Phishingmails analysieren

M

maow

Gast
Hallo,

Dummerweise hat ein Nutzer unseres Netzwerkes auf den Link einer solchen Mail geklickt. Er sagte nix sei passiert. Da seine Computerskills nixht über Grundanwendung hinaus gehen glaube ich grundsätzlich hierzu erstmal nix. Im Internet liest man hierzu, dass durchaus einige Dinge im Hintergrund passieren können.

Ist das grundsätzlich möglich ?
Wie finde ich raus ob ein Schaden angerichtet wurde ?
Gibt es hierzu Software mit der ixh solche Sachen sicher prüfen kann ?
Wie kann ich den Inhalt der Mail sicher analysieren ? Wie würde man hier vorgehen ?
Wie kann ich den Zweck herausfinden ?
Wie ggf. den Sender eingrenzen ?
Welche Möglichkeiten bestehen hier ?


Was sollte grundsätzlich unmittelbar unternommen werden ?

Wir haben Grund zur Annahme generell ein Ziel zu sein aufgrund der vergangenen Vorfälle.


Danke im voraus für konstruktive Antworten.
 
Da du offenbar auch nur ein kleines Grundwissen hast, würde ich mich an Leute wenden die sich damit auskennen.
 
  • Gefällt mir
Reaktionen: M-X, piepenkorn und AB´solut SiD
Vermutlich würde ich da nicht viel Zeit investieren und die Kiste vorsorglich platt machen.
Zusätzlich ggf. das Netzwerk und die Aktivitäten die nächste Zeit etwas beobachten.
 
  • Gefällt mir
Reaktionen: maow
Ich nehme bei solchen Vermutungen, den betroffenen Rechner, als erstes aus dem Netz.

Dieser wird anschließend untersucht und je nach Ergebnis, folgen weitere arbeiten.

Cu
redjack
 
  • Gefällt mir
Reaktionen: maow und kartoffelpü
Sind halt mehrere Fragen: hat er nur auf einen Link geklickt? Wie sind die Applikationen abgesichert? Hat er Anhänge geöffnet? Hat er .exe ausgeführt?

Habt ihr irgendwelche Security Lösungen im Hintergrund am Laufen? Wenn ja, dann schaut da nach, wenn nein, dann solltet ihr vielleicht einkaufen. Ansonsten würde ich prinzipiell davon ausgehen, dass das System (also Netzwerk) kompromitiert ist.
 
  • Gefällt mir
Reaktionen: maow und AB´solut SiD
Olah, aufgrund von "Wir haben Grund zur Annahme generell ein Ziel zu sein aufgrund der vergangenen Vorfälle."

Wendet euch an Profis sprich ein Systemhaus (keine Klitsche, die euch irgendjmd zuträgt...) In welchem Bundesland/Stadt, vllt kennt ja hier jmd Systemhäuser die den Namen verdienen. Und ja die Kosten Geld...
 
  • Gefällt mir
Reaktionen: k.hussle
maow schrieb:
Wir haben Grund zur Annahme generell ein Ziel zu sein aufgrund der vergangenen Vorfälle.
Was für ein Netzwerk seid ihr? Wenn ihr eine NGO seid würde ich denken gibt es spezielle Anlaufstellen für euch, das Thema erschöpft sich dann ja nicht in diesem konkreten Vorfall. Mit denen kannst du dann auch abklären, ob wirklich ihr im speziellen attackiert wurdet/werdet.

maow schrieb:
Ist das grundsätzlich möglich ?
Grundsätzlich ist alles möglich.

maow schrieb:
Wie finde ich raus ob ein Schaden angerichtet wurde ?
Selber kaum möglich ohne weiteres.

maow schrieb:
Gibt es hierzu Software mit der ixh solche Sachen sicher prüfen kann ?
Nein.

maow schrieb:
Wie kann ich den Inhalt der Mail sicher analysieren ? Wie würde man hier vorgehen ?
Du selber gar nicht.

maow schrieb:
Wie kann ich den Zweck herausfinden ?
Wie ggf. den Sender eingrenzen ?
Das geht nicht.


Solange Browser-Software, AV Software und E-Mail Software aktuell waren und nichts runtergeladen und ausgeführt worden ist ist die Wahrscheinlichkeit sehr gering, dass etwas passiert ist.
 
  • Gefällt mir
Reaktionen: AB´solut SiD
Ich mache die Rechner immer sofort platt. In 20 Minuten läuft der Rechner wieder mit komplett installierter Software und ich brauch mir keine Sorgen machen.
 
In der Regel werden mit Phishing Mails Zugangsdaten abgegriffen, gern von M365 Accounts. Den Rechner platt zu machen hilft da erst mal überhaupt nix.
Ohne den Link selbst gesehen zu haben aber pures Rätselraten. Wenn du ihn noch hast kannst du ihn gerne mal per PM schicken.
Ansonsten gilt für die Accounts wie immer: Zwei Faktor Auth schützt für Account Diebstahl und die Nutzer briefen ist auch nie verkehrt.
 
Hey danke für die mehrheitlich konstruktiven Beiträge. Wir haben nur den Windows defender weil unsere IT meint der sei sehr gut. Ich selbst kann das nicht beurteilen.

Ich werde morgen mal alle prüfen ob alle Updates ausgeführt wurden. Zusätzlich werde ich vorschlagen das der Nutzer ein neues Passwort erhält. Leider ist die IT dort eher eingestaubt. Ich versuche mich daher etwas diesen Themen zu widmen. Klar aäre Geld letztlich immer eine Lösung nur wollte ich vorher nur mal sondieren, in wie weit.man selbst etwas machen kann. Manche Nutzer sind was pc angeht überfordert, das System neu aufzusetzen damit ein grundsätzlich schwierigeres Thema mit endlosen Diskussionen.... Was auch mir dir Zeit raubt da ich genug zu tun habe. Ein Teufelskreis hehe 😜8.

Ich werde sonstige Ideen mal vorschlagen
Ergänzung ()

k.hussle schrieb:
Da du offenbar auch nur ein kleines Grundwissen hast, würde ich mich an Leute wenden die sich damit auskennen.
Bitte keine Provokationen i.S. Der Forenregeln. Meine Computerkenntnisse gehen definitiv über Basics hinaus. Letztlich ist es auch eine empathische Frage zu verstehen das IT wie viele andere Fachbereiche sich in zahlreiche Teildisziplinen auffächern. Der Rat wende dich an Spezialisten ist selbstredend, beantwortete jedoch 100% der Fragen nichtmal ansatzweise.
 
Zuletzt bearbeitet von einem Moderator:
Spätestens wenn in der Firma nichts mehr geht wacht der Chef, und die IT, mal auf..
 
  • Gefällt mir
Reaktionen: AB´solut SiD und k.hussle
Diskreditiere mich nicht k.hussle
Ergänzung ()

niteaholic schrieb:
Spätestens wenn in der Firma nichts mehr geht wacht der Chef, und die IT, mal auf..
Das denke ich auch. Wir hatten wohl mal einen Mitarbeiter der darauf mehrfach hingewiesen hatte. Damals gab es angeblich bereits ein Vorfall. Seitdem hat sich anscheinend nicht viel geändert. Der ma hat später die Firma verlassen.
 
maow schrieb:
Damals gab es angeblich bereits ein Vorfall. Seitdem hat sich anscheinend nicht viel geändert.
Wenn die IT und die Geschäftsführung daraus nicht lernt, wirst auch Du nichts ändern können. Hoffentlich gibt es in der Firma, ausreichende Backupstrategien.

CU
redjack
 
Dann solltest du dir ernsthaft Gedanken drüber machen, ob du in diesem Unternehmen weiter arbeiten möchtest, oder den Chef zu fragen wie viel er bereit ist zu zahlen wenn die Daten Mal verschlüsselt sind ;)
 
Hehe darauf hatte ich bereits aufmerksam gemacht. Aber das hat mit dem Verweilen nichts zu tun.
Ergänzung ()

tomgit schrieb:
Sind halt mehrere Fragen: hat er nur auf einen Link geklickt? Wie sind die Applikationen abgesichert? Hat er Anhänge geöffnet? Hat er .exe ausgeführt?

Habt ihr irgendwelche Security Lösungen im Hintergrund am Laufen? Wenn ja, dann schaut da nach, wenn nein, dann solltet ihr vielleicht einkaufen. Ansonsten würde ich prinzipiell davon ausgehen, dass das System (also Netzwerk) kompromitiert ist.
Danke für dein Feedback. Was genau passiert ist und wie der Inhalt genau war ist aktuell nicht im Detail bekannt. Es wurde halt als Kleinigkeit abgetan. Wir haben aber alles andere als < Kleinigkeiten> an Daten, daher und auch prinzipiell ist das Thema wichtig.

Wir haben wohl eine Firewall (kenne die Software gerade nicht) sowie den Windows Defender. Ich denke bei unserem Unternehmen ist die größte Schwachstelle, wie bei anderen, vielleicht sogar sonst gut geschützten Systemen, der Nutzer selbst. Hab mal ein bisschen Quer gelesen. Ein Artikel schreibt gar die wirtschaftlichen Schäden durch Cyberattacken betragen um die 200 Milliarden Euro jährlich. Gerade deswegen denke ich ist das Thema wichtig, ob Laie oder Profi.
 
Zuletzt bearbeitet von einem Moderator:
Eine Firewall oder der lokale Virenscanner bringen euch halt einen scheiß wenn der Anwender seine Zugangsdaten auf einer fremden Seite eingegeben hat und dort gerade die Mails abgezogen werden.
Daher wäre es jetzt extrem wichtig genau heraus zu finden WAS da kam und WAS der Anwender gemacht hat. Blinder Aktionismus wie Rechner neu aufsetzen oder anderen Virenscanner nutzen kann hier komplett nach hinten los gehen weil man Zeit verliert.
 
  • Gefällt mir
Reaktionen: M-X und AB´solut SiD
maow schrieb:
Wir haben wohl eine Firewall (kenne die Software gerade nicht) sowie den Windows Defender.
Solltest mal nachhaken, welche Microsoft Lizenz ihr habt. Je nach Paket sind da nämlich Security-Tools mit abgedeckt, die aber dann wohl noch richtig aktiviert werden müssen.

Masamune2 schrieb:
lokale Virenscanner
Kommt drauf an, welcher Defender oder welches Defender-Paket gemeint ist. Microsoft 365 Defender hat auch eine Integration in Outlook, und kann auf Phishing-Attacken reagieren. https://learn.microsoft.com/en-us/m.../anti-phishing-protection?view=o365-worldwide
 
Zurück
Oben