Hacker haben zugriff auf E-Mails oder einen ganzen PC

[tRITON]

Eigentlich filter man heute mittels SPF u.a. und ich habe bei mir im DNS aus keine Server aus irgend welchen Fremdstaaten oder Domänen, die in meinem Namen Mails schicken können. Wenn eure Kunden das auch machen würden, würden sie die Emails auch nicht erhalten.

 

[Drewkev]

Manche Kunden öffneten die Datei und der Virenscanner hat zugeschlagen.

Na dann weißt du doch, welche Geräte höchstwahrscheinlich infiziert oder gar kompromittiert sind.

 

[imRa]

Verwenden überall Kaspersky

Von der BSI Warnung (egal was man davon halten mag) hast du gehört?

Da dir einiges an Fachkenntnis fehlt und dritte u.U. Zugriff auf sensible Kundendaten haben könnten, bitte unverzüglich Profis ins Boot holen und mit eurem Datenschutzbeauftragten weiteres Vorgehen bzgl. Kundenkommunikation abklären.

Ansonsten ist das ganze evtl. lediglich ein Problem eurer Kunden...

 

[chr1zZo]

Gerade wenn man einen Exchange Server hat, der hoffentlich gepatcht ist und relativ aktuell, sollte eine Hardware Firewall vor alles. pfSense, Sophos etc.

IT Sicherheit sollte nicht nur in der Hardware umgesetzt werden. Aber wäre ein Anfang!

 

[Ost-Ösi]

Offenbar handelt es sich hier um zwei Themenkreise.
1.- Es wurde durch irgendein hackerisches Mail, das scheinbar in der Vergangenheit unbedacht geöfnet wurde, die Mailadressen eurer Kunden abgezogen.
2.- Es werden weiter (wahrscheinlich auch infizierte) Mails unter eurem Namen eben an diese Kunden versandt.

Da es sich um eine Firma handelt, ist dringend anzuraten professionelle Hilfe in Anspruch zu nehmen. Meinem Dafürhalten nach reicht jetzt ein Neuaufsetzen nicht mehr aus um weiteren Schaden (vor allem auch bei den Kunden) abzuwenden.

 

[Marek72]

Hallo,

melde Dich mal beim BSI - denn Dein Unternehmen hat eine mögliche Meldepflicht. Die helfen Dir auch ganz sicher weiter!

https://www.bsi.bund.de/DE/IT-Siche...ren-und-meldepflichtige-unternehmen_node.html

Viel Erfolg und über eine Rückmeldung im Forum würden wir uns freuen.

 

[tRITON]

Was da insgesamt von @Gosi2 steht:

Die Mails werden nicht von uns versendet.

Der Tatsächliche Absender ist jedes mal ein anderer Absender, habe den Header überprüft

Nein von überall, italien, thailand, spanien, ...

Sagt mir folgendes:

• Spam kommt NICHT aus eurem Netzwerk
• Spam geht an Kunden
• Zufall dass es eure Kunden sind?
• Evtl. gab es schon länger einen Einbruch ins Netzwerk, bei dem die Kundenemailadressen abgezogen wurden und jetzt für eine Angriffswelle verwendet werden.
• AV Software schützt nicht vor "Hackern"
• Es fehlt Fachwissen (Dazu kaufen in Form von Systemhaus, Weiterbildung oder zur Not als Lizenz in Form von Microsoft ATP, Behavior Control)
• Imageschaden ist entstanden, also geht auf eure Kunden zu! Erklärt, das ihr das nicht seit und wie sie eure Emails erkennen können (echte / gefälschte)
• Prüft SPF Records im DNS, wer heute noch Email einfach so annimmt ist selbst Schuld und wer drauf klickt sowieso

 

[GucciGünther]

DMARC und DKIM einrichten

 

[Gosi2]

Wir haben keinen Exchange Server sondern verwenden Exchange online

Wir sind eine eigene Firma in einem Konzern wo vieles vorgeschrieben ist zb Kaspersky, der Domainserver wird ebenfalls woanders gehostet und gewartet und bei uns läuft nichts lokal außer einem NAS und einem Server Für Backups und Kameras.

Muss das morgen mit dem Konzern IT Chef besprechen. Da heute niemand zu erreichen war wollte ich mal hier nachfragen.

Andere Frage, ich versuche mich in IT Sicherheit generell weiterzubilden, gibt es da gute Anlaufstellen im Internet die Ihr empfehlen könnt?

Ich bin letztes Jahr in das Unternehmen gekommen und es hat sich 3 Jahre niemand um die Infrastruktur gekümmert nur die Programmierer haben das ganze nebenbei bisschen mitgemacht. Seitdem verwalte ich alles alleine. Meine Kenntnisse in IT Sicherheit sind nicht gerade top, da sich aber niemand außer mir bei uns beworben hat der auch ein bisschen Ahnung hat (da waren Leute dabei die Probleme hatten einen Monitor richtig anzuschließen da sie nur HDMI Kabel kannten) ist es schwierig alles umzusetzen und am neusten stand zu halten noch dazu haben wir 2 kleine Außenlager wo wir auch Kleien Büros haben die ebenfalls zu verwalten sind. Ich habe im November erst den letzten Rechner von Windows 7 auf 10 umgestellt und versuche alle Technik auf dem neusten Stand halten. Unser altes Netzwerk war grauenhaft, teilweise Standard Passwörter an den Switches und nichts in VLANs unterteilt, da unser unternehmen einige PCs umfasst ist das für eine Person zu wenig, aber der Fachkräftemangel lässt Grüßen.

Werde wenn ich was neues weiß und nicht vergesse im Forum berichten

 

[xexex]

Ich denke damit ein Mitarbeiter sich einen Virus eingefangen hat der nicht erkannt wurde.

So funktioniert das nicht!

Zunächst einmal stellt sich die Frage wem eure Mailadressen bekannt sind. Viele Firmen machen den Fehler einfach diverse Kontakte in einer lesbaren Form auf ihrer Webseite zu veröffentlichen. Ich habe mir hier jetzt einfach mal einen beliebigen Anwalt hier in der Nähe rausgesucht.

Nun werden regelmäßig mit Bots Webseiten durchsucht, alle Mailadressen eingelesen und diese dann als Absender einer Mail genutzt. Das kann jeder mit einem x-beliebigen Mailprogram machen.

Nun wäre es normalerweise so, dass der Mailserver des Empfängers überprüft anhand spezieller DNS Einträge (SPF,DKIM), ob ich überhaupt Mails mit der Domäne "microsoft.com" versenden darf. Das machen die meisten jedoch nicht oder markieren eine solche Mail bestenfalls als möglichen Spam.

Die Absenderadresse unterliegt bei Mails meist keinerlei Prüfung!!!! Das ist so als würde jemand zu euch Büro kommen, sich als Bill Gates vorstellen und ihr würdet nicht den Ausweis prüfen. Das einzige was jede Firma dagegen machen sollte ist KEINERLEI Mailadressen auf der Webseite zu veröffentlichen, sondern ein gesichertes Kontaktformular verwenden, bestenfalls Gruppenadressen wie "info@firma.com" gehören dahin.

Jetzt ist es eh fast schon egal, eure Adressen sind bei diversen Spammern schlichtweg in den Datenbanken und die bekommt ihr da eh nicht raus. Wichtig wäre für eure Domäne sowohl SPF, als auch DKIM zu aktivieren und korrekt zu konfigurieren, das sollte die Sache zumindest etwas eindämmen. Das betreuende Systemhaus sollte wissen wie es geht.

 

[tRITON]

mit dem Konzern IT Chef besprechen. Da heute niemand zu erreichen war

Dann wars wohl nicht wichtig, wenn alle nach Hause gehen Also schönen Feierabend ...

Das Internet ist voll von Zeug und Toutorials von teils fragwürdigem/altem Inhalten.

Was Du da schreibst ist leider eher Alltag, überrascht mich nicht.

Was Dir fehlt ist ein Konzept.

Wenn Du das hast, dann lass dich fortbilden in dem Bereich an welchem Du gerade arbeitest.

Such Dir einen Dienstleister, der Dir zu Seite steht und den DU! immer anrufen kannst, wenn DU Hilfe brauchst (Systemhaus o.ä.)

Als 1 Mann Armee bist Du kein Spezialist, sondern Generalist. Heißt aber auch, dass Du von allem was verstehst, aber nix richtig! Das ist nicht böse gemeint, sondern deine Stärke. Damit taugst Du eber als Koordinator brauchst aber eben Spezis im Fall der Fälle auf die DU zugreifen kannst. Macht einen Rahmenvertrag mit ext. Dienstleister. Die meisten Systemhäuse bilden auch weiter oder können dich weiter verweisen.

 

[Marek72]

zu dem Post #30

@Gosi2 hat oben bereits erwähnt #29, dass die Firma/Konzern Exchange Online verwendet. Nun, ich denke wir können davon ausgehen das Microsoft schon sehr genau weiß wie man die eigene Mailsoftware konfiguriert. Zumal Microsoft selber geradezu pedantisch ist wenn es um nicht sauber konfigurierte Mailserver geht. Soll heißen, das dürfte alles eben nicht da Problem sein.

 

[redjack1000]

Ich habe gedacht es geht um einen On Premise Exchange.

CU
redjack

 

[P54CS]

Konzern und niemand zu erreichen, wenn in der IT die Kacke am dampfen ist? Eieiei... Selbst ein KMU sollte da für Notfälle jemanden mit 24/7-Erreichbarkeit benannt haben.

 

[Raijin]

Ich vermute stark, dass es hierbei um Spam handelt, der mittels Social Engineering zugeschnitten wurde.

Man nehme die Webseite eines Unternehmens, suche nach Informationen zum "Team", dem Impressum oder sonstigen Quellen für eMail-Adressen, klicke sich durch die zumeist vorhandene Refenzliste an Kunden, kombiniere beides miteinander und schon hat man gezielten Spam, der deutlich plausibler und gefährlicher ist als die obligatorischen P*verlängerungen.

Nichts davon bedarf einer Malware oder eines Hacks. Ich will damit nicht sagen, dass ihr auf keinen Fall gehackt wurdet, aber es ist im Zweifelsfalle eben auch gar nicht notwendig, wenn man mit seinen Informationen zu freizügig umgeht und Namen, Telefonnummern, eMail-Adressen und dergleichen ohne Not preisgibt.

 

[UNDERESTIMATED]

Ganz simpel:

Angestellte der Firma eskalieren Probleme.

Es ist nicht deine Aufgabe, sprich das wie du sagst mit den Verantwortlichen ab und mach' dir nicht den Kopf drum was das Image angeht. Deine Erläuterung sagt vor allem eines: Ein essentiell auf Kundenkontakt ausgerichtetes Unternehmen hat an der IT gespart und nun hofft man, dass du das löst. Zeit ist da so ein Thema, solang' du aber alles getan hast was du konntest passt doch alles.

Mach die Eskalation via den bekannten Kanälen, die werden dir dann schon sagen was zu tun ist und du kannst es rechtfertigen. Selbst (drumrum) würde ich da keinen Finger dran tun, was durch Unwissen verkorkst wird ist sonst, egal wie gut gemeint, schnell dein Fehler.

Worum geht es in diesen E-Mails überhaupt?

Wen juckt's? Mehr Vektoren des Angriffes sind hier ja erstmal wurscht. Sollte er das melden/berichten müssen, ob dem BSI oder sonstwem wird er das schon erfahren.

Na dann weißt du doch, welche Geräte höchstwahrscheinlich infiziert oder gar kompromittiert sind.

Woher weiß er denn wie die da hin kommen? Offenbar kommen Sie ja aus dem Unternehmen, oder wenigstens aus irgendwelchen gephishten Daten im Zusammenhang.

 

[Drewkev]

Wen juckt's? Mehr Vektoren des Angriffes sind hier ja erstmal wurscht. Sollte er das melden/berichten müssen, ob dem BSI oder sonstwem wird er das schon erfahren.

Um BSI oder whatever ging es mir gar nicht, von dem hab ich auch keine Ahnung da ich nicht in Deutschland lebe. Ich hatte damit eher die Vermutung, dass es sich um klassischen Spam handelt.

Wenn der Inhalt das widerspiegelt, hätte man das dem TE damit gewissermaßen "belegen" können.
Da hier aber anscheinend Anhänge heruntergeladen und geöffnet wurden, sieht das ganze schon wieder anders aus.

Woher weiß er denn wie die da hin kommen?

Ich verstehe diese Frage nicht.

Das Thema scheint auch soweit geklärt zu sein, somit bin ich erstmal raus.

 

[emulbetsup]

Ganz kurz nur folgender Einwurf. Man kann die Geschichte auch etwas anders erzählen und könnte auf das gleiche Ergebnis kommen.

Ein MA eures Vertriebs verschickt Rundmails an Kunden. Statt BCC nutzt er als Adressfeld CC.

Wird in den Spam-Mails Bezug auf vorhergehende Kommunikation genommen, die Teil einer 1:1 Kommunikation war?

 

[lun4ticx]

Mails von euch bzw. von Kunden können auch aus eine OSINT-Recherche kommen.

Oder durch Enumeration der bekannten Daten -> haste eine E-Mail-Adresse und mehrere Mitarbeiter kannst du ja alle anderen E-Mail-Adressen erraten.

Zudem müssen die Daten nicht zwingend bei abgegriffen worden sein. Vielleicht wurden die Daten auch bei einer eurer Kunden abgegriffen.