個人積分:15分
文章編號:61737267
個人積分:24分
文章編號:61737430
個人積分:23分
文章編號:61738668
個人積分:122分
文章編號:61739937
最有可能是你的郵箱被駭了,也就是說駭客跟你一樣可以查看你曾發送與接收的郵件也可以用你的信箱收發、刪除郵件。
小豆五代 wrote:第一點 駭客是怎麼知道我們有提醒客戶匯款的,所以隔天立刻就發給我們說會付款? 是我們還是客戶被駭
駭客看你的郵件知道的。
第二點 到底駭客是怎麼在13號時候用我們的真的email發給客戶說要改銀行帳號
駭客由你郵箱直接發信。
而從我13號收到信的這邊看 我確認是少一個點,不是真的
篡改發信郵箱很容易,根本不需駭客技術,不用特殊工具。只要了解SMTP協定就能做到。
第三點 像剛剛說的xxx.com.tw是客戶的公司域名 他們的email都是姓.名@xxx.com.tw 所以姓.名駭客可以改應該簡單,可是他們怎麼用到客戶域名的?
如上,假造送信人很容易。至於收信,那些信寄不到又如何?退信了,駭客立即刪除,你不會查覺到。
第四點 我要如判斷到底是我們還是客戶的問題?可以從email內容header查到嗎?
可以查,但三言兩語說不清,交給警方去查。或是自行找資安公司幫忙查。
第五點 我現在該怎麼辦.......錢是從9/15號匯款到中國那該死黑客的銀行的(還是個人帳戶哩..客戶你公司這麼大 怎麼會有人說email從公司銀行帳號改個人帳號都沒發現或者電話確認的)? 現在可以怎麼做?
刑事犯罪當然是報警。再來請資安公司來諮詢檢查,但請與警方協調,不要破壞證據。在釐清案情之前,不要用email聯絡重要事情。
個人積分:114分
文章編號:61740030
個人積分:144分
文章編號:61740258
個人積分:1365分
文章編號:61740347
個人積分:7174分
文章編號:61740379
先釐清責任!
小豆五代 wrote:
9/9號時候 我收到一封疑似客戶寄來的信 沒有多想就按回復過去了 現在檢查發現...客戶信箱是abc.d@xxx.com.tw的email(xxx.com.tw是客戶公司域名,如果直接複製還可以上到客戶網站去), 可是9/9那天駭客發的是abcd@xxx.com.tw
1. 利用 replyto標頭的設定,回覆的時候不一定會回到你看到的寄件人地址。
2. 退信通知你沒收到
3. 客戶 mail server 有啟用 catch-all 功能,所以不會退信
不管怎樣,你以為的那個收件人並沒有收到信。
小豆五代 wrote:
9/12號的時候 我們發email給客戶提醒這周要匯款給我們(我確認我發的是客戶正確的郵箱),隔天 9/13駭客就發來一封信*1(這邊等下提) 他們會立刻匯款並且通知我們 駭客同時cc另一個會計email 重點是會計的email也是假的 例如def.g@xxx.com.tw 駭客的變成defg@xxx.com.tw 也就是兩個假email名字,但是後面xxx.com.tw都是客戶域名沒錯
比較可能的事,對方的信被盜收了。
再強調一次,同一封"電子"郵件,可以重複被接收,所以不需要駭入 mail server 或電腦就可以收到信。
詐騙者收到這封信之後,假借他的名義回覆你,這樣的好處是,接下來如果您還有事情要聯絡他,可能就會直接用回覆的,這樣真正的收件人就收不到信了。
小豆五代 wrote:
我們也沒注意 結果到了今天9/21 客戶發了匯款水單給我們 媽的 銀行地址,名字,SWIFT CODE全改成中國駭客的了.......
從客戶9/21號發的水單的那個email中 有之前幾天的email對話...我們發現駭客在9/13號那天除了發給我們以外 他對客戶也說 請把銀行帳號改成某某某某...
然後!!我們看email中13號駭客發給客戶的信..發給客戶的的確是我們的email..這到底是怎麼做到的?
還有一點是 在客戶9/21號發給我們的那一連串email,也有*1 的紀錄!! 可是在記錄上 卻是客戶真正的email+cc給真正會計的email..
詐騙者偽冒貴公司的 email 寄信客戶端,客戶端回信至回到貴公司的信箱這是很正常的。
您可以參考這篇說的比較詳細
http://www.mobile01.com/topicdetail.php?f=508&t=4881137&p=1
請注意,hinet 的 smtp 寄信是驗證 IP,不驗證帳號,所以只要您是 hinet 的線路,寄件人寫誰都可以。
本生物已配置全天候戰鬥系統~
手機不通、Skype 離線時,請託夢,或留言!
個人積分:24分
文章編號:61740694
Ricado wrote:
先請客戶提供那一封要求變更銀行帳號 Email 的完整郵件標頭。
先釐清責任!
小豆五代 wrote:
9/9號時候 我收到一封疑似客戶寄來的信 沒有多想就按回復過去了 現在檢查發現...客戶信箱是abc.d@xxx.com.tw的email(xxx.com.tw是客戶公司域名,如果直接複製還可以上到客戶網站去), 可是9/9那天駭客發的是abcd@xxx.com.tw
1. 利用 replyto標頭的設定,回覆的時候不一定會回到你看到的寄件人地址。
2. 退信通知你沒收到
3. 客戶 mail server 有啟用 catch-all 功能,所以不會退信
不管怎樣,你以為的那個收件人並沒有收到信。
小豆五代 wrote:
9/12號的時候 我們發email給客戶提醒這周要匯款給我們(我確認我發的是客戶正確的郵箱),隔天 9/13駭客就發來一封信*1(這邊等下提) 他們會立刻匯款並且通知我們 駭客同時cc另一個會計email 重點是會計的email也是假的 例如def.g@xxx.com.tw 駭客的變成defg@xxx.com.tw 也就是兩個假email名字,但是後面xxx.com.tw都是客戶域名沒錯
比較可能的事,對方的信被盜收了。
再強調一次,同一封"電子"郵件,可以重複被接收,所以不需要駭入 mail server 或電腦就可以收到信。
詐騙者收到這封信之後,假借他的名義回覆你,這樣的好處是,接下來如果您還有事情要聯絡他,可能就會直接用回覆的,這樣真正的收件人就收不到信了。
小豆五代 wrote:
我們也沒注意 結果到了今天9/21 客戶發了匯款水單給我們 媽的 銀行地址,名字,SWIFT CODE全改成中國駭客的了.......
從客戶9/21號發的水單的那個email中 有之前幾天的email對話...我們發現駭客在9/13號那天除了發給我們以外 他對客戶也說 請把銀行帳號改成某某某某...
然後!!我們看email中13號駭客發給客戶的信..發給客戶的的確是我們的email..這到底是怎麼做到的?
還有一點是 在客戶9/21號發給我們的那一連串email,也有*1 的紀錄!! 可是在記錄上 卻是客戶真正的email+cc給真正會計的email..
詐騙者偽冒貴公司的 email 寄信客戶端,客戶端回信至回到貴公司的信箱這是很正常的。
您可以參考這篇說的比較詳細
http://www.mobile01.com/topicdetail.php?f=508&t=4881137&p=1
請注意,hinet 的 smtp 寄信是驗證 IP,不驗證帳號,所以只要您是 hinet 的線路,寄件人寫誰都可以。
现在客户都沒有理我們...更何況現在完全不敢發email聯絡 都用fax 對方大公司應該也有IT部門會自己查吧...
我現在擔心的是我們郵箱被駭所有資料,其他客戶都被知道了
個人積分:7174分
文章編號:61741052
就之前處理的經驗,大部分都是收件端的信件被盜收,然後收到冒名信件。
少部分寄件端出問題的是 web mail 被入侵,但是這個難度高,也容易被發現。
因為貴公司不是自架 mail server,所以對方收到的冒名信,只能透過寄件者的 IP,報案後,由 hinet 去查是由哪裏寄出。
簡單的說,冒名信兩個元素:
1. 寄件人 email address
2. 信件內容
寄件人 email address,本來就可以隨便填。Email Address 和登入 SMTP 帳號本來就可以不一樣。
原本是可以透過郵件標頭找到真實寄件者,但是使用 ISP 提供的信箱,因為 SMTP 是驗 IP 的,所以只要是 hinet 的線路就可以寄信。
所以只看 email address 根本沒意義。
信件內容部分,要由寄件端去攔截反而困難。大部分還是由收件端去盜收。信件被盜收,除非去看 log ,否則收件者完全沒感覺。
除了透過 POP3 直接猜密碼外,也碰過有客戶自架 mail server,為了備份,將所有信件轉寄一份 gmail,由於這個信箱只是做備份用,所以也沒人管,密碼也重來不管,後來信件就被看光了。
本生物已配置全天候戰鬥系統~
手機不通、Skype 離線時,請託夢,或留言!
