Email conversaties gekaapt - Privacy en beveiliging

dinsdag 22 maart 2022 12:35

Acties:

0 Henk 'm!

Topicstarter

Relaties krijgen emails gestuurd als reply op een bestaande, echte conversatie.

De mails komen niet van onze accounts maar van iets dat er sterk op lijkt; b.v. "g" in de naam vervangen met "q"

Mijn vraag is deze: via welke wegen kunnen ze aan die conversaties komen?

Als onze eigen accounts gehacked waren dan haddden ze wel rechtstreeks gestuurd vanuit de echte account lijkt me.

Malware die uitgaande berichten doorstuurd/kopiëerd ?

dinsdag 22 maart 2022 13:02

Acties:

0 Henk 'm!

HKLM_

check je mailserver settings en je spamfilter

Cloud ☁️

dinsdag 22 maart 2022 13:03

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

wilgeennaam schreef op dinsdag 22 maart 2022 @ 12:35:
Relaties krijgen emails gestuurd als reply op een bestaande, echte conversatie.

De mails komen niet van onze accounts maar van iets dat er sterk op lijkt; b.v. "g" in de naam vervangen met "q"

Mijn vraag is deze: via welke wegen kunnen ze aan die conversaties komen?

Als onze eigen accounts gehacked waren dan haddden ze wel rechtstreeks gestuurd vanuit de echte account lijkt me.

Malware die uitgaande berichten doorstuurd/kopiëerd ?

Als het inderdaad een reply op een bestaande conversatie is, dan zijn één of meerdere mailboxen gecompromitteerd. En als het de moeite loont om het afzender adres te wijzigen, dan is je mail server waarschijnlijk ook gehackt

QnJhaGlld2FoaWV3YQ==

dinsdag 22 maart 2022 13:11

Acties:

+1 Henk 'm!

Christoxz

wilgeennaam schreef op dinsdag 22 maart 2022 @ 12:35:
Als onze eigen accounts gehacked waren dan haddden ze wel rechtstreeks gestuurd vanuit de echte account lijkt me.

Hoeft niet persee, om deze manier kunnen ze de hele conversatie onderscheppen, terwijl je dat niet door hebt, aangezien je relaties zullen reageren op een andere email adres, kan beide kanten op dus.

Mijn vraag is deze: via welke wegen kunnen ze aan die conversaties komen?

Kan dus van alles zijn, zoals je al aangeeft een malware op jullie system, die de mails onderschept, toegang tot je server, toegang tot de mailboxes, backups waar toegang tot is etc etc. Kortom het kan van alles zijn, het kan ook een insider zijn die de mails bewust heeft doorgestuurd/gebruikt.

Wat je zelf zou kunnen doen is nagaan of er specifieke relaties, accounts, ontvangers in verband gebracht kunnen worden.
Het zou bijvoorbeeld kunnen zijn dat alleen relaties deze mail krijgen, waarbij een specifiek persoon in de CC staat, dan zou het zijn computer/mailbox zijn waar toegang tot is.

Verder klinkt het allemaal zakelijk, is een IT partij inschakelen niet verstandig? Wij kunnen vanaf hier natuurlijk alleen maar wat kennis delen, maar kunnen nooit weten wat het nou exact kan zijn, aangezien we jou constructie niet weten.

T.Net Creality 3D Printer Discord

dinsdag 22 maart 2022 13:25

Acties:

0 Henk 'm!

Niet_Jan_Jaap

Als het meerdere verschillende relaties zijn, dan zijn jullie 99% zeker gehackt. Als het met 1 relatie is, dan kan het van beide kanten komen. Wat voor mailsysteem hebben jullie? als het kan, check de logs voor succesvolle authenticaties en dan vooral uit welke locatie ze komen.

grootste kans is dat het gaat om phishing / password spraying + geen MFA (of basic authentication aanstaan), en minder grote kans dat het om malware gaat.

[ Voor 22% gewijzigd door Niet_Jan_Jaap op 22-03-2022 13:26 ]

dinsdag 22 maart 2022 14:18

Acties:

0 Henk 'm!

wilgeennaam

Topicstarter

Brahiewahiewa schreef op dinsdag 22 maart 2022 @ 13:03:
[...]

Als het inderdaad een reply op een bestaande conversatie is, dan zijn één of meerdere mailboxen gecompromitteerd. En als het de moeite loont om het afzender adres te wijzigen, dan is je mail server waarschijnlijk ook gehackt

Ze worden gewoon vanuit een heel ander domein verstuurd, niet via onze server.

Hoeft niet persee, om deze manier kunnen ze de hele conversatie onderscheppen, terwijl je dat niet door hebt, aangezien je relaties zullen reageren op een andere email adres, kan beide kanten op dus.

Ja goed punt

Is een IT partij inschakelen niet verstandig?

Dat heb ik ook wel eens gezegd ja

Niet_Jan_Jaap schreef op dinsdag 22 maart 2022 @ 13:25:
Als het meerdere verschillende relaties zijn, dan zijn jullie 99% zeker gehackt. Als het met 1 relatie is, dan kan het van beide kanten komen. Wat voor mailsysteem hebben jullie? als het kan, check de logs voor succesvolle authenticaties en dan vooral uit welke locatie ze komen.

grootste kans is dat het gaat om phishing / password spraying + geen MFA (of basic authentication aanstaan), en minder grote kans dat het om malware gaat.

Tjs, lastig te achterhalen hoe het gebeurd is. MFA staat nu igg geforceerd aan voor alle gebruikers.
Wachtwoorden van computer (nieuw lokaal account), email, en overige applicaties allen gereset.
Niks vreemds gezien in de logs (office365) beide gevallen ging het om emails van de zelfde gebruiker.

Anyway, bedankt voor de reacties.

dinsdag 22 maart 2022 20:39

Acties:

0 Henk 'm!

Dimitrip

om welke firma gaat het? (welke branche)
Wie zijn de betrokken collega's? Gaan zij over budgetten en geld?

dinsdag 22 maart 2022 20:44

Acties:

0 Henk 'm!

DiedX

Klinkt meer als een gehackte tegenpartij, en vervolgens een phishing-aanval op jouw organisatie.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 23 maart 2022 15:09

Acties:

0 Henk 'm!

wilgeennaam

Topicstarter

Dimitrip schreef op dinsdag 22 maart 2022 @ 20:39:
om welke firma gaat het? (welke branche)
Wie zijn de betrokken collega's? Gaan zij over budgetten en geld?

De collega's van de tegenpartij wel ja, wijziging bankrekening doorgestuurd, met verzoek betaling naar nieuwe rekening te doen..

woensdag 23 maart 2022 16:19

Acties:

0 Henk 'm!

blueshield

DiedX schreef op dinsdag 22 maart 2022 @ 20:44:
Klinkt meer als een gehackte tegenpartij, en vervolgens een phishing-aanval op jouw organisatie.

Kan ook heel goed vanuit TS komen. Waarschijnlijk hebben jullie te maken met een "Business Email Compromise" genoeg over te vinden online (ook wat je hiertegen kan doen) en de ontdekkingen (Typo-domains, aanpassen van rekeningnummers etc) zijn inderdaad de gebruikelijke use-cases.

PM me maar als je wat hulp kan gebruiken.

woensdag 23 maart 2022 16:29

Acties:

+2 Henk 'm!

DVX73

Mijn advies is een derde parij inschakelen om jullie te helpen met dit probleem op te lossen.

Wie zouden dit kunnen doen:

De grotere accountsorganisaties
Cybersecurity bedrijven
Grotere IT dienstverleners

woensdag 23 maart 2022 18:28

Acties:

0 Henk 'm!

Dimitrip

wilgeennaam schreef op woensdag 23 maart 2022 @ 15:09:
[...]

De collega's van de tegenpartij wel ja, wijziging bankrekening doorgestuurd, met verzoek betaling naar nieuwe rekening te doen..

Ik zou eens alle e-mailadressen van jullie organisatie nakijken om te zien in de loggings vanwaar er wordt ingelogd. Je gaat dan volgens mij al wat wijzer worden. Het is een gekend probleem. Kijk eens al jullie adressen na op have i been pawned? Zeker de loggings opvragen
Van de adressen vanwaar ingelogd.

woensdag 23 maart 2022 19:02

Acties:

+1 Henk 'm!

Archie_T

Dit moet je niet zelf willen oplossen als je de vraag op Tweakers stelt. Huur een security pro in.

woensdag 23 maart 2022 20:04

Acties:

0 Henk 'm!

wilgeennaam

Topicstarter

Archie_T schreef op woensdag 23 maart 2022 @ 19:02:
Dit moet je niet zelf willen oplossen als je de vraag op Tweakers stelt. Huur een security pro in.

Ben ik met je eens, maar daar ga ik niet over.

Mijn vraag was meer (uit nieuwsgierigheid) naar of er bekende wegen zijn om email conversaties te onderscheppen zonder toegang te hebben tot het account omdat mijn vermoeden was dat het account vanwaaruit de originele conversaties gestuurd waren niet gecompromiseerd was.

Dimitrip schreef op woensdag 23 maart 2022 @ 18:28:
[...]

Ik zou eens alle e-mailadressen van jullie organisatie nakijken om te zien in de loggings vanwaar er wordt ingelogd. Je gaat dan volgens mij al wat wijzer worden. Het is een gekend probleem. Kijk eens al jullie adressen na op have i been pawned? Zeker de loggings opvragen
Van de adressen vanwaar ingelogd.

Geen vreemde logins kunnen vinden, maar ja tussen thuiswerken, kantoor en inloggen op telefoon zijn het veel verschillende logins die lastig allemaal echt te traceren zijn,

Zit ook best veel tijd tussen. Eerste zaak is van begin feb, volgende van een paar dagen geleden. Die eerste kregen we pas door nadat we die klant gingen vragen waarom ze nog niet betaald hadden

Tweede was gelukkig zo verstandig om even navraag te doen.

woensdag 23 maart 2022 20:12

Acties:

+1 Henk 'm!

Archie_T

Ok. Even een tip. De laatste tijd zijn apps
Installeren populair onder de phishers. Check dus even in Azure AD welke apps users hebben geïnstalleerd.

maandag 28 maart 2022 12:08

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

wilgeennaam schreef op dinsdag 22 maart 2022 @ 12:35:
Mijn vraag is deze: via welke wegen kunnen ze aan die conversaties komen?

Malware die uitgaande berichten doorstuurd/kopiëerd ?

Correct, dit is momenteel populair onder malware. Als een systeem/account wordt gekraakt dan lezen ze de mailbox uit en maken daar gebruik van om geloof waardige phishing te sturen. Dat loopt van volledig automatisch tot zeer gepersonaliseerd (waarbij ze de inhoud van de mail lezen en een realistische reactie sturen).

We kunnen dit bestrijden door SPF, DKIM en DMARC in te richten op onze mailservers en domeinen. Het werkt helaas pas echt goed als zowel de (oorspronkelijke) zender en ontvanger dit doen. Gelukkig gaat het de laatste tijd snel de goede kant op. Het is geen waterdicht middel maar het helpt een hoop.

This post is warranted for the full amount you paid me for it.