Moin,
ein Kunde kontaktierte mich grade.
Einem Mitarbeiter wurde eine E-Mail geschickt, mit einer "Rechnung" (.doc) im Anhang. Soweit so unspektakulär. Allerdings beinhaltet diese E-Mail den realen E-Mailverlauf eines Mailwechsels. Der Absender der Spammail wurde nicht wirklich gespooft: Der Displayname wurde auf den Namen des echten Konversationspartners gesetzt, aber die E-Mail von der versendet wurde ist eine andere (komplett andere Domain).
Hat jemand von euch mal einen ähnlichen Fall gehabt?
Im Kern geht es eigentlich nur um die Frage woher denn der Verlauf kommt.
Der Kunde nutzt einen Standard-Shared-Dingsbums 3+3 Domain Vertrag; beim Konversationspartner weiß ich es noch nicht.
Ich habe die E-Mail noch nicht als Anhang erhalten (um in die Header zu gucken).
Grundlegende Ideen wären natürlich auf den Seiten der Konversationspartner, dass ein "Angreifer" Zugriff auf eines der Mailkonten hat. Da wüsste ich jetzt keinen Weg das zu analysieren. Bei einem eigenen Mailserver könnte man checken welche IPs so connected haben, aber wie gesagt ist das so ein Shared-Ding. Passwort ändern steht natürlich außer Frage.
Was mir auch noch in den Sinn kam: Was, wenn Mailserver Kunde und Mailserver Partner nicht verschlüsselt kommunizieren? Ist das ein realistischer Angriffsvektor?