{"id":14972,"date":"2021-08-17T07:25:49","date_gmt":"2021-08-17T05:25:49","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=14972"},"modified":"2022-03-31T11:41:37","modified_gmt":"2022-03-31T09:41:37","slug":"incident-response-diary-komprimiertes-e-mail-postfach","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/incident-response-diary-komprimiertes-e-mail-postfach\/","title":{"rendered":"Incident Response Diary &#8211; Kompromittiertes E-Mail-Postfach"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/incident-response-diary-komprimiertes-e-mail-postfach\/#Die_Analyse\" >Die Analyse<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/incident-response-diary-komprimiertes-e-mail-postfach\/#IOC\" >IOC<\/a><\/li><\/ul><\/nav><\/div>\n<p>Ein Kunde kam auf uns zu, da er gef\u00e4lschte Rechnungen per E-Mail erhalten hat. Was zun\u00e4chst nach simplem Phishing klingt, stellte sich in der weiteren Analyse jedoch umfangreicher dar als zun\u00e4chst angenommen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Die_Analyse\"><\/span>Die Analyse<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nachdem wir besagte E-Mails und Images der betroffenen Computer sichergestellt hatten, wurde die Analyse eingeleitet und festgestellt, dass der Angreifer nicht nur gef\u00e4lschte E-Mails an das Opfer schickt, sondern zudem Zugriff auf dessen E-Mail-Konto hat.<\/p>\n<p>Dieser Zugriff war f\u00fcr den Angreifer deshalb von Vorteil, da dieser alle E-Mails des Opfers an sich selbst weiterleiten konnten und somit auch in den Besitzt legitimer Rechnungen gekommen ist. Diese Rechnungen wurden anschlie\u00dfend manipuliert, um das Opfer dazu zu bringen, Geld an Konten des Angreifers zu \u00fcberweisen. Dazu wurden die manipulierten Rechnungen mit einer gef\u00e4lschten E-Mail-Adresse, welche dem urspr\u00fcnglichen Rechnungsteller \u00e4hnelt, an das Opfer geschickt. Damit nicht auff\u00e4llt, dass Rechnungen doppelt ankommen, wurden Regeln in Outlook eingerichtet, welche alle E-Mails des urspr\u00fcnglichen Rechnungsstellers zuerst an den Angreifer schickt und anschlie\u00dfend aus dem E-Mail-Konto des Opfers l\u00f6scht. Neben den einkommenden E-Mails des Rechnungsstellers, wurden auch alle ausgehenden E-Mails zu diesem gel\u00f6scht, damit bei einer etwaigen Anfrage an die gef\u00e4lschte E-Mail-Adresse nicht auff\u00e4llt, dass diese nicht erreichbar ist.<\/p>\n<p>Wie in den nachfolgenden Bildern zu sehen, trugen die Regeln den Namen \u201ewer345\u201c und \u201ebellwoy\u201c und jeweils wurden die E-Mails an die Adresse des Angreifers \u201earsguernsey@gmail[.]com\u201c weitergeleitet.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-14974\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/eMail1-300x239.jpg\" alt=\"\" width=\"480\" height=\"382\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail1-300x239.jpg 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail1-24x19.jpg 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail1-36x29.jpg 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail1-48x38.jpg 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail1.jpg 660w\" sizes=\"(max-width: 480px) 100vw, 480px\" \/> <img decoding=\"async\" class=\"alignnone wp-image-14973\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/eMail2-300x235.jpg\" alt=\"\" width=\"482\" height=\"378\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail2-300x235.jpg 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail2-24x19.jpg 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail2-36x28.jpg 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail2-48x38.jpg 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/eMail2.jpg 595w\" sizes=\"(max-width: 482px) 100vw, 482px\" \/><\/p>\n<p>Da der Angreifer Zugang zu dem Konto hatte, wurden die Nachfragen dennoch beantwortet. Jedoch nicht von dem urspr\u00fcnglichen Rechnungssteller, sondern vom Angreifer. Zu erkennen war dieser Betrug f\u00fcr das Opfer nur \u00fcber die Endung der E-Mail-Adresse des vermeintlichen Gesch\u00e4ftspartners. Hier wurde das \u201ecom\u201c durch ein \u201ecorn\u201c ausgetauscht.<\/p>\n<p>Allein der guten Aufmerksamkeit des Opfers ist es geschuldet, dass kein gr\u00f6\u00dferer Schaden entstanden ist.<\/p>\n<p>Nachdem wir die Analyse abgeschlossen hatten, konnten wir feststellen, woher sich dieser in das Konto eingeloggt hatte und welche die reale E-Mail-Adresse hinter dem Angreifer ist.<\/p>\n<p><span style=\"color: #ff0000;\">Wie immer, gilt auch in diesem Fall: Absenderadressen genau lesen!<\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"IOC\"><\/span><strong>IOC<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Angreifer E-Mail-Adresse:\u00a0 arsguernsey@gmail[.]com<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dass ein kompromittiertes Postfach eine \u00e4u\u00dferst unangenehme Situation ist, d\u00fcrfte sich jeder vorstellen k\u00f6nnen. In einem j\u00fcngsten Fall den wir untersucht haben, sind Angreifer besonders geschickt vorgegangen.<\/p>\n","protected":false},"author":6,"featured_media":27633,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[80,66],"tags":[],"dpc_coauthors":[],"class_list":["post-14972","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-incident-response","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=14972"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14972\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27633"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=14972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=14972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=14972"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=14972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}