Security Professionals - ipfw add deny all from eindgebruikers to any

Onlangs aangemaakte e-mailaccount ontvangt al phishing mail: hoe?

21-07-2022, 16:43 door tvlsecu, 13 reacties
Hi allen,

Hopelijk kan iemand me verder helpen met het volgende:
Wij monitoren en analyseren de quarantaine mailbox en door gebruiker gerapporteerde phishing regelmatig. Nu is er een geval waarbij een nieuwe medewerker na één week (!) al spam/phishing ontvangt. Dit zou onmogelijk door een datalek o.i.d. kunnen komen als het om zo'n korte tijd gaat, zou je denken.

Heeft iemand een idee wat hier nog meer een oorzaak van zou kunnen zijn?

Mvg,
Reacties (13)
21-07-2022, 16:49 door Anoniem
Deze nieuwe medewerker zal er al mee binnengekomen zijn (met die spam/phishing-trail).
21-07-2022, 17:09 door Anoniem
Sommige spammers gebruiken een lijst van standaard gebruikersnamen die ze op ieder domein waar ze naar spammen gebruiken. Als de gebruikersnaam op de lijst van 100 meestvoorkomende namen voorkomt loop je een gerede kans dat dit de oorzaak is.
21-07-2022, 17:10 door Anoniem
Door tvlsecu: Hi allen,

Hopelijk kan iemand me verder helpen met het volgende:
Wij monitoren en analyseren de quarantaine mailbox en door gebruiker gerapporteerde phishing regelmatig. Nu is er een geval waarbij een nieuwe medewerker na één week (!) al spam/phishing ontvangt. Dit zou onmogelijk door een datalek o.i.d. kunnen komen als het om zo'n korte tijd gaat, zou je denken.

Heeft iemand een idee wat hier nog meer een oorzaak van zou kunnen zijn?

Mvg,

Het record wat ik gezien heb is 3 uur (na aanmaak domein !, niet mailbox) en 17 minuten na mailbox.
Dus het kan allemaal best.

Er zijn spammers die bij de grote DNS boys een abbo hebben op nieuwe resolved domeinen.
Zodra die er een vindt binnen hun 'specs' gaan ze direct connecten naar de server in het MX record.
Soms met default dingen als postmaster, soms met samengestelde namen.
Bij sommige organisaties die Office365 gebruikten was er een lek die ervoor zorgde dat alle mailadressen uitgelezen konden worden.
Geen makkelijkere manier om spam te kunnen sturen dan alle e-mail adressen van organisaties harvesten.
21-07-2022, 17:46 door Anoniem
Er staat "een nieuwe medewerker". Bij de meeste bedrijven wordt er niet per medewerker een nieuw domein aangemaakt,
maar alleen een local-part in het bestaande domein.
De vraag is natuurlijk hoe die dat zo snel heeft weten te lekken, maar het makkelijkst lijkt me dat gewoon de medewerker
even vragen, ipv security.nl
21-07-2022, 19:04 door Anoniem
@TS Wat is de stijl van accountnamen? Is dat Piet.van.Poppel@domein.tld of is het piet@domein.tld? Sommige bedrijven zetten een medewerker online, soms zelfs met plain text of klikbaar mailto adres. Was LinkedIn, Github e.d. aangepast? Dat is van Microsoft en Microsoft heeft er totaal geen problemen mee links en uri's te onderscheppen en te lezen. Staat je LDAP server open?

Verder, zodra de werknemer zijn email adres invult op andere sites, dan kan dat worden verhandeld, vooral op Amerikaanse sites. Spam is wel wat anders dan phishing. Snow shoe spam wordt vaak veroorzaakt doordat de gebruiker meedoet aan een of andere winactie. Phishers gebruiken vaak crawlers of grote email adreslijsten. Fraud spammers is weer een aparte groep die crawlers gebruiken en kleine onderling verhandelde lijstjes.
21-07-2022, 21:56 door Anoniem
Door tvlsecu: Hi allen,

Hopelijk kan iemand me verder helpen met het volgende:
Wij monitoren en analyseren de quarantaine mailbox en door gebruiker gerapporteerde phishing regelmatig. Nu is er een geval waarbij een nieuwe medewerker na één week (!) al spam/phishing ontvangt. Dit zou onmogelijk door een datalek o.i.d. kunnen komen als het om zo'n korte tijd gaat, zou je denken.

Heeft iemand een idee wat hier nog meer een oorzaak van zou kunnen zijn?

Mvg,

Je moet woordenboek aanvallen niet uitsluiten , zo uniek zijn namen meestal niet . jansen@bedrijf is al heel snel de lul, ook al is hij net nieuw.

Als je zicht hebt op mailserver logs kun je eens een tijdje kijken wat er allemaal geprobeerd wordt aan te bieden aan mail.

Of als je domein een catch-all adres heeft (alle mail aan het domein accepteren en datgene wat geen bestaande mailbox is dumpen naar een speciale mailbox/folder ) - dan zie je soms ook een enorme hoop ruis van deels typo's , spammers, ex-medewerkers die op mailinglisten zaten die de rejects niet processen etc .

Maar goed - een datalek is niet uit te sluiten. Evenmin dat de medewerker z'n adres met "de wereld" gedeeld heeft -
Ha vrienden , ik werk nu bij @bedrijf - jan.devries@bedrijf .
22-07-2022, 07:31 door Anoniem
Door Anoniem: De vraag is natuurlijk hoe die dat zo snel heeft weten te lekken, maar het makkelijkst lijkt me dat gewoon de medewerker even vragen, ipv security.nl
Met dat laatste zouden ze prijsgeven dat mailboxen worden gemonitord en dat is waarschinlijk ook weer niet de bedoeling, daarom dus maar hier vragen.
22-07-2022, 09:14 door Anoniem
Door Anoniem:
Door Anoniem: De vraag is natuurlijk hoe die dat zo snel heeft weten te lekken, maar het makkelijkst lijkt me dat gewoon de medewerker even vragen, ipv security.nl
Met dat laatste zouden ze prijsgeven dat mailboxen worden gemonitord en dat is waarschinlijk ook weer niet de bedoeling, daarom dus maar hier vragen.
Ja dat is het denk ik... anders is het natuurlijk makkelijk te vragen "hee je werkt hier nu net een week, waar heb je je
mail adres zoal bekend gemaakt in die tijd?". Echter in een "oh dus jullie kijken mee met de mail" discussie willen ze
natuurlijk ook weer niet terecht komen.

Wat anderen schrijven over die dictionary attacks is niet zo relevant. Er wordt wel eens gescand op allerlei rare mail
adressen maar ik denk meer met het idee dat er wellicht een catchall account is. Het raden naar e-mail adressen is
net zo moeiliijk als het raden naar wachtwoorden. Als je nieuwe medewerker niet "w.e.b.m. aster" heet ofzo dan is dit
vast niet de oorzaak.
22-07-2022, 10:17 door Anoniem
Door Anoniem:
acks is niet zo relevant. Er wordt wel eens gescand op allerlei rare mail
adressen maar ik denk meer met het idee dat er wellicht een catchall account is. Het raden naar e-mail adressen is
net zo moeiliijk als het raden naar wachtwoorden.

Dat is natuurlijk onzin . De "dictionary" van mogelijke namen is een stuk kleiner, en je _weet_ dat er heel veel valide moeten zijn.
Verder zijn ze case-insensitive .

En waar bij passwords regels en aanbevelingen _proberen_ om die ietwat buiten de zoekreeks te brengen , is dat bij mail namen nu juist niet het geval - mensen willen en krijgen een vorm van voornaam.achternaam@ of voorletter.achternaam@ of achternaam@ . Heel voorspelbaar.

Het is een tijd geleden dat ik op de plek zat om mailserver logs te zien, en je zag gewoon een hele serie common names geprobeerd worden in de RCPT TO .

Of dat nog steeds zo gaat weet ik niet .
22-07-2022, 12:32 door tvlsecu
Dank voor alle antwoorden tot nu toe!

Door Anoniem: @TS Wat is de stijl van accountnamen? Is dat Piet.van.Poppel@domein.tld of is het piet@domein.tld? Sommige bedrijven zetten een medewerker online, soms zelfs met plain text of klikbaar mailto adres. Was LinkedIn, Github e.d. aangepast? Dat is van Microsoft en Microsoft heeft er totaal geen problemen mee links en uri's te onderscheppen en te lezen. Staat je LDAP server open?

De stijl is inderdaad voornaam.achternaam@domein.nl. Medewerker is in ons geval niet online gezet. LinkedIn zou een mogelijkheid zijn (adhv scraping denk ik, maar dat zou dan ook al heel vlot gaan).

Door Anoniem:
Door Anoniem:
Door Anoniem: De vraag is natuurlijk hoe die dat zo snel heeft weten te lekken, maar het makkelijkst lijkt me dat gewoon de medewerker even vragen, ipv security.nl
Met dat laatste zouden ze prijsgeven dat mailboxen worden gemonitord en dat is waarschinlijk ook weer niet de bedoeling, daarom dus maar hier vragen.
Ja dat is het denk ik... anders is het natuurlijk makkelijk te vragen "hee je werkt hier nu net een week, waar heb je je
mail adres zoal bekend gemaakt in die tijd?". Echter in een "oh dus jullie kijken mee met de mail" discussie willen ze
natuurlijk ook weer niet terecht komen.

Het is gewoon uit oprechte interesse, omdat we het vaker langs hebben zien komen en het onwaarschijnlijk is dat het aan de gebruiker zelf ligt. Bovendien monitoren we zoals ik al aangaf enkel de mails die zijn aangemerkt als phishing: we hebben verder geen zicht op andere mails. Dit is ook gewoon bekend bij alle medewerkers, dus het zijn onterechte aannames die jullie beiden hebben :).
22-07-2022, 14:16 door Bitje-scheef
Te weinig info om er iets zinnigs over te zeggen.
22-07-2022, 15:00 door Anoniem
Bij Xs4all stonden jarenlang user directories open waaruit emailadressen af te leiden zijn.

Ontrvangende mail servers van Google en Microsoft kunnen ook verzender emailadressen opslaan.

Webshops en social media accounts verkopen of delen soms persoonsgegevens. Soms ook koppelingen van IP adressen aan personen (web formulieren).

Dit is ook gewoon bekend bij alle medewerkers, dus het zijn onterechte aannames die jullie beiden hebben :).

Zo hoort het ook. Het advies wat daar gegeven werd om het geheim te houden is fout.
22-07-2022, 15:41 door Anoniem
Het kan ook via bedrijven gaan waar een contract mee bestaat en die het niet zo nauw nemen met de beveiliging en de mailadressen van klanten bewust of onbewust lekken, al dan niet naar onderaannemers, die ook weer onderaannemers hebben enz.

Een poos geleden had ik een klus bij een bedrijf dat Figma gebruikte waar ik een account voor kreeg. Vlak na mijn binnenkomst kwamen spammailtjes binnen (wel van Figma zelf). Alsof in het contract was afgesproken dat alle klanten gespamd mochten worden. Echt, hoe dan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.