Incident Response Diary – Kompromittiertes E-Mail-Postfach

Ein Kunde kam auf uns zu, da er gefälschte Rechnungen per E-Mail erhalten hat. Was zunächst nach simplem Phishing klingt, stellte sich in der weiteren Analyse jedoch umfangreicher dar als zunächst angenommen.

Die Analyse

Nachdem wir besagte E-Mails und Images der betroffenen Computer sichergestellt hatten, wurde die Analyse eingeleitet und festgestellt, dass der Angreifer nicht nur gefälschte E-Mails an das Opfer schickt, sondern zudem Zugriff auf dessen E-Mail-Konto hat.

Dieser Zugriff war für den Angreifer deshalb von Vorteil, da dieser alle E-Mails des Opfers an sich selbst weiterleiten konnten und somit auch in den Besitzt legitimer Rechnungen gekommen ist. Diese Rechnungen wurden anschließend manipuliert, um das Opfer dazu zu bringen, Geld an Konten des Angreifers zu überweisen. Dazu wurden die manipulierten Rechnungen mit einer gefälschten E-Mail-Adresse, welche dem ursprünglichen Rechnungsteller ähnelt, an das Opfer geschickt. Damit nicht auffällt, dass Rechnungen doppelt ankommen, wurden Regeln in Outlook eingerichtet, welche alle E-Mails des ursprünglichen Rechnungsstellers zuerst an den Angreifer schickt und anschließend aus dem E-Mail-Konto des Opfers löscht. Neben den einkommenden E-Mails des Rechnungsstellers, wurden auch alle ausgehenden E-Mails zu diesem gelöscht, damit bei einer etwaigen Anfrage an die gefälschte E-Mail-Adresse nicht auffällt, dass diese nicht erreichbar ist.

Wie in den nachfolgenden Bildern zu sehen, trugen die Regeln den Namen „wer345“ und „bellwoy“ und jeweils wurden die E-Mails an die Adresse des Angreifers „arsguernsey@gmail[.]com“ weitergeleitet.

Da der Angreifer Zugang zu dem Konto hatte, wurden die Nachfragen dennoch beantwortet. Jedoch nicht von dem ursprünglichen Rechnungssteller, sondern vom Angreifer. Zu erkennen war dieser Betrug für das Opfer nur über die Endung der E-Mail-Adresse des vermeintlichen Geschäftspartners. Hier wurde das „com“ durch ein „corn“ ausgetauscht.

Allein der guten Aufmerksamkeit des Opfers ist es geschuldet, dass kein größerer Schaden entstanden ist.

Nachdem wir die Analyse abgeschlossen hatten, konnten wir feststellen, woher sich dieser in das Konto eingeloggt hatte und welche die reale E-Mail-Adresse hinter dem Angreifer ist.

Wie immer, gilt auch in diesem Fall: Absenderadressen genau lesen!

IOC

Angreifer E-Mail-Adresse:  arsguernsey@gmail[.]com

Beitrag teilen auf:

XING
Twitter
LinkedIn

SECUINFRA Falcon Team • Autor

Digital Forensics & Incident Response Experten

Neben den Tätigkeiten, die im Rahmen von Kundenaufträgen zu verantworten sind, kümmert sich das Falcon Team um den Betrieb, die Weiterentwicklung und die Forschung zu diversen Projekten und Themen im DF/IR Bereich.

> alle Artikel
Cookie Consent mit Real Cookie Banner