-Mails sind Postkarten

    Für die Analyse des E-Mail Header kannst du auch Dienste aus der Linkliste Online-Tools verwenden:
    Zuletzt bearbeitet: 18 April 2019
  8. CForce

    CForce latent subversives Element

    Registriert seit:
    12 Dezember 2001
    Beiträge:
    2.232
    Ich weiß ja nicht wo deine Fa so ihre Server hat, aber die 76.92.174.41 ist aus Amiland.
    Eine Mail von einem deutschen Server an einen deutschen Server läuft normalerweise nicht über die USA.....
    Ohne den kompletten Header kann man dazu nicht wirklich was genaues sagen...... (mehr Input!)

    Kann aber durchaus sein, dass man die Mails bei euch gestohlen hat und jetzt verändert mit gefälschtem Header wieder verschickt.
    Es ist kein Problem den alten Header der Mail wieder an zu hängen.
    Jeder Server über den die Mail läuft hängt sozusagen den bisherigen Verlauf hinten an - nun heißt SMTP aber halt Simple Mail .... , bedeutet man kann seinen Mailserver auch einen gefälschten Verlauf anhängen lassen.
    Das erkennt man dann nur daran, das ein unbekannter Server in dem Weg der Mail hängt.

    Diese Vorgehensweise ist z.B. für Spam Versender nicht ungewöhnlich - in dem Fall um Spam.Filter zu umgehen.
    Oder auch um den (vermeintlichen) "Absender" mit den Rückläufern zu bombardieren oder zu kompromittieren. (Joe-Job).

    Gruß
    CForce

    P.S.
    Wenn E-Mails im Betrieb durch Dritte (wie auch immer) kompromittiert wurden ist das nach DSGVO ein meldepflichtiger Vorfall!

    P.S.S.
    Wenn der Link so wie Du schreibst stimmt, dann führt er zu einer Datei auf eurem Server - selbst wenn dort nur eine Weiterleitung liegt.....
    Ich fürchte Ihr habt ein weit größeres Problem.
    (Das aller größte Problem scheint mir jedoch die Firma zu sein, welche euch betreut....)
    w0hnzimmer sagt Danke.
  9. dodo

    dodo Anonymer Universaldilettant

    Registriert seit:
    22 April 2001
    Beiträge:
    1.941
    Zuletzt bearbeitet: 18 April 2019
  10. ibinsfei

    ibinsfei Team (Technik) Mitarbeiter

    Registriert seit:
    12 August 2001
    Beiträge:
    6.664
    Das Ganze hat nicht notwendigerweise etwas mit DSGVO, kompromitierten Servern o.ä. zu tun. Die Mails sind gefälscht, die Links sind Fake etc.
    Bei einer Mail kann jeder als Absender reinschreiben, was er will, das heisst nicht, dass der Absender wirklich die Mail verschickt hat. So wie es aussieht, sind auch die Links Fake, wenn z.B.
    HTML:
    <a href="http://www.fiese-seite.de">http://www.google.de</a>
    steht, sieht es so aus, als wäre es ein Link auf google, in Wirklichkeit ist es aber ein Link auf fiese-seite

    Siehe auch http://www.google.de ist nicht, was es scheint.

    Dass das in der Mail der Fall ist, erkennt man daran, dass die domain mit xxxx.de anonymisiert wurde, das hat aber den href nicht betroffen, der zeigt immer noch auf das ursprüngliche Ziel.
    Zuletzt bearbeitet: 19 April 2019
  11. lessie

    lessie Bekanntes Mitglied

    Registriert seit:
    23 April 2001
    Beiträge:
    6.780
    hey,
    das xxx hab ich nur darein gemacht, weil da unser Firmenname steht. Aber macht wohl keinen Unterschied ob xxx oder Firmenname.
  12. ibinsfei

    ibinsfei Team (Technik) Mitarbeiter

    Registriert seit:
    12 August 2001
    Beiträge:
    6.664
    Das ist klar, doch klick mal auf den Link in deinem Eingangspost. Du hast zwar deine Firmendomain geändert, den Link aber nicht. Die ganze Mail ist nur ein Fake und hat nichts mit eurer Firma oder euren Servern zu tun.
  13. CForce

    CForce latent subversives Element

    Registriert seit:
    12 Dezember 2001
    Beiträge:
    2.232
    Die Mails sind vermutlich fakes und von einem fremden Server verschickt - aber wenn sie den Text und gefälschten Header aus echten früheren Mails enthalten, dann sind diese geklaut worden.
    (und natürlich auch die Empfängeradressen!)
    Was die Sache sicher nicht besser macht.

    Außerdem muss die verlinkte .doc - Datei ja auf dem Firmenserver liegen (so der Link tatsächlich mit http://(firmenserver).de/ beginnt) -sonst wäre sie ja nicht erreichbar.
    Ist das so schwer nachzuschauen ob und was dort liegt?

    Ohne vernünftige Angaben und den kompletten Mailheader ist jede weitere Diskussion sinnlos.

    Gruß
    CForce

    P.S.
    Wenn ich hier lese wie bei einigen Unternehmen derartige Vorfälle behandelt werden kann ich nur noch den Kopf schütteln.
    Wären meine Mails betroffen und ich würde es erfahren hätte das Unternehmen die A-Karte gezogen!
  14. ibinsfei

    ibinsfei Team (Technik) Mitarbeiter

    Registriert seit:
    12 August 2001
    Beiträge:
    6.664
    Schau dir den Eingangspost an. Dort steht ein allgemeiner Text und der Link ist gefaked. Auch die Header sind nicht aus einer vorhandenen Mail übernommen, wie man in Post #5 sieht.
  15. CForce

    CForce latent subversives Element

    Registriert seit:
    12 Dezember 2001
    Beiträge:
    2.232
    Er schreibt doch: "werden Emails mit altem Anhang verschickt"

    oder in#6 "Woher haben die dann die Inhalte der Emails?"

    Auch die Header sind nicht aus einer vorhandenen Mail übernommen, wie man in Post #5 sieht. // Kennst Du seinen Firmenserver?
    Ich nicht.....

    Es hat aber keinen Sinn, man kann niemandem Helfen dem man alles einzeln aus der Nase ziehen muss.
    Ist das hier Rate mal mit Rosenthal? - für mich ist hier Schluss.

    Gruß
    CForce

    Edit
    Ah, jetzt seh' ichs, der Firmenname steht nur in der Beschreibung des Links, die stimmt aber nicht mit dem tatsächlichen Link überein.......

    Trotzdem, wenn der "alte Anhang" von originalen Mails dort drin ist, muss er ja irgendwo herkommen.

    P.S,
    Ich hab' dennoch keine Lust mehr, wenn man es nicht einmal schafft einfach so eine Mail anonymisiert in Rohansicht zu posten......
    Zuletzt bearbeitet: 19 April 2019
    dodo sagt Danke.