Security Professionals
- ipfw add deny all from eindgebruikers to any
Onlangs aangemaakte e-mailaccount ontvangt al phishing mail: hoe?
Hi allen,
Hopelijk kan iemand me verder helpen met het volgende:
Wij monitoren en analyseren de quarantaine mailbox en door gebruiker gerapporteerde phishing regelmatig. Nu is er een geval waarbij een nieuwe medewerker na één week (!) al spam/phishing ontvangt. Dit zou onmogelijk door een datalek o.i.d. kunnen komen als het om zo'n korte tijd gaat, zou je denken.
Heeft iemand een idee wat hier nog meer een oorzaak van zou kunnen zijn?
Mvg,
Hopelijk kan iemand me verder helpen met het volgende:
Wij monitoren en analyseren de quarantaine mailbox en door gebruiker gerapporteerde phishing regelmatig. Nu is er een geval waarbij een nieuwe medewerker na één week (!) al spam/phishing ontvangt. Dit zou onmogelijk door een datalek o.i.d. kunnen komen als het om zo'n korte tijd gaat, zou je denken.
Heeft iemand een idee wat hier nog meer een oorzaak van zou kunnen zijn?
Mvg,
Reacties (13)
Deze nieuwe medewerker zal er al mee binnengekomen zijn (met die spam/phishing-trail).
Sommige spammers gebruiken een lijst van standaard gebruikersnamen die ze op ieder domein waar ze naar spammen gebruiken. Als de gebruikersnaam op de lijst van 100 meestvoorkomende namen voorkomt loop je een gerede kans dat dit de oorzaak is.
Door tvlsecu: Hi allen,
Hopelijk kan iemand me verder helpen met het volgende:
Wij monitoren en analyseren de quarantaine mailbox en door gebruiker gerapporteerde phishing regelmatig. Nu is er een geval waarbij een nieuwe medewerker na één week (!) al spam/phishing ontvangt. Dit zou onmogelijk door een datalek o.i.d. kunnen komen als het om zo'n korte tijd gaat, zou je denken.
Heeft iemand een idee wat hier nog meer een oorzaak van zou kunnen zijn?
Mvg,
Hopelijk kan iemand me verder helpen met het volgende:
Wij monitoren en analyseren de quarantaine mailbox en door gebruiker gerapporteerde phishing regelmatig. Nu is er een geval waarbij een nieuwe medewerker na één week (!) al spam/phishing ontvangt. Dit zou onmogelijk door een datalek o.i.d. kunnen komen als het om zo'n korte tijd gaat, zou je denken.
Heeft iemand een idee wat hier nog meer een oorzaak van zou kunnen zijn?
Mvg,
Het record wat ik gezien heb is 3 uur (na aanmaak domein !, niet mailbox) en 17 minuten na mailbox.
Dus het kan allemaal best.
Er zijn spammers die bij de grote DNS boys een abbo hebben op nieuwe resolved domeinen.
Zodra die er een vindt binnen hun 'specs' gaan ze direct connecten naar de server in het MX record.
Soms met default dingen als postmaster, soms met samengestelde namen.
Bij sommige organisaties die Office365 gebruikten was er een lek die ervoor zorgde dat alle mailadressen uitgelezen konden worden.
Geen makkelijkere manier om spam te kunnen sturen dan alle e-mail adressen van organisaties harvesten.
Er staat "een nieuwe medewerker". Bij de meeste bedrijven wordt er niet per medewerker een nieuw domein aangemaakt,
maar alleen een local-part in het bestaande domein.
De vraag is natuurlijk hoe die dat zo snel heeft weten te lekken, maar het makkelijkst lijkt me dat gewoon de medewerker
even vragen, ipv security.nl
maar alleen een local-part in het bestaande domein.
De vraag is natuurlijk hoe die dat zo snel heeft weten te lekken, maar het makkelijkst lijkt me dat gewoon de medewerker
even vragen, ipv security.nl
@TS Wat is de stijl van accountnamen? Is dat Piet.van.Poppel@domein.tld of is het piet@domein.tld? Sommige bedrijven zetten een medewerker online, soms zelfs met plain text of klikbaar mailto adres. Was LinkedIn, Github e.d. aangepast? Dat is van Microsoft en Microsoft heeft er totaal geen problemen mee links en uri's te onderscheppen en te lezen. Staat je LDAP server open?
Verder, zodra de werknemer zijn email adres invult op andere sites, dan kan dat worden verhandeld, vooral op Amerikaanse sites. Spam is wel wat anders dan phishing. Snow shoe spam wordt vaak veroorzaakt doordat de gebruiker meedoet aan een of andere winactie. Phishers gebruiken vaak crawlers of grote email adreslijsten. Fraud spammers is weer een aparte groep die crawlers gebruiken en kleine onderling verhandelde lijstjes.
Verder, zodra de werknemer zijn email adres invult op andere sites, dan kan dat worden verhandeld, vooral op Amerikaanse sites. Spam is wel wat anders dan phishing. Snow shoe spam wordt vaak veroorzaakt doordat de gebruiker meedoet aan een of andere winactie. Phishers gebruiken vaak crawlers of grote email adreslijsten. Fraud spammers is weer een aparte groep die crawlers gebruiken en kleine onderling verhandelde lijstjes.
Door tvlsecu: Hi allen,
Hopelijk kan iemand me verder helpen met het volgende:
Wij monitoren en analyseren de quarantaine mailbox en door gebruiker gerapporteerde phishing regelmatig. Nu is er een geval waarbij een nieuwe medewerker na één week (!) al spam/phishing ontvangt. Dit zou onmogelijk door een datalek o.i.d. kunnen komen als het om zo'n korte tijd gaat, zou je denken.
Heeft iemand een idee wat hier nog meer een oorzaak van zou kunnen zijn?
Mvg,
Hopelijk kan iemand me verder helpen met het volgende:
Wij monitoren en analyseren de quarantaine mailbox en door gebruiker gerapporteerde phishing regelmatig. Nu is er een geval waarbij een nieuwe medewerker na één week (!) al spam/phishing ontvangt. Dit zou onmogelijk door een datalek o.i.d. kunnen komen als het om zo'n korte tijd gaat, zou je denken.
Heeft iemand een idee wat hier nog meer een oorzaak van zou kunnen zijn?
Mvg,
Je moet woordenboek aanvallen niet uitsluiten , zo uniek zijn namen meestal niet . jansen@bedrijf is al heel snel de lul, ook al is hij net nieuw.
Als je zicht hebt op mailserver logs kun je eens een tijdje kijken wat er allemaal geprobeerd wordt aan te bieden aan mail.
Of als je domein een catch-all adres heeft (alle mail aan het domein accepteren en datgene wat geen bestaande mailbox is dumpen naar een speciale mailbox/folder ) - dan zie je soms ook een enorme hoop ruis van deels typo's , spammers, ex-medewerkers die op mailinglisten zaten die de rejects niet processen etc .
Maar goed - een datalek is niet uit te sluiten. Evenmin dat de medewerker z'n adres met "de wereld" gedeeld heeft -
Ha vrienden , ik werk nu bij @bedrijf - jan.devries@bedrijf .
Door Anoniem: De vraag is natuurlijk hoe die dat zo snel heeft weten te lekken, maar het makkelijkst lijkt me dat gewoon de medewerker even vragen, ipv security.nl
Met dat laatste zouden ze prijsgeven dat mailboxen worden gemonitord en dat is waarschinlijk ook weer niet de bedoeling, daarom dus maar hier vragen.Door Anoniem:
Ja dat is het denk ik... anders is het natuurlijk makkelijk te vragen "hee je werkt hier nu net een week, waar heb je jeDoor Anoniem: De vraag is natuurlijk hoe die dat zo snel heeft weten te lekken, maar het makkelijkst lijkt me dat gewoon de medewerker even vragen, ipv security.nl
Met dat laatste zouden ze prijsgeven dat mailboxen worden gemonitord en dat is waarschinlijk ook weer niet de bedoeling, daarom dus maar hier vragen.mail adres zoal bekend gemaakt in die tijd?". Echter in een "oh dus jullie kijken mee met de mail" discussie willen ze
natuurlijk ook weer niet terecht komen.
Wat anderen schrijven over die dictionary attacks is niet zo relevant. Er wordt wel eens gescand op allerlei rare mail
adressen maar ik denk meer met het idee dat er wellicht een catchall account is. Het raden naar e-mail adressen is
net zo moeiliijk als het raden naar wachtwoorden. Als je nieuwe medewerker niet "w.e.b.m. aster" heet ofzo dan is dit
vast niet de oorzaak.
Door Anoniem:
acks is niet zo relevant. Er wordt wel eens gescand op allerlei rare mail
adressen maar ik denk meer met het idee dat er wellicht een catchall account is. Het raden naar e-mail adressen is
net zo moeiliijk als het raden naar wachtwoorden.
acks is niet zo relevant. Er wordt wel eens gescand op allerlei rare mail
adressen maar ik denk meer met het idee dat er wellicht een catchall account is. Het raden naar e-mail adressen is
net zo moeiliijk als het raden naar wachtwoorden.
Dat is natuurlijk onzin . De "dictionary" van mogelijke namen is een stuk kleiner, en je _weet_ dat er heel veel valide moeten zijn.
Verder zijn ze case-insensitive .
En waar bij passwords regels en aanbevelingen _proberen_ om die ietwat buiten de zoekreeks te brengen , is dat bij mail namen nu juist niet het geval - mensen willen en krijgen een vorm van voornaam.achternaam@ of voorletter.achternaam@ of achternaam@ . Heel voorspelbaar.
Het is een tijd geleden dat ik op de plek zat om mailserver logs te zien, en je zag gewoon een hele serie common names geprobeerd worden in de RCPT TO .
Of dat nog steeds zo gaat weet ik niet .
22-07-2022, 12:32 door
tvlsecu
Dank voor alle antwoorden tot nu toe!
De stijl is inderdaad voornaam.achternaam@domein.nl. Medewerker is in ons geval niet online gezet. LinkedIn zou een mogelijkheid zijn (adhv scraping denk ik, maar dat zou dan ook al heel vlot gaan).
Het is gewoon uit oprechte interesse, omdat we het vaker langs hebben zien komen en het onwaarschijnlijk is dat het aan de gebruiker zelf ligt. Bovendien monitoren we zoals ik al aangaf enkel de mails die zijn aangemerkt als phishing: we hebben verder geen zicht op andere mails. Dit is ook gewoon bekend bij alle medewerkers, dus het zijn onterechte aannames die jullie beiden hebben :).
Door Anoniem: @TS Wat is de stijl van accountnamen? Is dat Piet.van.Poppel@domein.tld of is het piet@domein.tld? Sommige bedrijven zetten een medewerker online, soms zelfs met plain text of klikbaar mailto adres. Was LinkedIn, Github e.d. aangepast? Dat is van Microsoft en Microsoft heeft er totaal geen problemen mee links en uri's te onderscheppen en te lezen. Staat je LDAP server open?
De stijl is inderdaad voornaam.achternaam@domein.nl. Medewerker is in ons geval niet online gezet. LinkedIn zou een mogelijkheid zijn (adhv scraping denk ik, maar dat zou dan ook al heel vlot gaan).
Door Anoniem:
mail adres zoal bekend gemaakt in die tijd?". Echter in een "oh dus jullie kijken mee met de mail" discussie willen ze
natuurlijk ook weer niet terecht komen.
Door Anoniem:
Ja dat is het denk ik... anders is het natuurlijk makkelijk te vragen "hee je werkt hier nu net een week, waar heb je jeDoor Anoniem: De vraag is natuurlijk hoe die dat zo snel heeft weten te lekken, maar het makkelijkst lijkt me dat gewoon de medewerker even vragen, ipv security.nl
Met dat laatste zouden ze prijsgeven dat mailboxen worden gemonitord en dat is waarschinlijk ook weer niet de bedoeling, daarom dus maar hier vragen.mail adres zoal bekend gemaakt in die tijd?". Echter in een "oh dus jullie kijken mee met de mail" discussie willen ze
natuurlijk ook weer niet terecht komen.
Het is gewoon uit oprechte interesse, omdat we het vaker langs hebben zien komen en het onwaarschijnlijk is dat het aan de gebruiker zelf ligt. Bovendien monitoren we zoals ik al aangaf enkel de mails die zijn aangemerkt als phishing: we hebben verder geen zicht op andere mails. Dit is ook gewoon bekend bij alle medewerkers, dus het zijn onterechte aannames die jullie beiden hebben :).
22-07-2022, 14:16 door
Bitje-scheef
Te weinig info om er iets zinnigs over te zeggen.
Bij Xs4all stonden jarenlang user directories open waaruit emailadressen af te leiden zijn.
Ontrvangende mail servers van Google en Microsoft kunnen ook verzender emailadressen opslaan.
Webshops en social media accounts verkopen of delen soms persoonsgegevens. Soms ook koppelingen van IP adressen aan personen (web formulieren).
Zo hoort het ook. Het advies wat daar gegeven werd om het geheim te houden is fout.
Ontrvangende mail servers van Google en Microsoft kunnen ook verzender emailadressen opslaan.
Webshops en social media accounts verkopen of delen soms persoonsgegevens. Soms ook koppelingen van IP adressen aan personen (web formulieren).
Dit is ook gewoon bekend bij alle medewerkers, dus het zijn onterechte aannames die jullie beiden hebben :).
Zo hoort het ook. Het advies wat daar gegeven werd om het geheim te houden is fout.
Het kan ook via bedrijven gaan waar een contract mee bestaat en die het niet zo nauw nemen met de beveiliging en de mailadressen van klanten bewust of onbewust lekken, al dan niet naar onderaannemers, die ook weer onderaannemers hebben enz.
Een poos geleden had ik een klus bij een bedrijf dat Figma gebruikte waar ik een account voor kreeg. Vlak na mijn binnenkomst kwamen spammailtjes binnen (wel van Figma zelf). Alsof in het contract was afgesproken dat alle klanten gespamd mochten worden. Echt, hoe dan.
Een poos geleden had ik een klus bij een bedrijf dat Figma gebruikte waar ik een account voor kreeg. Vlak na mijn binnenkomst kwamen spammailtjes binnen (wel van Figma zelf). Alsof in het contract was afgesproken dat alle klanten gespamd mochten worden. Echt, hoe dan.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.