Hacker haben zugriff auf E-Mails oder einen ganzen PC

[Gosi2]

Hallo Community, ich habe ein großes Problem, bei uns in der Firma bekommen die Mitarbeiter und Kunden Spammails die in unserem Namen gespooft sind das es so aussieht als würden wir die Mails versenden. Einige Kunden haben uns deshalb kontaktiert und wollten uns darauf aufmerksam machen. Damit die E-Mailadressen dabei sind von den Mitarbeitern die Kundenkontakt haben ist normal, aber die ganzen E-Mails der Kunden macht mir extrem sorgen.

Ich habe
Exchange überprüft ob es Logins von auffälligen IPs gab, gab es nicht, kann aber auch nur die letzten 7 Tage anzeigen.
Mit Microsoft selbst Kontakt aufgenommen die mir auch nichts sagen konnten.

Mein Verdacht wäre jetzt das sich jemand zugriff auf einen PC verschafft hat und dort die Mailadressen irgendwie abgreift.

Jetzt zu meiner Frage: Gibt es irgendwelche Tools mit denen ich die das ganze Prüfen kann ob eine Verbindung zu einem unbekannten host besteht oder ob Ihr vielleicht noch andere Ideen habt woran es liegen könnte?

 

[Fujiyama]

Sowas sollte man eher einen Fachmann überlassen...
Ist den auch die E-Mail Adresse wirklich 1 zu 1 wie eure? Hatte früher mal ein fall das die E-Mail von außerhalb kamen und nur ein Buchstabe in der E-Mail Domain anders war.

 

[Drewkev]

Gefälschte Absenderadressen sind nichts neues, wir kriegen solche E-Mails fast täglich.

Das heißt nicht direkt, dass da ein "Hacker" o.Ä. involviert ist.

 

[imRa]

Die wichtigsten Informationen fehlen in deinem Beitrag leider. Wurde/n E-Mails über eure tatsächliche Domain versendet? Ist es immer der gleiche „Absender“ oder werden verschiedene „Accounts“ benutzt. Du solltest dir mal paar Kunden heraussuchen und die E-Mails genauer analysieren, damit du den Ursprung eingrenzen kannst (intern/extern).

 

[UNDERESTIMATED]

oder ob Ihr vielleicht noch andere Ideen habt woran es liegen könnte?

Ja, einige. Das bringt dich aber wenig weiter.

Wie ist deine Stellung da im Unternehmen? Bist du angestellter und für IT-Sicherheit zuständig, oder gehört u.a. dir der Laden?

Mit Microsoft selbst Kontakt aufgenommen die mir auch nichts sagen konnten.

Was konnten die nicht sagen? Ob es anderweitige Zugriffe gab, oder ob es unwahrscheinlich ist, dass bei dir in der Arbeit PC's kompromittiert sein können?

Ich kann dir sofort eine Mail mit dem Absender angela.merkel@bundestag.de mit Datum von vorgestern schicken, das ist kein Hexenwerk, dennoch aber wohl unter gewissen Absichten strafbar und genau das gilt es wohl hier zuerst abzuklären.

 

[Gosi2]

Die Mails werden nicht von uns versendet.
Bei den Spammails ist die E-Mail 1:1, daher habe ich auch herausgefunden das sehr viele Empfänger der Spammails Kunden von uns waren, denn die die uns geschrieben haben wegen den Mails sind alles Kunden mit denen wir E-Mail Kontakt hatten, deshalb denke ich das es ein Hacker oder ähnliches sein muss der irgendwie an die Mailadressen rankam. Ja gefälschte Absendeadressen sind nichts neues, hatten schon viele Spam Mails aber noch nie damit in unserem 1:1 wie die Mitarbeiteradressen sind.

 

[redjack1000]

Namen gespooft sind das es so aussieht als würden wir die Mails versenden

Es sieht also nur so aus, oder wurden die über euren Exchange versendet? Ein Blick in das Logging vom Exchange bringt Tatsachen ans Licht.

Cu
redjack

 

[S.Kara]

Wenn möglich einen der Empfänger kontaktieren und darum bitten mal Strg + U zu drücken um zu gucken ob der Absender gefälscht wurde.

Ansonsten Logs anschauen und einen Fachmann beauftragen.

 

[|SoulReaver|]

Kurz und gut.... Einen Fachbetrieb kontaktieren der sich da auskennt spezialisiert ist. Alles andere nun ja...

 

[cruse]

Was sagt der email header?

Da kunden euch bereits darauf aufmerksam gemacht haben, ist hier alarmstufe rot und ich würde ebenfalls zu einem profi raten.

 

[UNDERESTIMATED]

Einen Fachbetrieb kontaktieren der sich da auskennt spezialisiert ist. Alles andere nun ja...

Bei derart dünnen Vorkenntnissen wohl das Zielführendste und Langfristig auch am besten "verkaufbare" Argument ggü. den Kunden. Sind immerhin auch deren Mailadressen.

 

[|SoulReaver|]

Danke für die Komplettierung.

 

[Gosi2]

Der Tatsächliche Absender ist jedes mal ein anderer Absender, habe den Header überprüft

In Exchange lässt sich feststellen damit es keine Logins von außerhalb gab

 

[cruse]

Lass mich raten - mit einer .ru endung?

 

[redjack1000]

Dein letzter Satz ergibt keinen Sinn

100% ack.

Cu
redjack

 

[Gosi2]

Nein von überall, italien, thailand, spanien, ...
Damit meine ich damit man in exchange kein login auf eine Mailadresse feststellen konnte und auch Microsoft hat diesbezüglich gesagt damit es keine Zugriffe gab

 

[Incanus]

Sind es denn neu formulierte Mails oder enthalten sie Teile einer früheren Kommunikation?

 

[Drewkev]

Worum geht es in diesen E-Mails überhaupt?

 

[redjack1000]

Microsoft hat diesbezüglich gesagt damit es keine Zugriffe gab

Wie hat Microsoft das denn festgestellt?

Cu
redjack

 

[Gosi2]

Ich denke damit ein Mitarbeiter sich einen Virus eingefangen hat der nicht erkannt wurde.
Verwenden überall Kaspersky das es anscheinend nicht erkannt hat, aber mein Problem ist nun wie ich das infizierte Gerät ausfindig mache ohne das ich jeden PC in der Firma neu aufsetzen muss.

Ergänzung (22. Juni 2022)

In den Mails ist eine verschlüsselte Zip datei und als Text steht zb:
Im Anhang das gewünschte dokument: Info_22062022.zip

zip passwort: 2826

Manche Kunden öffneten die Datei und der Virenscanner hat zugeschlagen.

Der Name der Zip und das Passwort sind immer anders.

Microsoft meinte damit sie die Logs kontrolliert haben, bin mir aber nicht sicher ob die wirklich was gemacht haben da ich die erste halbe Stunde damit kämpfte damit der Mitarbeiter überhaupt versteht worum es geht.