Mails auf Firmenadresse (we found a harmful file...)

[rallyco]

Morgen zusammen,

meine Chefin hat mich gerade angerufen, sie würde seit Freitag E-Mails auf die info-Adresse unserer Firma bekommen mit folgendem Inhalt:

We've found a harmful attachment in your email environment
To protect your users, view the incident and remove the identified messages.

Gefolgt von den Incident Details und einem "Manage Incident" Link der zu irgendeiner Adresse von us-mimecast.com führt. Das ganze kommt von der postmaster E-Mail Adresse eines Landwirtschaftsunternehmen, mit dem wir keinen Kontakt haben mit dem wir vor Jahren mal Kontakt hatten (edit)
Mittlerweile sind anscheinend fast ein Dutzend dieser Mails eingetroffen.

Meine Chefin ist jetzt verunsichert und ich konnte zu der ganzen Sache bisher nichts finden, bin mir aber fast sicher, dass wir unschuldig sind.
Unsere E-Mails laufen über die Telekom, gehostet wird auf Strato.
Ignorieren? Doch der Sache nachgehen? Bin für Infos dankbar, auch, um das Gewissen meiner Chefin zu beruhigen.

 

[Demon_666]

Also für mich hört sich das nach klassischem spam an. Eventuell wurde server des Landwirtschaftsunternehmens gekapert oder die mails tarnen sich mit der Adresse. Ich hoffe niemand hat auf den link in der mail geklickt .

Meine Meinung: Direkt in den Spamfilter damit.
Und als gute Tat könnte man ja das andere Unternehmen bzw. deren IT mal kontaktieren und nachfragen bzw. Bescheid geben.

Bin in dem Thema aber auch nur hobbymäßig unterwegs.

 

[trendliner]

Mailfilter anpassen und diese Phishing-Mails aussortieren lassen.
Selbstverständlich keinen Link in den Mails anklicken.

 

[Smily]

Das ganze kommt von der postmaster E-Mail Adresse eines Landwirtschaftsunternehmen, mit dem wir keinen Kontakt haben.

Das ist doch eigentlich Beweis genug, oder?
Theoretisch wäre es möglich, dass jemand eure Adresse benutzt um Malware zu verteilen. Absender kann man ja leider leicht fälschen. Und der Postmaster antwortet dann der angeblichen Adresse, also euch.
Und ist der Link wirklich zu maimcast oder versteckt sich da ein klickmichundgibdeinePasswöerterein.com Link hinter?

Man könnte ja mal bei dem Landwirtschaftsunternehmen anfragen, ob die Maimcast nutzen. Das wäre ein Unternehmen, was cloudbasiertes Mail Management anbietet.

 

[rallyco]

Selbstverständlich hat niemand auf den Link geklickt, soweit sind wir hier zumindest schon, bin da auch sehr stolz auf meine Chefin, die ist da sehr übervorsichtig
@Demon_666 An sowas wie kapern der Mailadresse des anderen Unternehmens hatte ich auch gedacht, und dass man die eventuell kontaktieren könnte.
@trendliner Zum Filtern habe ich auch schon geraten. Trotzdem lieber nochmal nachfragen, bin da ja auch nicht superfit in dem Bereich.
@Smily bisher haben wir von noch niemandem sonst solche E-mails bekommen, meines Wissens nach. Gäbe es denn eine Möglichkeit, zu checken, ob wir doch der Verursacher sind?
Der Link geht erstmal auf login-us.mimecast.com/administrat/etc... wie's dahinter genau aussieht, kann ich allerdings nicht sagen. Eventuell werde ich wirklich mal bei dem anderen Unternehmen anfragen.

Vielen Dank erstmal für eure Antworten

Edit: Ich musste gerade feststellen, dass wir in der Tat vor 10 Jahren Kontakt mit dieser Firma hatten, als unsere eigene noch in anderer Hand war, die Mail-Adresse aber die selbe. Jetzt wird das ganze natürlich interessant.

 

[chrigu]

Ruf dort an und sag das du mit Mails bombardiert wirst

 

[rallyco]

Der Link in der Email führt zu einer "Administration Console" von mimecast, wo ich gebeten werde für den Login eine e-Mail Adresse anzugeben. Hab ich bisher nicht gemacht, wollte erstmal gucken, wo der Link hingeht (in einer sicheren Umgebung)

 

[Smily]

wo ich gebeten werde für den Login eine e-Mail Adresse anzugeben

Und welche? Weil Login Daten hast du ja nicht.
Würde echt in deren IT anrufen, ob die das System nutzen.

 

[rallyco]

@Smily ich habe keine Ahnung welche Adresse. Hab eben auch rausgefunden dass insgesamt nur 8 E-Mails gekommen sind, die alle am Freitag, alle mit dem selben Vorfall (Freitag früh um 7:28 Uhr). Ist gerade bisschen hakelig, weil die einzigen Leute mit Zugriff auf unsere info-Adresse krank sind.

Ich werde mal die andere Firma kontaktieren. Vielen Dank bis hierhin erstmal!

 

[Smily]

Als Beispiel: Wenn ihr O365 Exchange Admin Center nutzt, kannst du sehen, wer wann an wen was geschickt hat.

Vielleicht hast du ja so ein Admin-Tool. Oder euer Systemhaus hat eins.

 

[rallyco]

@Smily oh, das wird dann wahrscheinlich dauern. Admin-Tools selber haben wir nicht, dass wird von einer externen (sehr kleinen) IT-Firma gemacht, da müsste ich erstmal nachfragen ob ich die IT damit behelligen kann, kostet ja immer. Ist natürlich blöd, die Verantwortlichen hier sind gerade alle krank. Ich bleib aber dran.

Wegen dem Mimecast-Login müsste sich ja theoretisch derjenige anmelden, der Mimecast benutzt, was wir nicht tun. Dementsprechend kann ich da von meiner Seite ja auch nichts machen.

Mal schauen wie es weiter geht.

 

[Smily]

Wegen dem Mimecast-Login müsste sich ja theoretisch derjenige anmelden, der Mimecast benutzt

Dann macht die Mail aber keinen Sinn von denen, auch wenn die echt ist .
Bekomme von unserem Spam Filter, bzw. von unseren 2 Spamfiltern, auch Mails, wenn etwas geblockt wurde.
Also rallyco@rallyco.de hat eine Mail geschickt, die ist als Spoofing eingestuft, möchtest du als Admin die zulassen, oder nicht. Dem rallyco@rallyco.de die Mail zu schicke ist recht nutzlos.

 

[rallyco]

Joah, denselben Gedanken hatte ich auch
Ich werde die mal kontaktieren sobald ich das Okay von der Chefin habe, vielleich tfindet man da ja noch was raus.
Falls ich irgendwo weiterkomme oder es was neues gibt, geb ich mal ein kurzes Update.

Danke euch allen für die schnelle Hilfe!

 

[User007]

Hi...

In Ergänzung sollte vllt. auch mal die betroffene (und "bombadierte") E-Mail-Adresse (oder mehrere) von Euch bspw. bei Have I been pwned auf entsprechende "Kompromittierung" geprüft werden, oder sogar besser, da Zugriff auf die Mail-Adresse(n) besteht, beim Hasso-Plattner-Institut (HPI, Teil der Uni Potsdam - es wird zur Kontrolle das Prüfergebnis an jene geprüfte Adresse gesendet).​

 

[rallyco]

@User007 das war keine schlechte Idee. Hasso-Plattner-Institut gibt mir ein "Glückwunsch" zurück, Have I been pwned listet einen Vorfall von vor sechs Jahren, das müsste aber nicht das Problem sein, da seit dem die Firma übernommen und sämlichte Passwörter geändert wurden.
Ist seit den Mails von Freitag auch nichts mehr gekommen, soweit ich weiß.

 

[User007]

Have I been pwned listet einen Vorfall von vor sechs Jahren, das müsste aber nicht das Problem sein, da seit dem die Firma übernommen und sämlichte Passwörter geändert wurden.

Das hat in erster Linie nichts bzw. nicht zwingend mit Passwörtern oder Inhaberwechseln zu tun, sondern vorrangig mit der jeweiligen E-Mail-Adresse. Also, ob die bspw. durch einen sog. "Leak" in i-einer "Liste" unabhängig vom Datum aufgetaucht ist und dadurch eine zumind. grundlegende Möglichkeit der Kompromittierung besteht. Weitergehendes müßte anhand mglw. mitgelieferter Infos recherchiert werden.

Oftmals gelten bei häufigem Spamempfang solche E-Mail-Adressen dann als "verbrannt" und sollten nach Möglichkeit keine Verwendung mehr finden - ist manchmal im Businessbereich schwierig, wenn's sich um langjährig bekannte Adressen handelt, könnte mglw. allerdings noch mittels Filter/Regel zur Weiterleitung für eine "Übergangsfrist" bis zur Etablierung einer frischen E-Mail-Adresse genutzt werden.
Ansonsten besteht da leider überwiegend wenig Aussicht solche E-Mail-Adressen wieder "sauber" und spamfrei zu bekommen. 🤷‍♂️
​

Ist seit den Mails von Freitag auch nichts mehr gekommen, [...]

Tja, weiter beobachten, mehr geht da wohl (erstmal) nicht - sowas tritt durchaus auch sporadisch durch entsprechend initierte Spam-Kampagnen auf, wobei man ja die auch zufällige "Zusendung" von Spam eh nie völlig unterbinden kann.​

 

[rallyco]

Mal abwarten. Ich hab da auch nicht den Überblick was das so reinkommt,das wird immer nur so sporadisch an mich getragen wenn da mal was auffällt. Wir haben hier keine eigene IT und ich wurd hier so mehr oder freiwillig zum Anlaufpunkt deklariert weil ich am meisten "Ahnung von Computern" habe. Was in dem meisten Fällen fröhliches Recherchieren im Internet bedeutet.

Die info-Adresse ist alt, da haben sich die alten Mitarbeiter auch fröhlich bei allen möglichen Newslettern angemeldet, privat Kram bestellt und was weiß ich. Das wird hier so nach und nach aussortiert und geblockt.
Wenn sowas weiterhin passiert, oder mehr als ich weiß (müsste ich nachfragen) wäre es vielleicht wirklich eine Überlegung wert, parallel eine neue Mailadresse einzuführen und die alte langsam auslaufen zu lassen.
Müsste ich mal nachhorchen.

Danke für die Anregung

 

[User007]

[...] da haben sich die alten Mitarbeiter auch fröhlich bei allen möglichen Newslettern angemeldet, privat Kram bestellt [...]

Määäh... und schon war's gewissermaßen für früher oder später "vorprogrammiert."
So viel also zum Thema Bewußtsein für Datensicherheit (auch in "kleinen" Unternehmen), das ist nämlich ebenfalls Teil davon. 🤷‍♂️
Und dagegen hilft nur Schulung, Schulung und nochmals Schulung (auch wenn's den MA zum Halse raushängt) sowie entsprechend betriebliche Restriktionen. ☝️

Btw.:
Ich hab' allen von mir betreuten Einzel-/Kleinunternehmen jeweils immer von Anfang an mehrere E-Mail-Adressen (info@, post@, news@, gf@, etc.) für exklusiv zu nutzende Anwendungszwecke erstellt und mit einer kleinen Einführungsschulung sowie großflächigen Hinweisschildern mit Nutzungsanweisungen "getriezt" - war überwiegend erfolgreich. ​