ComputerBase Menü
Aktuelles

Hinterlistige Spammail im Auftrag von Office 365 erhalten

WSC

WSC

Newbie
Registriert
Mai 2017
Beiträge
4
Hallo zusammen,

vor einiger Zeit habe ich in der Arbeit eine Mail von messenger@webex.com erhalten.
Angeblich sei mein Passwort für Office 365 abgelaufen.

Im Zuge der Arbeitsroutine und den ständigen Mails, die laufend eingehen, habe ich versehentlich rasch auf den Link geklickt.
Es hat sich eine leere Seite geöffnet, ohne Inhalt. Den html-Code der Seite habe ich gescreenshotet und ist hier beigefügt.
Ebenso habe ich die Mail angehängt.

Was mich im Nachgang stutzig gemacht hat, ist dass sich als "Support meiner Firma" ausgegeben wurde - das ist unten der zensierte Text. Die Mail wurde tatsächlich von messenger@webex.com versendet. Das ist eine Mailadresse die Webex tatsächlich selbst nutzt.

Über eure Hilfe würde ich mich bei diesen Fragen freuen:
1) Wie kommt es dazu, dass so eine Mail von einer offiziellen Webex-Mailadresse versendet werden kann?
2) Was sagt ungefähr der beigefügt html-Code aus?
3) Auswirkungen habe ich bisher keine gemerkt. Windows Defender nichts gefunden. Avira ebenfalls. Was könnte hinter dem Ganzen stecken?

Viele Grüße
WSC

Hier die Screenshots:




1.JPG
2.JPG
 
Der Absender war gefaked. Nur weil da @webex steht war das nicht der tatsächliche Absender. Sowas zu fälsche ist garkeine Kunst.

Das ist ne klassische Phishing Mail und nicht mal ne gut gemachte...
 
  • Gefällt mir
Reaktionen: acidarchangel und Moulder
Google mal "mail spoofing" für Infos darüber.
Das man im Stress einfach mal drauf klickt, ist ungünstig und sollte dann wenigstens mit Scriptblockern im Browser noch abgefangen werden.

Wenn man genauer hinschaut, könnte z. B. die Frage hochkommen, warum Webex (Cisco Systems) eine Lizenzmitteilung zu Office 365 (Microsoft) versenden sollte.
 
WSC schrieb:
1) Wie kommt es dazu, dass so eine Mail von einer offiziellen Webex-Mailadresse versendet werden kann?
Zum Vergrößern anklicken....
Kann man recht leicht faken.

Sinn hinter der Mail war es dein Office-Passwort abzugreifen. Hättest du dem Link weiter gefolgt, wärst du sicherlich aufgefordert worden dein Passwort einzugeben. Solange du also kein Passwort irgendwo eingegeben hast, ist alles gut.

WSC schrieb:
ist dass sich als "Support meiner Firma" ausgegeben wurde
Zum Vergrößern anklicken....
halbwegs logisch wäre es, sich als IT-Abteilung der eigenen Firma auszugeben, weil die Firma 1. vermutlich nicht schwer herauszufinden ist und 2. die ja i.d.R. auch für die Verwaltung der Office 365-Konten zuständig ist. Aber genau da ist es auch nicht gut gemacht... Alias sollte eine Email deiner Firma sein mit einer Aufforderung auf Deutsch doch bitte das 365-PW zu ändern mit dem entsprechendem Link darunter. Da würden sicher mehr Angestellte drauf hereinfallen...
 
WSC schrieb:
1) Wie kommt es dazu, dass so eine Mail von einer offiziellen Webex-Mailadresse versendet werden kann?
Zum Vergrößern anklicken....
E-Mail-Absender fälschen ist leider das Leichteste auf der Welt. Signaturen und Zertifikate haben sich in dem Bereich nicht wirklich durchgesetzt daher kann jeder mit minimalem Aufwand als @webex.com auftreten.

WSC schrieb:
2) Was sagt ungefähr der beigefügt html-Code aus?
Zum Vergrößern anklicken....
Ich bin auf dem Gebiet kein Experte, aber das sieht mir erstmal nur so aus als würde der Link zerlegt werden, den du angeklickt hast, und dann sollte da eine passende Message-Box aufgehen.

Sieht jedenfalls nicht aus als wäre was Schlimmes passiert, zumal aus einem Browser ausbrechen nicht trivial ist. In den meisten Fällen muss man auf diesen Phishing-Seiten schon aktiv mitwirken und dort seine Daten eingeben. Das war in diesem Fall aber wohl kaputt und/oder geblockt.

WSC schrieb:
3) Auswirkungen habe ich bisher keine gemerkt. Windows Defender nichts gefunden. Avira ebenfalls. Was könnte hinter dem Ganzen stecken?
Zum Vergrößern anklicken....
Der Defender wird sowieso nichts finden, wenn Avira läuft. Der wird dann deaktiviert.

Wichtiger: gibt die Info über die Mail und dass du drauf geklickt hast an deine Firmen-IT weiter. Es ist vermutlich nichts passiert, aber verschweigen sollte man es dennoch nicht. Die können dir im Zweifelsfall auch eher weiterhelfen als wir.
 
  • Gefällt mir
Reaktionen: kamanu
Melde das auf jeden Fall an deine IT-Abteilung und ändere vorsichtshalber dein Passwort. Da gabs letztens was ähnliches auf r/sysadmin. Da wurden rein über den Klick auf den Link Zugangsdaten abgegriffen.
 
WSC schrieb:
Wie kommt es dazu, dass so eine Mail von einer offiziellen Webex-Mailadresse versendet werden kann?
Zum Vergrößern anklicken....
https://de.wikipedia.org/wiki/Mail-Spoofing
Es ist praktisch kinderleicht Absenderadressen zu fälschen, dazu braucht es nichtmal großartige Programmierkünste.
Das liegt daran das im SMTP wenig diesbezügliche Schutzmechanismen integriert sind.
WSC schrieb:
Was sagt ungefähr der beigefügt html-Code aus?
Zum Vergrößern anklicken....
Nicht viel, außer das der Link natürlich nicht auf eine offizielle Microsoft-Webseite führt, sondern auf eine Phishing-Seite, wo vermutlich deine Zugangsdaten abgefragt worden wären.
WSC schrieb:
Was könnte hinter dem Ganzen stecken?
Zum Vergrößern anklicken....
Eine ganz ordinäre und dazu noch ziemlich schlecht gemachte Phishing-eMail, die zu tausenden unterwegs ist.
WSC schrieb:
Windows Defender nichts gefunden. Avira ebenfalls.
Zum Vergrößern anklicken....
Wenn Avira läuft, hat der Windows Defender sowieso nichts mehr zu melden.
Und da das eine ordinäre eMail ist, ohne irgendwelche Schadsoftware als Anhang o.ä. wird ein Virenscanner auch nicht anschlagen.
 
Zuletzt bearbeitet:
Eigentlich sollte bei O365 mit Exchange Online eine fehlerhafte Sender Policy Framework (SPF) Prüfung zumindest als Junk Mail deklariert werden.

Alleine von daher solltest du der IT das unbedingt mitteilen.
SPF ist die einfachste Form um Mail Spoofing zu erkennen und sollte man daher auf jeden Fall nutzen!
 
Mit Exchange kenne ich mich nicht aus,
aber das ginge dann vom Mail-Server aus und nicht vom lokal installierten Virenscanner (also die Deklaration als Junk-Mail).
 
Conqi schrieb:
E-Mail-Absender fälschen ist leider das Leichteste auf der Welt. Signaturen und Zertifikate haben sich in dem Bereich nicht wirklich durchgesetzt daher kann jeder mit minimalem Aufwand als @webex.com auftreten.


Ich bin auf dem Gebiet kein Experte, aber das sieht mir erstmal nur so aus als würde der Link zerlegt werden, den du angeklickt hast, und dann sollte da eine passende Message-Box aufgehen.

Sieht jedenfalls nicht aus als wäre was Schlimmes passiert, zumal aus einem Browser ausbrechen nicht trivial ist. In den meisten Fällen muss man auf diesen Phishing-Seiten schon aktiv mitwirken und dort seine Daten eingeben. Das war in diesem Fall aber wohl kaputt und/oder geblockt.


Der Defender wird sowieso nichts finden, wenn Avira läuft. Der wird dann deaktiviert.

Wichtiger: gibt die Info über die Mail und dass du drauf geklickt hast an deine Firmen-IT weiter. Es ist vermutlich nichts passiert, aber verschweigen sollte man es dennoch nicht. Die können dir im Zweifelsfall auch eher weiterhelfen als wir.
Zum Vergrößern anklicken....


Danke euch für eure Antworten!

Klar, den Vorfall habe ich unverzüglich der IT-Abteilung gemeldet. Zum Einholen weiterer Meinungen ist dieser Thread sinnvoll und hilfreich für mich.

Dass man den Absender faken kann, wusste ich. Dass es aber so einfach sei, war mir neu.

Dass Avira den Defender deaktiviert wusste ich auch noch nicht. Bin von Avira nur mittelmäßig überzeugt. Ist es ratsam den Defender vorzuziehen?
 
WSC schrieb:
Klar, den Vorfall habe ich unverzüglich der IT-Abteilung gemeldet.
Zum Vergrößern anklicken....
Das ist gut. Ich kenne nur genug Leute, die machen sich lieber selbst auf Lösungssuche und die IT kriegt dann gar nichts davon mit.

WSC schrieb:
Ist es ratsam den Defender vorzuziehen?
Zum Vergrößern anklicken....
Privat würde ich sagen ja, aber in der Firma ist immer das zu nehmen, was zentral bereitgestellt wird. Das meldet eventuell direkt an einen zentralen Server oder die IT ist zumindest damit vertraut wie man dort Meldungen ausliest und die Software handhabt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
News Microsoft 365: Office 365 erhält einen neuen Namen und neue Features
2 3 4
Antworten
74
Aufrufe
10.597
Laphonso
Laphonso
fethomm
News Microsoft Office 365 erhält Mail-Verschlüsselung
2
Antworten
21
Aufrufe
5.664
Blutschlumpf
Blutschlumpf
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz