Frischfisch

fish life reporting


Hinterlasse einen Kommentar

CEO Fraud – immer die gleiche Masche

Immer wieder hört man vom CEO Fraud. Was ist das eigentlich und wie schütze ich mich davor?

Es ist momentan wohl sehr lukrativ deutsche Unternehmen um große Beträge zu betrügen. Die Masche die benutzt wird ist immer gleich. Ein Mitarbeiter mit näherem Kontakt zum Management wird per Email angeschrieben und befragt ob er für eine vertrauliche Transaktion des Managements zur Verfügung stehen kann. Kommuniziert man per Email mit dem Absender wird eine Unternehmensübernahme vorbereitet die am besten heute noch bestätigt werden muss indem man einen 5-6 stelligen Betrag an dem Empfänger senden soll um die Übernahme erfolgreich abzuschließen. Dabei legt der Absender sehr viel Wert darauf das diese Aktion absolut vertraulich, ohne Einbeziehung von Dritten erfolgen muss. Es soll niemand informiert werden.

Meist ist die Buchhaltung oder die Assistenz der Geschäftsführung betroffen. Woher der Absender an die genauen Daten der Firma kommt ist unbekannt. Ich vermute hier werden öffentliche Information und evtl. gehackte Adressbücher aus Mailprogrammen benutzt.

Hier ein Verlauf (wir wußten das es sich um CEO Fraud handelt und haben diesen Vorgang entsprechend verzögert.

Absender sendet Email an die Sekrerätin des Geschäftsführers und gibt sich als GF aus:

 

Betreff: Benachrichtigung

Hallo Frau xyz,

Sind Sie verfügbar?

Mit freundlichen Grüßen.

 

(Name vom Chef)

Hier fällt teilweise auf das die Sekretärin mit „Sie“ angesprochen wird. Bei uns kennt sich jeder und es bleibt beim „du“. Der Absender sieht auch aus wie die offizielle Firmen Emailadresse, wenn man auf Antworten klickt steht dort aber der scheinbar echte Absender mit „name@dr.com“.

Wir haben unsere Sekretärin mal antworten lassen, wir wollten mal sehen worum es diesmal geht (es ist nicht der erste Versuch dieser Art). Als Antwort kam:

 

Betreff: : AW: Benachrichtigung

Ich benötige Ihre Hilfe hinsichtlich eines vertrauenswürdigen Finanzgeschäftes.

Kann ich mich auf Ihre Diskretion verlassen?

 

(Wir können uns nur per E-Mail unterhalten).

Mit freundlichen Grüßen.

Vorname Nachname (vom Chef)

Also wir hatten diese Version auch schon per Telefon. Diesmal scheint man aber telefonisch nicht erreichbar zu sein. Nach der Antwort kam nochmal die Anweisung vom Absender:

Betreff: AW: AW: AW: AW: Benachrichtigung

Wir sind derzeit im Rahmen unseres externen Wachstums mit einer Unternehmensübernahme beschäftigt, von Bafin (Bundesanstalt für Finanzdienstleistungsaufsicht) in meinem Namen abwickelt.

Zum gegenwärtigen Zeitpunkt muss diese Übernahme streng vertraulich behandelt werden. Sie dürfen daher Dritten gegenüber nichts verlauten lassen weder im Unternehmen noch anderweitig.

Die öffentliche Bekanntgabe der Übernahme findet am 28 November 2017 in unseren Räumen und in Gegenwart der zuständigen Behörden statt.

Bis dahin werden Sie in dieser Angelegenheit meine einzige Kontaktperson sein, Ziel ist es, diese Transaktion, die für unser Unternehmen so wichtig ist, zügig zum Abschluss zu bringen.

Bitte setzen Sie sich so bald wie möglich mit Jerome Ducant(Jerome.Ducant@consultant.com) in Verbindung, um die Bankverbindungsdaten für die Zahlung zu erhalten.

Herr Ducant ist Franzose, aber Sie können mit ihm auf Englisch kommunizieren.

Informieren Sie mich sofort, wenn sie sie erhalten, sodass ich Ihnen die nur von mir genehmigte Rechnung zukommen lassen kann, die den exakten Betrag für die sofortige Zahlung enthalten wird.

Selbstverständlich liegt dieser ganze Vorgang in meiner alleinigen Verantwortung.

Ich zähle auf Ihre absolute Diskretion und bin über meine E-Mail-Adresse jederzeit erreichbar.

Mit freundlichen Grüßen.

(Chefname)

Hier sieht man wie die Masche funktioniert. Es wird auf absolute Diskretion Wert gelegt. Es ist wichtig. Die Sekretärin wird hier als wichtiges Bindeglied für diese Transaktion herangezogen, das funktioniert wohl häufiger. Unsere Sekretärin informierte unsere IT Abteilung umgehend, das mit der Diskretion hat nicht funktioniert bei uns. An dieser Stelle haben wir die Kommunikation abgebrochen und auf unseren Mailsystem die Absender gesperrt.

Der weitere Verlauf wäre folgender: Die Sektretärin wendet sich per Email an Jerome.Ducant@consultant.com. Von dort erhält sie die Kontonummer und den Betrag der überwiesen werden muss. Danach ist das Geld weg, es gibt weder eine Firmenübernahme noch gibt es einen Jerome.Ducant bei consultant.com. Jerome Ducant existiert wirklich wenn man nach ihm in einer Suchmaschine sucht. Er beschäftigt sich wirklich mit Firmenübernahmen. Aber diese Email landet nicht bei ihm, sondern ist ein Fake. consultant.com kennt keinen Jerome Ducant.

 

Achten Sie bei solchen Emails auf die Schreibweise im Text. Involvieren sie ihre IT Abteilung oder ihren Admin. Sensibilisieren sie andere Mitarbeiter die Zugriff auf Konten in ihrem Unternehmen haben. Die Masche sollte inzwischen bekannt sein, aber scheinbar fallen immer noch Unternehme darauf rein.

 

Hier ein paar sinnvolle Links zu diesem Thema:

https://www.bka.de/SharedDocs/Downloads/DE/IhreSicherheit/CEOFraud.html

http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/ceo-fraud-vorsicht-vor-diesem-cyber-betrug-15100115.html

Wurden Sie Opfer wendet man sich am besten an die nächste Polizeidienststelle oder direkt an das BKA in ihrer Nähe. Das Geld ist futsch. So oder so wird man das nicht zurückbekommen, egal was sie tun. Aber zeigen sie das wenigstens an.

Advertisements


Hinterlasse einen Kommentar

030200042145 hat angerufen…

… und das mehrmals. Einmal im Auftrag der EZB, gestern im Auftrag der Bundeswehr. Weder die EZB noch die Bundeswehr macht solche Umfragen.Im Endeffekt wird versucht Kreditkartendaten und erweiterte Information über ihr Unternehmen zu beschaffen. Es werden die Geschäftführerinformationen abgefragt und Emailadressen verifziert. Legen Sie auf! Blockieren Sie diese Nummer. Es werden alle Durchwahlnummern versucht – also es bleibt nicht bei einem Anruf. Würgt man sie ab rufen sie auf einer anderen Durchwahl an und versuchen es bei den Kollegen. Geben Sie keine Information raus oder geben Sie denen falsche Informationen. Könnte evtl. auch die Chefabzocke sein. Weiß man noch nicht so genau.
siehe:
https://de.wikipedia.org/wiki/CEO_Fraud


Hinterlasse einen Kommentar

HyperV: VM verliert sporadisch Netzwerkverbindung

Der HyperV unter MS Server2012r2 ist eine recht performante Lösung wenn man die unterschiedlichsten Betriebssysteme virtualisieren möchte. Wir nutzen den HyperV querbeet mit Windows Servern, Workstations und Ubuntu Servern.

Jetzt tritt jedoch ab und an ein Fehler in der Netzwerkkarte auf. Der VM zugewiesene Vswitch verliert die Verbindung zum LAN. Bei uns speziell ein HP DL360 GEN9 Server mit zwei 8 Kanal Broadcom Netzwerkkarten die den Treiber b57nd60a.sys benutzen.

Innerhalb einer MS VM sieht man am Netzwerksymbol im Systray das gelbe Ausrufezeichen welches mir bestätigt das die Verbindung eingeschränkt ist.

Umgehen kann man das indem man einen zweiten VSwicht im HyperV bereit stellt. Verliert der VSwitch die Verbindung kann man im HyperV Manager einfach den anderen VSwitch wählen und die Verbindung ist wieder da. Das kann aber die Lösung nicht sein da man erstmal nicht merkt das die VM im LAN nicht mehr ansprechbar ist.

Schaut man im MS Support nach findet sich ein Hinweis auf die Treiberversion 16.8 und höher, bei dem der Verbindungsverlust angeblich nicht auftreten soll. Wird er aber trotzdem. Mit Version 17.2.0.0 hat sich nichts geändert. Die VM’s sind immer wieder mal nicht erreichbar. Ein Neustart oder der Wechsel des VSwitchtes behob das Problem dann wieder temporär.

Die endgültige Lösung bringt kein Treiberupdate mit sich. Der Fehler tritt weiterhin auf.

 

Lösung:

Installiert keine neue Treiberversion! Deaktiviert den Virtual Machine Queue (VMQ). Schaut nach dem Namen des Netzwerkadapters im System. Deaktiviert den VMQ mit

Set-NetAdapterVmq-Name „NIC 1“ -Enable $False
Set-NetAdapterVmq-Name „NIC 2“-Enable $False

Um zu prüfen ob VMQ auf den Netzwerkslots aktiv ist kann man mit dem Befehl

Get-NetAdapterVmq

den Status abfragen. Das sieht dann so aus und ich kann sehen auf welchen Adaptern VMQ aktiv ist und wo es deaktiviert werden muss.

hp

 

Viel Erfolg!


2 Kommentare

Sharepoint 2013 – Trotz Vollzugriff kann Seite nicht bearbeitet werden

Es wurde eine Teamwebsite in unserem Sharepoint erstellt. Dem Mitarbeiter wurden alle Rechte gegeben. Es ist sowieso schon Sharepoint-Online-Admin, dazu auch noch globaler Admin im Office 365. Im Sharepoint ist er Websiteowner und besitzt laut der Berechtigungsanzeige Vollzugriff auf diesen Bereich.

Versucht der Benutzer allerdings Inhalte oder Einstellungen der Webseite zu ändern führt das immer zu einem

noaccess

 

Sie können den Access anfordern und man kann diesen auch gewähren. Es ändert aber nichts. Die Zugriffsberechtigung bleibt verwehrt.

Wenn ich mich durch die Berechtigungen hangele sehe ich zwar Vollzugriff, schaue ich aber genauer hin sehe ich „Vollzugriff, beschränkte Berechtigung“ welches ausgegraut ist. Das kann man nicht ändern im Sharepoint oder im Sharepoint Designer.

Einen ersten Hinweis sieht man schon wenn man in die Websitesammlungsverwaltung schaut. Dort gibt es unter den „Websiteeinstellungen“ normalerweise den Punkt „Gestaltungsvorlagen“ im Bereich Web-Designer-Katalog. Ist dieser Punkt dort nicht sichtbar hat man definitv keinen Vollzugriff und wird nichts ändern könnnen. Wir brauchen also die Schreibrechte auf die Gestaltungsvorlagen, wenn man diese aber nicht sieht kann man diese nicht setzen.


spo1

Es gibt einen Trick. Nachdem ich mich bei MS beschwert habe hat mir der Supportmitarbeiter gestanden das es dort noch einen Bug im SPO2013 gibt und wie man ihn behebt.

Starte die Sharepoint Verwaltungs Shell, diese kommt mit dem Sharepoint Designer 2013 aufs System.

Verbinde dich mit deinem Sharepoint mit

Connect-SPOService -Url „https://deinservername-admin.sharepoint.com“ -Credential „benutzername@doma.in“

Das eigentliche Problem ist eine Basiseinstellung. Setzte diese auf „0“ mit

Set-SPOSite -Identity https://deinservername.sharepoint.com -DenyAddAndCustomizePages 0

 

sposhell

Das dauert einen Moment und dann kann die Seite auch bearbeiten, die Einstellungen ändern und wird nicht abgewiesen. Hat mich heute 4h Zeit gekostet das rauszufinden und zeigte mal wieder deutlich das die Dokumentation seitens Microsoft doch recht bescheiden ist. Da würde ich mir einen ordentlich Doku wünschen und nicht so ein Flickwerk welches sich über die letzten 4 Sharepoint Version hinzieht wie ein Kaugummi.

Wenn ihr über diesen Beitrag stolpert wäre es nett wenn ihr mir einen Kommentar hinterlasssen würdet und mir kurz eure Erfahrung mit SPO2013 mitteilt. Danke.


Hinterlasse einen Kommentar

CoinVault und Bitcryptor Ransomware: Daten retten möglich ohne zu zahlen!

Die Ransomware Seuche geht weiterhin um. Sollten Sie betroffen sein und schmerzlich Daten vermissen die noch verschlüsselt sind gibt es Hoffnung. Seit 28.10.2015 hat Kaspersky weitere Schlüssel generiert die dir helfen deine Daten wieder zu bekommen.

UnbeKaspersky bietet einen Entschlüssler zum Download annannt

Kaspersky bietet einen Entschlüssler zum Download an

Schritt 1: Notiere die Bitcoin Wallet Address die die Malware anzeigt

Schritt 2: Kopiere die Liste mit den verschlüsselten Dateien

Schritt 3: Enfernen Sie die Erpressersoftware mit einem aktuellem Antivirenprogramm (falls noch nicht geschehen)

Schritt 4: Downloade das Decryption Tool von Kaspersky -> https://noransom.kaspersky.com

Schritt 5: Installiere das Tool und die zusätzliche Datei für das entsprechende Bitcoin Wallet und folge den Anweisungen in der Software. Viel Erfolg.

Nur nebenbei bemerkt: Mit der Software Cryptowall haben die Macher inzwischen mehr als 325 Mill. $ Dollar verdient. Das FBI hat eine Belohnung von 3 Millionen Dollar Belohnung ausgeschrieben für den der diesen russischen Hacker liefern kann. Inzwischen existieren Toolkits im Internet mit denen sich jeder einen eigenen Cryptoerpresser generieren kann. Man sollte also davon ausgehen das diese Seuche so schnell kein Ende nimmt solange sich damit einfach ein paar Millionen verdienen lassen.

Die Infektion erfolgt auf dubiosen Webseiten im Driveby Download oder durch Anhänge in Emails die diese Software installieren. Seien Sie vorsichtig.

cryptowall

Cryptowall Version 3.0

cryptorbit

Cryptorbit Einblendung





Hinterlasse einen Kommentar

AD Berechtigungen auslesen – und anschließend auf andere Freigabe übertragen

Vorraussetzung: Dateistruktur gleich

Nach Kopieren der kompletten Freigabe von S1 nach S2 inkl. NTFS Berechtigungen sind die Berechtigungen fehlerhaft übertragen worden.

Abhilfe: CMD:

icacls „\\<servername1>\Freigabe\T-E-S-T“ /save C:\ACL_info_file /T

speichert eine Datei auf c: in der alle Berechtigungseinstellungen drin stehen

icacls „\\<servername2>\Freigbae“ /restore C:\ACL_info_file

lädt die Berechtigungen aus der Datei und wendet sie auf die Freigabe an


Hinterlasse einen Kommentar

Schlüssel für Trojan.Ransom / Cryptolocker /Cryptorbit etc.

FireEye und Fox-it haben eine Webseite veröffentlicht, auf denen man sich die Schlüssel für die Erpressertrojaner generieren kann um seine Daten wieder zu entschlüsseln. Danke dafür.

Wer es braucht: hier lang -> https://www.decryptcryptolocker.com/

 

Viel Erfolg bei der Datenwiederherstellung!