Bank-Phishing Email mit interner Korrenspondenz erhalten

  • Hallo,


    bei diesem Beitrag beantworte ich mittels den Maßnahmen die Frage ja schon größtenteils selbst, ich


    Ein Kunde berichtet wie folgt:


    a) eingehende Phishing email einer ausländischen Bank (bankofbeirut.co.uk) erhalten

    b) in deren Text ist der damalige interne Korrespondenzverlauf (zwischen Bank+Kunde) enthalten .

    c) es ging um Überweisungs-Gebühren.

    d) die Email-Absenderadresse und Anzeige jedoch war "schlecht gefälscht und sozusagen eine Baufirma aus Dubai oder ähnlich)

    Die Anrede in dieser Phishing Email war ebenfalls nicht haargenau auf den Tobit Kunden zugeschnitten, kein wirkliches social Engineering...


    mögliche Schwachstellen:

    e) offene Ports zum Tobit Server sind:

    RDP (ist jetzt zu) war "nur" von einer bestimmten externen festen IP über einen fünfstelligen RDP Port (ja von Bluebeep RDP Schwachstelle habe ich gehört)

    f) 110, 143 MA Server sowie 8080 für die Webbox

    g) unter David/Protokolle sind Bruteforce Attacken sichtbar gewesen für den MA Server, aber das ist ja keine Seltenheit

    h) Geoblocking geht bei der Watchguard XTM 25 leider nicht

    i)es ist leider noch ein Server 2003 mit SL.EXE 11.00a 2378* , d.h DV ADMIN -> Webbox > Bruteforce Sicherheit kann nicht verwendet werden

    j) die Phishing Email enthielt eine DOC Datei die Tobit Virenschutz im Postman und ESET nicht erkannt hat, jedoch Virustotal.com

    k) Mailempfang läuft direkt über Port 25 zum Postman, Versand ebenfalls


    Maßnahmen:-

    -Unverteilt ist für Remote freigegeben, hat jedoch kein Passwort, weil sich ja erst als User angemeldet wird

    -POP3/IMAP/Webbox z.B. nur aus dem Vodafone Mobilfunk IP Bereich erlauben via Watchguard Policy (bei Auslandsreisen dann schwierig)

    -Remotepasswörter ändern

    -Server neues OS

    -klären ob Webbox wirklich gebraucht wird, Protokollmails Zugriff von IP XXXX in den Eingang leiten über Verteilregel

    -DOC Dateien sperren im Watchguard SMTP Proxy bzw. die üblichen gefährlichen Dateiendungen

    -an den PCs über GPO Makros generell deaktivieren

    -Watchguard Webblocker aktivieren über https/http Verbindungen


    Frage:

    Tobit updaten : würde das aktuelle Tobit auch auf Windows Server 2003 laufen, wenn man notfalls auf SQL Suche verzichten würde?)
    Die PCs sind Win10/Win7


    Fazit/Frage2:

    Ein Sicherheitsgewinn kann mittels Tobit Update hergestellt werden.


    Danke für eure Meinung

  • Ich würde mal prüfen ob die Mailkorespondenz zwischen Kunde und Bank nicht auch bei der Bank oder auf einem der Mailserver zwischen Bank und Kunde abgegriffen worden sein kann.

    Dann würde ich dringend raten den alten Windows Server 2003 zu ersetzen.

    Sowohl ein David Update auf die aktuelle Version, als auch ein Update des Windows Server 2003 auf einen 2019 würden ganz gewiss die Sicherheit der Umgebung deutlich verbessern.

    Bei uns wurden solche eingehenden Word Dateien übrigens allesamt von der Microsoft Defender Engine auf dem Windows Server 2016 kassiert bevor sie auch nur in die Nähe von Schaden beim Nutzer anrichten gekommen sind. Weder die in David integrierte Engine, noch die unseres Mail Providers haben diese Dinger erkannt.

  • Hi Riawie, gute Idee das mit der Defender Engine, gibt es bei Defender auch eine Quarantäne?
    Zeitgesteuerte mehrmals tägliche Suche im unter David\Archive geht da bestimmt auch.


    Hatte nochmal geprüft unter Tobit/Protokolle VON Internet Access Service: da sind nur unter fünf Zugriff verweigert Meldungen und die IP Adressen decken sich mit den Auslandsreisen.

  • Solange du einen 2003er Server einsetzt ist die Diskussion über eine Verbesserung der Sicherheit völliger Unsinn. Sicher kannst du den David updaten für Bruteforce Schutz und was nicht alles, aber was nutzt es dir wenn du ein angreifbares OS darunter hast?


    Wenn du wirklich auf Nummer sicher gehen willst Update den Server und lasse eingehende Client Verbindungen (EAS, IMAP etc.) nur via VPN zu.


    Grundsätzlich dürfte es aber schwierig werden exakt zu bestimmen wo die Daten abgeflossen sind. Ob bei dir, beim Empfänger oder irgendwo dazwischen. Da hier laut deiner Aussage kein professionelles Spear-Phishing vorliegt bzw. eher stümperhaftes Social Engineering würde ich davon ausgehen dass die Daten zumindest nicht gezielt bei euch entwendet wurden.

  • tobit-user-24 klar gibt es beim Defender auch eine Quarantäne.
    Wichtig ist in dem Zusammenhang abr das der Defender auf dem Server aktiv ist, denn nur so ist sichergestellt das die Nutzer keine Chance haben sich da was aus der Quarantäne zu befreien.

    Und wie geschrieben, der Server 2003 ist schlicht zu alt wenn man Sicherheit möchte, der muss als erstes neu!

    NoHopeNoFear ich sehe das genauso, das da kein Spear-Phishing aktiv war, aber allein schon aus anderen Gründen, denn die Geschichte mit .doc Dateien als Verbreitungsweg gehören genau wie das gesamte Muster zur aktuell noch immer anhaltenden Dynamit Phishing Welle.
    Deswegen denke ich auch das die Daten nicht beim Kunden, sondern bei dessen Bank abgeflossen sein werden. die meisten Banken setzen zum Mailen klassisch Outlook ein und wie man in den letzten Jahren mitbekommen hat sind Banken auch gerne mal Opfer solcher Wellen, einfach weil dort zwar viel Geld für Sicherheitsmanagement ausgegeben wird, dort aber meist Monokultur herrscht und die Nutzer mit ihrem Verhalten genau wie überall sonst auch das größte Problem darstellen.

    Ein Trojaner der Infos aus einem Tobit David Mail System abziehen kann ist mir jedenfalls bislang auch noch nicht untergekommen oder berichtet worden, dafür ist Tobit David doch auch schlicht zu sehr Nische.
    Dann müsste man schon ein Outlook an sein David gehängt haben...


    Unabhängig davon wo die Daten nun abgeflossen sind sollte man solche Anlässe immer nutzen um mal alle veralteten Komponenten zu aktualisieren, insbesondere wenn dort schon so altes Zeug am Werk ist.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!