E-Mail Scam mit echtem Verlauf

  • Moin,


    ein Kunde kontaktierte mich grade.

    Einem Mitarbeiter wurde eine E-Mail geschickt, mit einer "Rechnung" (.doc) im Anhang. Soweit so unspektakulär. Allerdings beinhaltet diese E-Mail den realen E-Mailverlauf eines Mailwechsels. Der Absender der Spammail wurde nicht wirklich gespooft: Der Displayname wurde auf den Namen des echten Konversationspartners gesetzt, aber die E-Mail von der versendet wurde ist eine andere (komplett andere Domain).


    Hat jemand von euch mal einen ähnlichen Fall gehabt?

    Im Kern geht es eigentlich nur um die Frage woher denn der Verlauf kommt.


    Der Kunde nutzt einen Standard-Shared-Dingsbums 3+3 Domain Vertrag; beim Konversationspartner weiß ich es noch nicht.

    Ich habe die E-Mail noch nicht als Anhang erhalten (um in die Header zu gucken).


    Grundlegende Ideen wären natürlich auf den Seiten der Konversationspartner, dass ein "Angreifer" Zugriff auf eines der Mailkonten hat. Da wüsste ich jetzt keinen Weg das zu analysieren. Bei einem eigenen Mailserver könnte man checken welche IPs so connected haben, aber wie gesagt ist das so ein Shared-Ding. Passwort ändern steht natürlich außer Frage.


    Was mir auch noch in den Sinn kam: Was, wenn Mailserver Kunde und Mailserver Partner nicht verschlüsselt kommunizieren? Ist das ein realistischer Angriffsvektor?

    • Received-Header vom annehmenden 3+3 Server sagt die kam von https://www.abuseipdb.com/check/107.14.166.228 - Meldungen passen ja dazu
    • Die E-Mail ist eine HTML-E-Mail. Der Verlauf der Konversation wurde einfach am Ende des HTMLs in ein <pre>-Tag gepackt. Ansonsten ist da nur doch der Anhang
    • Subject ist komplett base64-codiert
    • Der für mich seltsame Header X-CMAE-Envelope hat wohl was mit einem outgoing Mailchecker zu tun
    • Der Mitarbeiter des Kunden hat jetzt kürzlich für eine auch an die Konversation anschließende E-Mail vom 3+3 Maildaemon eine permanent deliver failure note bekommen ( multiple delivery attempts failed ) - Klingt für mich jetzt erstmal so als ob beim Konversationspartner was nicht ganz koscher ist; aber ich guck mal, was ich noch rausfinden kann (MX Einträge scheinen augenscheinlich zu stimmen)
  • Ist eventuell eine Mailweiterleitung bei einem der Empfänger eingerichtet? Man könnte ja eine Provideradresse oder eine früher Domain da drin vergessen haben. Sonst: Spyware?

  • Hat jemand von euch mal einen ähnlichen Fall gehabt?

    Ja, ein Kollege hatte sich ein Haus gekauft und musste sich das durch eine Rechtsanwaltskanzlei notariell beglaubigen lassen.

    Noch circa zwei-drei Wochen hatte er erneut eine Rechnung von der Rechtsanwaltskanzlei bekommen.

    Daraufhin sprach er mich an und ich sage Ihm sehe dir mal den Header vom Quellcode an.

    Es stelle sich herraus das die Mail vom fremder Domain war und das die Rechtsanwaltskanzlei durch Maleware infiziert waren, was auch auf deren Webseite stand.


    Was mir auch noch in den Sinn kam: Was, wenn Mailserver Kunde und Mailserver Partner nicht verschlüsselt kommunizieren? Ist das ein realistischer Angriffsvektor?

    Die Mailserver kommunizieren meistens unverschlüsselt und ich halte das für sehr unalistisch, weil die Provider nicht ihr Geschäft kaputt machen wollen.

  • Der Mailverlauf, der vorkommt, ist von heute wie ich mittlerweile erfahren habe. Sprich die Scam-Mail ist eine Antwort auf eine 30-120 Minuten alte Mail gewesen.

    Es stelle sich herraus das die Mail vom fremder Domain war und das die Rechtsanwaltskanzlei durch Maleware infiziert waren, was auch auf deren Webseite stand.

    Das ist auch meine aktuelle Vermutung: Ein Clientsystem vom Kommunikationspartner ist infiziert.

    Der Kunde berichtete mir eben auch noch nach interner "Umfrage", dass ein anderer Mitarbeiter das gleiche Problem mit den selben Kommunikationspartnern bereits vor zwei Wochen hatte.


    Die Alternative "Zugriff auf Mailserver" halte ich am nächstwahrscheinlichsten, wenngleich man dann wohl auch direkt von der echten Absenderadresse senden würde.

    Die Alternative "Unverschlüsselt Mailserver an Mailserver" habe ich verworfen. Beide Mailserver unterstützen TLS und um diesen Vektor auszunutzen müsste ein Router dazwischen infiziert sein, was ich für diesen Anwendungsfall für unwahrscheinlich halte.


    Vielen Dank für die Ideen und Input :)

  • Könnte sogar ein Emotet sein. Das ist was feines. Viel Spaß dem Partner beim neuinstallieren usw.

    Hast du das Doc zufällig zur Hand? Hast du das mal bei Virustotal hochgeladen? Nur aus beruflichen Interesse (nein, wir stehen nicht auf der dunklen Seite, auch wenn die Kekse haben. Manchmal denkt man aber drüber nach, bei dem ganzen Wissen über Abwehr :D)

  • Hilft vermutlich nicht viel, aber ein Blick in unseren Mailprozessor zeigt vermehrt solche E-Mails seit etwa 6 Monaten im Spam- oder Virusfilter, aber immer noch verhältnismäßig sporadisch.
    Allerdings scheint der jeweils zitierte Verlauf auf gut Glück relativ eindeutig gefälscht zu sein... (Die zitierten Mitarbeiter gibt es teilweise gar nicht, teilweise in der falschen Sprache. Wenn Max Mustermann aus Berlin mit Miranda Muster aus München z.B. auf Spanisch reden ist das ja schon etwas auffällig ;)


    Könnte es vllt. auch eine Art "Glückstreffer" sein?