Hackermail mehrfach von eigenem Absender erhalten (Exchange)

[Michi777]

Liebe Community!

unsere Rechner sind in einer Windows Domäne mit Exchange 2010\Outlook 2013, sicherheitstechnisch ist eine Fortigate Firewall, Windows Firewall, AdBlockPlus mit Google Chrome im Einsatz und die Nutzer haben keine Adminrechte.
Einer davon bekam nun von sich selbst gesendet (user@unseredomäne.de) eine Warnungsmail, dass kurz gesagt sein Rechner einen Trojaner hat, das Mailkonto gehacked wurde und perverse Aktivitäten aufgenommen wurde und wenn nicht bezahlt wird (bitcoinkonto) wird es an alle Kontakte geschickt und der PC Inhalt gesperrt.
...weil er nichts dergleichen anschaute, keine wichtigen lokalen Daten sind beruhigend, doch weil es von seinem eigenen Konto gesendet wurde etwas beunruhigend.

Bereits erledigt:
Passwort geändert
Outlookkonto neu eingerichtet
AdwCleaner\Spybot Search\Malware Antibytes\CCleaner\Eset+Pana+Trendmicro+f-secure+avast Onlinescanner gestartet
...Spybot fand einen Trojaner und entfernte ihn, sonst nichts gefunden.

Doch die Mails kommen noch immer an ihn (heute 2x).
...letzte Idee wäre dass ich den Rechner neu aufsetze.

Beispielmail im Anhang.

Was sagt ihr dazu?

Vielen Dank im Voraus!

 

[benjiman]

Sieht nach einer typischen Bauernfaenger Email aus... waere total relaxt.

Email-Absender faken ist auch ziemlich easy...

 

[rg88]

LOL, 0815 Spammail. Warum nimmt man sowas überhaupt ernst?
Man kann jede Email-Adresse als Absender angeben. Da wurde nichts vom eigenen Accoung gesendet

 

[Ark]

Ist der Absender auch wirklich deine Email adresse? Das kann man auch fälschen bzw. überdecken

 

[BFF]

Schau im Header der eingegangenen Mail nach, von wo die Mail wirklich kommt. Es laesst sich so gut wie alles faelschen in einer eMail.
Vermutlich von irgendwo. Wenn doch aus Deinem Netzwerk, dann viel Spass.

Was bei Euch eingegangen ist, ist vermutlich der Versuch "Angst und Schrecken" zu verbreiten.
Such mal auszugsweise nach dem Text in der Mail.

BFF

 

[xxMuahdibxx]

Nunja da schon ein Trojaner gefunden wurde ist es sicher nicht einfach nur eine Fake Mail ... man kam ja so schon an die Email Adresse ran um sie zu faken.

Wichtig wäre schon zu schauen ob die eigenen Leute sich an gewisse Regeln halten und das die USB sticks auch clean sind. Denn irgendwo her muss der Trojaner ja gekommen sein.

 

[BmwM3Michi]

Einer davon bekam nun von sich selbst gesendet

die mail ist also auch im Ordner "Postausgang" zu sehen?

 

[Sebbi]

header ankucken .... da is dann schnell klar, das so ne mail von gehackten russischen Servern kommt

hatte ich auch schon, lustig das er meinen bildschirm in eine Webcam verwandelt hat wüsste auch gerne wie das geht !

 

[DeusoftheWired]

Header der Mail mit einem Werkzeug wie diesem analysieren.

 

[Vollkorn]

https://haveibeenpwned.com/

hier kannst du prüfen ob deine e-mail bereits geklaut wurde

 

[Michi777]

Hallo!

habe den Header nun analysiert und sieht wie folgt aus.
Was hat das zu bedeuten?

Im Anhang Bild davon und vom Trojaner der gefunden wurde

 

[snaxilian]

Habt ihr keinen Admin den ihr fragen könnt? Oder entsprechend das Systemhaus, dass den Exchange eingerichtet hat und hoffentlich betreut? Im Header siehst die OriginIP, also wo die Mail ursprünglich her kam. Reverse Lookup führt zu nem DSL-Anschluss des Providers wind.it. Der Spam kam somit höchstwahrscheinlich von irgendner virenverseuchten privaten Maschine.

 

[rg88]

hatte ich auch schon, lustig das er meinen bildschirm in eine Webcam verwandelt hat wüsste auch gerne wie das geht !

?

 

[xxMuahdibxx]

hatte ich auch schon, lustig das er meinen bildschirm in eine Webcam verwandelt hat wüsste auch gerne wie das geht !

Sicher der Laptopbildschirm wo oben die Kamera drinn ist.

 

[Sebbi]

@rg88 und @xxMuahdibxx

ich habe nur einen ganz normalen Bildschirm nix mit Webcam die mich filmen könnte wie behauptet, darum würde ich ganz gerne wissen wollen, wie die DAS angestellt haben meinen Bildschirm in eine Webcam zu verwandeln !

 

[xxMuahdibxx]

Das werden dann fliegende magische Einhörner sein ... mit rosa tütü ... weil ansonsten wirds nichts einen Bildschirm in ein Webcam zu verwandeln ..

Natürlich könnte es in Glare Bildschirm sein und du strahlst so das du dich selber spiegelst da drinnen.

Bleiben wir mal auf den Boden der Tatsachen ... entweder es geht nicht so wie du sagst mit normalen Bildschirm ... oder dir ist das Unnormale einer Webcam da drann nicht aufgefallen.

 

[Sebbi]

oder dir ist das Unnormale einer Webcam da drann nicht aufgefallen.

das dies ein Randlos Monitor ist ohne "notch" ist da schlecht ne Webcam unterzubringen aber im ernst da ist nix mit webcam, das ist einfach nur verarsche

und lustig auch bei mir schrieb man, das die infektion auf nen gehackten ACC von ner Pron Streaming seite kommen wäre .... find ich nur lustig, denn auf solchen Seiten würde ich mir doch keinen Acc anlegen, da sowas meist dann eh beschiss wäre

 

[xxMuahdibxx]

@ Sebbi wie wäre es mit HAT und haben wollte mal richtige Fakten zu schaffen ... eh du am Ende nur sagst die meinten das sie das gemacht hätten.

 

[Sebbi]

also nochmal für dich in klar fakten, da du scheibar keine ironie verstehst

Monitor hat keine Webcam bei eingebaut, außer es hat ein Geheimdienst die in das Display integiert Punkt
Ich habe auch keine Webcam an meinen Rechner angeschlossen Punkt.
Ich habe keinen Pron Streaming Account irgendwo Punkt.
Die Mail die ich bekommen habe war einfach nur Fake und sollte mich mit falschen Fakten dazu verleiten, weil ich mich für ja schämen müsste das ich Pron ansehen würde, denen 500$ in Bitcoin zu überweisen Punkt.

zufrieden?

 

[Michi777]

@snaxilian:
Danke für die Antwort.
Soll ich nun eine Spamregel mit passenden Filterwörtern erstellen oder neu aufsetzen?

Wie konnte der italienische Absender auf die Mailadresse vom Mitarbeiter kommen und mit dieser versenden?

Ist der von nur Spybot gefundene Trojaner ein Echter oder eher eine Falscherkennung?