PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mail Account Phishing und Delivery Status Notification (failure)



nlnn
14.10.2020, 14:20
Eine der Mail Account Phishing Methoden zielt darauf ab BenutzerInnen auf einen Link zu leiten, in welchem der OWA Server des eigenen Servers vorgegauckelt wird -> s.a. #182 (https://www.antispam-ev.de/forum/showthread.php?28981-Mail-Account-Phishing&p=446645&viewfull=1#post446645).

Serverbetreiber erkennen kompromittierte Konten dann evtl. auf reinen Eingangsservern relativ einfach. Ständig finden sich die Brute Force Attacken in den Logs, wenn immer wieder Kennworte mit dem gleichen Benutzername in einer gewissen Abfolge probiert werden.
Interessant wird es wenn nur ein einziger Versuch unternommen wird. Im Versuch konnte ich feststellen, es handelt sich um die (nicht existierenden) Email Adressen, die den Angreifern über eine OWA Phishing Attacke "gemeldet" wurden. Hier bekommt man dann auch die IP derer, die dieses Phishing mutmaßlich verursacht haben. Was uns leider aber nicht weiterhilft, denn der Angreifer (GeoIP) sitzt natürlich nicht im D Umfeld. Hier ist aber ein "Flag" um BenutzerInnen gezielt über einen Kennwort Änderungswunsch zu informieren.

nlnn
14.10.2020, 14:38
Es wäre natürlich jetzt eine sportliche Herausforderung und hier nicht ausdrücklich empfohlen jetzt einen solchen Account zu schaffen und ausgehende Mail auf HOLD zu setzen (bzw. DISCARD), dann kann man dem Treiben zuzusehen. Aber wer hat schon Zeit für sowas ...