Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  22 6521
Hei forum,
Vi er en liten familiebedrift som har blitt hacket, og håper det er noen her som kan hjelpe oss.

Grunnen til at vi tror vi har blitt hacket er pga mail som blir sendt mellom oss internt, med "svar når lest" funksjonen på, sendes det svar før mottaker har åpnet den.

Dette er noe vi har tatt opp med det eksterne IT byrået som tar seg av IT-driften hos oss, og har konkludert med at vi har blitt hacket.

Vi er usikre på om dette er bedriftsspionasje eller spionasje ang en stor rettsak vi skal inn i.
Spørsmålet vi sitter med er hvem har hacket oss, og er det en måte å synliggjøre dette på?
Er det noen som har vært borti lignende, og hva er beste måten å håndtere dette på?

Vi har spurt de som drifter IT hos oss om en løsning, og de anbefalte oss å skifte passord. Dette har vi nå gjort, flere ganger, uten at det har hjulpet.

Forslag mottas med stor takk!
Har IT-firma gjort noe undersøkelse? Eller har de bare konkludert med det? Dere mener dere er hacket fordi det sendes automatisk svar så fort mailen er åpnet? Bruker dere office365? Står det noen videresendinger på? Typisk at dersom det kommer en mail til postboks A så sendes det automatisk videre til en annen person eller annen postboks? Når oppdaget dere at dette skjedde? Dersom dere bruker O365, har dere sjekket hvem som har logget inn? Og om dere har noen impossible travellers?

Edit: Send gjerne en privat melding, trenger ikke akkurat å skrive dette til alt og alle.
Sist endret av Grossie; 6. september 2019 kl. 15:12.
Lei inn noen fra et selskap som driver med hendelseshåndtering og forensics for it-sikkerhet.

Tror dere det er noe muffens på gang er det veldig lurt å la profesjonelle sjekke det ut.
ओम नमो नारायण
Dodecha's Avatar
DonorCrew
En ting angående mail: Det er ingen autentisering på å sende en mail, det vil si, at jeg kan koble meg på en mail server å be den sende en mail med hvilken som helst adresse jeg vil. Så det å sende en mail fra en av deres adressert til en annen er ikke vanskelig.
Det som det derimot er autentisering på er innbokser, ingen kan lese mailen din eller motta mailer du skal ha uten å kunne passordet/autentiseringsstegene.

Med andre ord er det ikke noe passord som har kommet på avveie, å skifte passord vil ikke stoppe disse epostene. Det man derimot kunne funnet ut av er hvilken mail server som disse epostene kommer fra og evt blokkere den.

Det begynner å bli standard med såkallt sendmail autentisering, men det er fremdeles mange servere der ute uten slik beskyttelse og kan derfor brukes til å sende epost fra den adressen man selv vil
Sist endret av Dodecha; 6. september 2019 kl. 15:18.
Limited edition
Moff's Avatar
Jeg tror ikke jeg forstår problemstillingen helt.

Dere tror dere har blitt hacket fordi dere mottar såkalt "lesebekreftelse" i mailprogrammet deres (Outlook?), selv om e-posten dere får lesebekreftelse på fortsatt ikke er åpnet?

Lesebekreftelse er en funksjon noen e-postprogrammer har, som gjør at du automatisk sender en mail til de du har fått e-post av, når du åpner den mailen du har mottatt. Det er selvsagt mulig å blokkere denne funksjonen, noe som en ekte hacker med et nærmest vilkårlig ferdighetsnivå selvsagt også ville ha skrudd av. Hvis dette virkelig er et hackerangrep, og det er gjort i forbindelse med en stor rettsak, så er det sannsynlig at det er et profesjonelt individ som står bak. Da er det også høyst usannsynlig at dere ville merket angrepet på denne måten.

Videre, hvis dette er et reelt angrep, så er den korrekte løsningen å skifte passord. Hvis dette ikke hjelper, så tyder det på at angriperen mottar informasjon om de nye passordene deres. Det betyr vanligvis at datamaskinene dere bruker har fått et virus som logger og sender tastetrykk til hackeren (en "keylogger"). Hvis dette har skjedd må maskinene deres vaskes grundig.

Så, over til noen litt mer sannsynlige scenarioer: Er dere sikre på at dere ikke har bedt om leveringsbekreftelse i stedet for lesebekreftelse? Forskjellen er at dere mottar mailen så snart e-posten er mottatt av mottaker, ikke når den blir lest. Det kan også hende at mottakeren bruker et e-postprogram som på ett eller annet vis trigger lesebekreftelsen på egenhånd, for eksempel ved å laste ned eller forhåndsvise e-posten. Dette ville ikke vært overraskende hvis dere for eksempel leser mail på mobiltelefoner.

Jeg er også litt nysgjerrig på hva slags informasjon IT-byrået sitter på som ledet dem til å konkludere med at dette er et angrep. Har de sagt at det er sannsynlig på bakgrunn av informasjonen dere har gitt dem, eller har de faktisk bekreftet at det er pålogginger på de aktuelle e-postkontoene som ikke stammer fra dere?
Liten oppdatering,
- Vi har ikke o365
- Har IMAP server hos et it selskap
- Også flere ting som skjer, e-poster som ikke kommer fram
- 2 lesebekreftelser, 1 nesten umiddelbart så en når man faktisk leser
Få kopi av mail-trace for hele domenet deres. Dette vil gi full oversikt over alle mailer inn/ut.
Sjekk få kopi av mail-logger, smtp-auth, og andre logger de har.
Sjekk opp epost-headere på epostene med lesebekreftelse o.l. dette kan gi en pekepinne for hvor de kommer fra.
Kjør en diag sniff fra brannmur hvis dere har utstyr for dette og lytt på SMTP/SMTPS, noe unormal trafikk?


Hvis dere ikke har SPF satt opp for deres domene, KREV det umiddelbart!
https://en.wikipedia.org/wiki/Sender_Policy_Framework
Om mulig få DKIM og DMARC satt opp i tillegg

Bruker dere bare, f.eks outlook fra ett fysisk kontorlokale og webmail, kan dere få leverandøren til å sperre SMTP-relay for noen andre IPer en deres offentlige IP midlertidig til dere finner ut av kilden til problemene.

Mine første idèer uten å kjenne løsningen deres.
Sist endret av darkslayer322; 6. september 2019 kl. 16:00.
Vi får også «e-post fra oss selv» trodde det var vanlig skremselspropaganda, men e-posten kommer fra våre egne kontoer.
Iht lesebekreftelse kommer ikke denne fra outlook i seg selv, vi har utelukket at det er innstillinger her eller andre steder hos oss som sender denne automatisk.
Denne kommer selv om samtlige av våre maskiner/mobile enheter osv som er logget på disse kontoene er skrudd av. De som hoster server påstår også at det ikke er et problem hos dem.
Alle passordene er selvfølgelig byttet.
Limited edition
Moff's Avatar
Sitat av Dlomme Vis innlegg
- Også flere ting som skjer, e-poster som ikke kommer fram
- 2 lesebekreftelser, 1 nesten umiddelbart så en når man faktisk leser
Vis hele sitatet...
Sitat av Dlomme Vis innlegg
Vi får også «e-post fra oss selv» trodde det var vanlig skremselspropaganda, men e-posten kommer fra våre egne kontoer.
Iht lesebekreftelse kommer ikke denne fra outlook i seg selv, vi har utelukket at det er innstillinger her eller andre steder hos oss som sender denne automatisk.
Denne kommer selv om samtlige av våre maskiner/mobile enheter osv som er logget på disse kontoene er skrudd av.
Vis hele sitatet...
Her er det (også) noe som skurrer.

Du sier at dere mottar 2 e-poster, én umiddelbart og én når e-posten faktisk leses. Dette høres nøyaktig ut som det jeg beskrev ovenfor; leveringsbekreftelse og lesebekreftelse. Leveringsbekreftelsen sendes av e-postserveren, ikke fra mottakerens e-postprogram, så det er derfor helt riktig at dere mottar denne selv om alle enheter som mottar e-posten er slått av.

E-poster som ikke kommer frem skyldes gjerne at det dere sender blir stoppet av spamfilter, så det er også helt normalt. Prøv å send den samme meldingen til deg selv, så vil du nok se at den kommer frem.

Vedrørende e-poster som kommer fra deres egne kontoer; dette høres jo rart ut. Jeg er imidlertid veldig nysgjerrig på hvordan dere vet at e-posten ble sendt fra deres egen konto. Som Dodecha skriver ovenfor, så holder det ikke at dere ser på hvilken e-postadressen mailen kommer fra. Dette er kjempelett å forfalske. Jeg kan sende deg en e-post fra adressen ; det betyr ikke at jeg jobber for Politiet, eller at adressen er ekte.

Spørsmålet er igjen; hvordan vet dere hva det er som foregår her? Hvilken informasjon er det som tilsier at dere har blitt hacket? Så langt høres dette bare ut som en serie med tilfeldigheter og brukerfeil.
Det kan også være en bruker feil, tanken har slått oss.

Tilbakemeldingen vi fikk fra bedriften som drifter IT for oss er at de ikke finner noen uregelmessigheter, de mener problemet ligger lokalt i program eller hos bruker.
Mens han som var utsendt fra selskapet som var her i går syntes det var så mye rart at han mente det er sannsynlig å anta at vi er blitt hacket.
Han forsto heller ikke noe av måten e-postene «oppførte seg».
Enig med @moff her.. Virker som om det er leveringsbekreftelse og lesebekreftelse dere faktisk mottar.. Ta gjerne å kopier emnefeltet på de 2 dere mottat (og fjern eventuell sensitiv informasjon).
Hvilket IT selskap snakker du om?
Er det et lokalt firma eller en anerkjent aktør?

Det er en litt merkelig reaksjon fra IT å bare "anta at dere har blitt hacket".

Kan du være litt mer spesifikk? Hva slags eposter er det snakk om, sendes det eposter som dere ikke selv har sendt? Tenker ikke da på bekreftelsen du mottar men den opprinnelige eposten som generere de to ekstra epostene.

Hvilken bransje hører dere til?

Du må gjerne sende litt detaljer på pm, jeg kan både identifisere meg og skrive under en NDA.
Epostene det er snakk om, som ikke er bekreftelsesmail, har ordlyd som en virus mail.
sender mail til Ola Nordmann i bedriften om at "Vi har tatt kontroll over e-posten din" på engelsk.
Her er det også sjekket opp at det faktisk kommer fra og ikke en annen email som utgir seg for å ha sendt fra Ola Nordmann sin mail.
Er det nå egentlig sjekket, ta en titt i headeren på mailen som kommer så ser du hvilken server det egentlig kommer fra.

Akkurat slike varianter av utpressingsmailer blir sendt til dei fleste om dagen. Ser ett lass av det i spamfilterene jeg drifter.

Snakk med dei du har eposten din hos om ikke du kan få auth liggende for smtp og imap så ser en fort om det er ting på avveie.
Sitat av rfa Vis innlegg
Er det nå egentlig sjekket, ta en titt i headeren på mailen som kommer så ser du hvilken server det egentlig kommer fra.

Akkurat slike varianter av utpressingsmailer blir sendt til dei fleste om dagen. Ser ett lass av det i spamfilterene jeg drifter.

Snakk med dei du har eposten din hos om ikke du kan få auth liggende for smtp og imap så ser en fort om det er ting på avveie.
Vis hele sitatet...
Headeren viser at det kommer fra
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Dlomme Vis innlegg
Headeren viser at det kommer fra
Vis hele sitatet...
Det er ingen headere som viser det.

Det du i praksis bruker er Received from:-headeren for å spore eposten, og sjekke om e-posten kjem fra eposttenaren som *vanlegvis* er brukt av den e-postkontoen.

From og To kan settast fritt, og du kan på ingen måte stole på dei.
Sitat av vidarlo Vis innlegg
Det er ingen headere som viser det.

Det du i praksis bruker er Received from:-headeren for å spore eposten, og sjekke om e-posten kjem fra eposttenaren som *vanlegvis* er brukt av den e-postkontoen.

From og To kan settast fritt, og du kan på ingen måte stole på dei.
Vis hele sitatet...
Received from headeren viser når jeg holder over recieved from mailen.

Er vant med mail hvor de påstår mailen kommer fra en annen mail. Paypal f.eks. men så kommer det fra
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Dlomme Vis innlegg
Received from headeren viser når jeg holder over recieved from mailen.

Er vant med mail hvor de påstår mailen kommer fra en annen mail. Paypal f.eks. men så kommer det fra
Vis hele sitatet...
Du har mao. ikkje sjekka i heile teke, og du har ikkje peiling på korleis e-post fungerer, og du har ingen forutsetninger for å uttale deg om sikkerheit.
Sitat av vidarlo Vis innlegg
Du har mao. ikkje sjekka i heile teke, og du har ikkje peiling på korleis e-post fungerer, og du har ingen forutsetninger for å uttale deg om sikkerheit.
Vis hele sitatet...
Nei, jeg har ingen forutsetning for å uttale meg om datasikkerhet. Det er jo derfor jeg spør på dette forumet.

Hvis du i detalj forklarer hvordan du mener jeg bør sjekke dette hadde det vært mer konstruktivt.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Dlomme Vis innlegg
Nei, jeg har ingen forutsetning for å uttale meg om datasikkerhet. Det er jo derfor jeg spør på dette forumet.

Hvis du i detalj forklarer hvordan du mener jeg bør sjekke dette hadde det vært mer konstruktivt.
Vis hele sitatet...
Det er ikkje så enkelt å forklare; du må nesten forstå korleis e-postsystemet er oppbygd, og korleis e-post verdt handtert, og korleis dei handterer Received from:-headeren.

Deretter må du samanlikne det md ein verifisert e-post. T.d. vil opphav i f.eks. Russland vere svært suspekt. Kort sagt; du må kjenne normalen, og sjå etter avvik frå den.
Sitat av vidarlo Vis innlegg
Det er ikkje så enkelt å forklare; du må nesten forstå korleis e-postsystemet er oppbygd, og korleis e-post verdt handtert, og korleis dei handterer Received from:-headeren.

Deretter må du samanlikne det md ein verifisert e-post. T.d. vil opphav i f.eks. Russland vere svært suspekt. Kort sagt; du må kjenne normalen, og sjå etter avvik frå den.
Vis hele sitatet...
Så det du sier er at det kan være vi ikke er hacket? Det er i så fall gode nyheter.
Hvem kan evt sjekke etter avvik fra normalen, som du beskriver?
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Dlomme Vis innlegg
Så det du sier er at det kan være vi ikke er hacket? Det er i så fall gode nyheter.
Hvem kan evt sjekke etter avvik fra normalen, som du beskriver?
Vis hele sitatet...
https://freak.no/forum/showpost.php?...30&postcount=3

I tillegg vil du jo typisk ha alle logger fra service provider.
Sitat av rfa Vis innlegg
Er det nå egentlig sjekket, ta en titt i headeren på mailen som kommer så ser du hvilken server det egentlig kommer fra.

Akkurat slike varianter av utpressingsmailer blir sendt til dei fleste om dagen. Ser ett lass av det i spamfilterene jeg drifter.

Snakk med dei du har eposten din hos om ikke du kan få auth liggende for smtp og imap så ser en fort om det er ting på avveie.
Vis hele sitatet...
Takk for gode råd, skal ta dette med IT på mandag. Forhåpentligvis er det bare et uheldig sammenheng at alt vi opplever av feil med mailen er å se på som helt normalt.