"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Phishing wird auch immer besser

cr0ssSyntaX 17.11.2014 - 12:47 19886 178 Thread rating
Posts

Gentleman

Big d00d
Registered: Aug 2018
Location: Wien
Posts: 197
Zitat aus einem Post von hachigatsu
SLL-Interception

Nie gehört

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14892
Zitat aus einem Post von hachigatsu
Ganz andere frage, hat irgendwer von euch SLL-Interception aktiv? Wir haben damit echt ständig Probleme :(
Diverse Websiten funktionieren nicht.

Du meinst TLS interception oder früher SSL interception. Das Thema funktioniert nur gut mit whitelistes (werden nicht intercepted) und blacklists (dürfen halt nicht aufgerufen werden). In kleineren Organisationen imho das falsche, da kommst nicht mehr nach mit dem administrieren.
Alternativ sieh dir eine endpoint Lösung an: zb eset, die erledigen das direkt am Client. Aber auch hier musst nach-administrieren im täglichen Betrieb.

hachigatsu

king of the bongo
Registered: Nov 2007
Location: Salzburg
Posts: 5372
Zitat aus einem Post von Smut
Du meinst TLS interception oder früher SSL interception. Das Thema funktioniert nur gut mit whitelistes (werden nicht intercepted) und blacklists (dürfen halt nicht aufgerufen werden). In kleineren Organisationen imho das falsche, da kommst nicht mehr nach mit dem administrieren.
Alternativ sieh dir eine endpoint Lösung an: zb eset, die erledigen das direkt am Client. Aber auch hier musst nach-administrieren im täglichen Betrieb.

naja ok, für mich heisst es nach wie vor SSL Interception :D
Arbeiten eh mit Whitelist, aber die wächst und wächst und wächst.

Firmengröße ~350Personen.

mr.nice.

Newsposter
OC Addicted
Avatar
Registered: Jun 2004
Location: Wien
Posts: 4462
Diesmal hat es heise selbst erwischt:


Ein User mit lokalen Administratorrechten hat den Emotet-Trickbot Virus per Word-Attachment ins Haus gelassen, wie die Credentials eines Domänen-Admins erbeutet werden konnten und der Schädling sich so im Netzwerk ausbreiten konnte, ist noch nicht abschließend geklärt. Möglicherweise hat einer der Admins sich als Domänen-Administrator auf einem infizierten, nicht abgeschotteten PC angemeldet.


Ich spreche hier meinen großen Respekt für die transparente Berichterstattung aus, selbst wenn es den heise Verlag nicht im besten Licht darstehen lässt.
Es zeigt sich, nichteinmal ein IT-Affines Unternehmen ist vor derartigen Vorfällen gefeit.

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: PLZ 4C4
Posts: 17449
Es zeigt sich vor allem wie selbst in IT Firmen gearbeitet wird. Man arbeitet ständig als Admin ... klar, Domänen-Admin ... sicher, dann muss ich nicht dauernd separat neu einloggen.

Convenience.

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15479
das würd ich so nicht sagen. so wie ich das lese hat er halt den fehler begangen und sich nicht mit dem local admin angemeldet um das system zu clearen, sondern eben mit seinem domain admin.
entweder weil kein 3 stufen konzept existiert (user, workstation admin, domain admin) oder er sich nicht das passwort ausm DC von LAPS für den local admin holen wollte
im normalfall wenn man dann was administratives macht, machts halt der großteil mit seinem domain admin, in dem fall halt ein massiver fail den man meistens halt nichtmal bedenkt

HaBa

Super Moderator
Dr. Funkenstein
Avatar
Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19260
Soweit ich das sehe wars nicht der IT-Verlag sondern eine Schwester.
Der schwerwiegende Punkt ist aber dass die mails mittlerweile wohl so gut sind dass es auch aufmerksame erwischt, das mit den Makros einschalten ist dann halt so eine Sache...

@Admins: da bin ich im Zweifel bei daisho, klingt plausibel.

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2036
Ein Kollege hat vor kurzem eine Phishing Mail erhalten, welche als Antwort (mit fiktiver Absenderadresse) auf eine tatsächlich vorhandene Mailkonversation zwischen ihm und einer externen Person gesendet wurde. Das Mail wurde vom MA rechtzeitig als bösartig erkannt, der Aufwand dahinter ist aber durchaus beeindruckend.

D-Man

knows about the word
Avatar
Registered: Feb 2003
Location: nrw.de
Posts: 4977
Zitat aus einem Post von schizo
Ein Kollege hat vor kurzem eine Phishing Mail erhalten, welche als Antwort (mit fiktiver Absenderadresse) auf eine tatsächlich vorhandene Mailkonversation zwischen ihm und einer externen Person gesendet wurde. Das Mail wurde vom MA rechtzeitig als bösartig erkannt, der Aufwand dahinter ist aber durchaus beeindruckend.

Klingt ja nach einem gezielten Angriff, wie groß wäre der Schaden gewesen?

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2036
Zitat aus einem Post von D-Man
Klingt ja nach einem gezielten Angriff, wie groß wäre der Schaden gewesen?

Ich hab derzeit leider keine Infos bzgl. der Payload und kann daher keine das Schadpotential nicht besonders gut einschätzen. Durch die vorhandenen Sicherheitsmaßnahmen wäre dies vermutlich nicht so hoch, ohne diesen wäre eine 7stellige Summe wohl eine sehr konservative Schätzung.

BiG_WEaSeL

Super Moderator
-
Avatar
Registered: Jun 2000
Location: Wien
Posts: 6633
Zitat aus einem Post von D-Man
Klingt ja nach einem gezielten Angriff, wie groß wäre der Schaden gewesen?

Da gibt es mittlerweile Software die das vollautomatisiert macht. E-Mail Analyse und dementsprechende Replies erstellen. Name fällt mir gerade leider nicht ein war aber in den Medien vor einigen Monaten.

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15479
das ist eh genau emotet wie bei heise und macht quasi allen seit 4-6 wochen probleme

mr.nice.

Newsposter
OC Addicted
Avatar
Registered: Jun 2004
Location: Wien
Posts: 4462
Hier eine gute Aufarbeitung der aktuellen Emotet-Trickbot-Ryuk Kampagne:

Insofern hatte heise eh Glück, dass die ransomware Komponente bei ihnen noch nicht zum Einsatz gekommen ist.

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2036
Zitat aus einem Post von userohnenamen
das ist eh genau emotet wie bei heise und macht quasi allen seit 4-6 wochen probleme

Ja, war emotet.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz