Man sollte nie annehmen, man könnte nicht auf Phisihing reinfallen. Ich beschreibe hier den Ablauf und die Frage ist, ob ihr meine Einschätzung teilen könnt.

Am 3.3 März hat per Mail der Leiter der Buchhaltung unseres Wirtschaftsprüfers mit uns den Erstkontakt aufgenommen. Im Verteiler waren ich, ein Kollege und Personen der Kanzlei, die wir bereits kennen. Thema "Fiscal Year"

• Am 10. März habe ich per Docsend eine Mail von ihm erhalten mit einem Link zu einem Dokument "Updated Report [ActiveID:FY2025]"
• Mich kontaktierte mein Kollege, dass er die Mail nicht öffnen könne. Er hat separat die gleiche Mail bekommen.
• Ok, also probierte ich es. Bei Klick auf den Button mit dem Link öffnet eine Seite in Docsend, aber zum Öffnen der weiteren Seiten war ein weiterer Button unten. Der führte zu einem Cloudflare-Check, der bestätigt wurde. Nach einer Weile kam eine Fehlermeldung, dass der Server nicht erreichbar sei. Das war mit drei Browsern so. Auf dem Mobiltelefon kam ich weiter, dort sollte ich mich mit Microsoft anmelden (was ich - glaube ich - nicht gemacht habe).
• Also schicke dem Buchhalter eine Mail, dass ich nicht weiterkomme. Nachdem ich vier Tage nichts gehört habe, schicke ich ihm noch einen Nextcloud-Link, dass er das Dokument dort hochladen möge. Nachdem ich wieder nichts gehört habe, wende ich mich heute an einen anderen Mitarbeiter. Der meinte, dass das Dokument zu groß per E-Mail sei und er würde es in die Nextcloud laden.
• Mir schrieb dann am Nachmittag jemand, dass die Mail Phishing gewesen sei.

Jetzt habe ich mir den Vorgang nochmal angeschaut.

• In der ersten Mail waren alle Adressen korrekt.
• Die Docsend-Mail stammt tatsächlich von Docsend. Aber die Domain der Mail-Adresse vom Buchhalter, die in der Docsend-Mail genannt wird, hat einen unzulässigen Doppelvokal. Eine fingierte E-Mail.
• Der Button mit dem Link zum Dokument enthält tatsächlich einen Link zu Docsend
• Der Header der Docsend-Mail sieht in Ordnung aus; etwas umfangreich mit einem Spamscore von -5,68

Es ist also folgendes passiert

• Die erste Mail wurde abgefangen. Ich vermute eher beim Buchhalter als bei meinem Provider mailbox.org
• Daraufhin versucht der Angreifer die Kunden des Buchhalters abzufischen
• Der Link im Docsend führt über Cloudflare-Test und über etliche Redirects, die bei mir unterbunden werden, zu einer Microsoft-Anmeldung.
• Das Passwort von Microsoft ist das Ziel der Attacke.

Den Nextcloud-Link habe ich deaktiviert. Das Microsoft-Passwort habe ich geändert. Mehr als ein Office-Abo ist da nicht.
Wurde hier das E-Mail-Konto oder gar die ganze Kanzlei des Buchhalters kompromittiert?

sudoRinger

du könntest zur Sicherheit einen Malwarescan laufen lassen. Und prüfen ob merkwürdiger Netzwerkverkehr vorhanden ist.

Was sagt denn eure IT-Abteilung dazu?

Spannend wäre mal eine Analyse der E-Mail Header, dann könnte man sehen über welche Server die erste E-Mail gelaufen ist und ob bereits dort der Absender gespooft wurde. Dies kann man beispielsweise mit machen. Dort gibt es auch Informationen, wie man die Headerinformationen einer E-Mail anzeigen kann. Wenn Du magst, kannst Du das Ergebnis hier mal posten, die E-Mail-Adressen dann aber bitte pseudonymisieren!

Gute Idee, diese Header habe ich mir noch nicht angeschaut. Wie ich soeben sehe, gab es vorher zwei Mails und nicht nur eine. Der Mail-Header vom 27.1 (Erstkontakt) ist ellenlang und mxtools zeigt einen Blacklist-Eintrag. Das Gleiche bei der zweiten Mail. Ansonsten erkenne ich im Header noch, dass der Buchhalter Microsoft-Kunde ist.


Ich befürchte eher wenig, dass bei mir was passiert ist. Mich beunruhigt aber, ob ich dem Buchhalter Interna per Mail senden kann. Vor allem habe ich den neuen Nextcloud-Link gerade so eingeschränkt, dass nur noch etwas hochgeladen werden kann, aber die Dokumente nicht zu sehen sind.
Die ist seit Jahren im Urlaub

Danke @sudoringer für den Beitrag. Zeigt nur mal wieder, dass es jeden treffen kann, auch wenn man denkt „ich bin doch nicht blöd und klicke auf jeden Anhang“.

Frage, benutzt Du Exchange für die Email? Hätten die solche Email rausgefiltert? Frage, weil ich in der Firma und auch privat Exchange benutze.

Meines Wissens nutzt mailbox.org IMAP. Nutze den Anbieter seit Jahren ebenfalls.

Eine Sache wird hier nicht erwähnt: was ist mit dem Dokument, das geöffnet wurde. Wenn solche Links in Phishing Mails enthalten sind, enthalten die verlinkten Dokumente meist Schadsoftware (Malware). Das sollte m.E. unbedingt überprüft werden.

Wenn das Dokument heruntergeladen werden kann, am besten auf einem sicher nicht verseuchten Rechner, kann dies z.B. über Virustotal gescannt werden. Alternativ kann dort auch eine URL gescannt werden, besser wäre aber das heruntergeladene Dokument - natürlich ohne dieses zu öffnen.

Ein weiterer Aspekt: Sehr viele Malware wird, wenn sie einmal auf dem Rechner installiert ist, nicht mehr als solche erkannt. Malware beinhaltet oft sog Stealth Funktionen. Wenn überhaupt, kann solche Malware nur durch einen sicheren Scan erkannt und gefunden werden. Heisst: booten von einem sicheren Medium und dann Start des Scanners von diesem sicheren Medium. Hier ist z.B. Desinfect des Heise Verlags (c't) sehr zu empfehlen.

Abschließend sollte noch darauf hingewiesen werden, dass eine Entfernung von Malware auf einem infizierten Rechner zwar von vielen AV-Scannern angeboten wird, dies aber keine sichere Lösung für das Problem ist. Viele Malware beinhaltet Funktionen, die eine Entfernung verhindern, bzw. eine Neuinstallation nach Entfernung sicherstellen. Es gibt nur eine einzige sichere Methode, Malware wirklich zu entfernen: Format C: und den Rechner neu installieren.

Übersetzt: Systemeinstellungen > Allgemein > Übertragen und zurücksetzen > Einstellungen und Inhalte löschen.

Zu einem Download einer Datei ist es nicht gekommen. Ich sah lediglich ein Deckblatt eines Dokuments, das den Eindruck eines vollständigen, ladbaren Dokuments erweckte. Glücklicherweise hat meine mehrstufige Sicherheitskette (Quad9 DNS mit Malware-Schutz, Pi-hole, Router-Firewall und Browser-Erweiterungen gegen Redirects) Schlimmeres verhindert. Eine Installation von Schadsoftware hat nicht stattgefunden, was auch KnockKnock bestätigt - es zeigt nur bekannte Erweiterungen.

Ich sehe keinen Sicherheitsvorteil von Exchange gegenüber IMAP in diesem Fall. Im Gegenteil: Der Angreifer versuchte gezielt, an Microsoft-Zugangsdaten zu gelangen.

Das Angriffsmuster ist vermutlich: Durch gezieltes Spear-Phishing von Microsoft-Accounts versucht der Angreifer, im Namen von Finanzabteilungsmitarbeitern E-Mails versenden zu können.

Als Konsequenz werden wir künftig Dienste wie DocuSign, Docsend usw. grundsätzlich ablehnen - diese Dienste sind ohnehin problematisch, weil intransparent. Für den vertraulichen Dokumentenaustausch bieten wir stattdessen ein eigenes, gesichertes Uploadportal an.