Pozdrav društvo,

zadnjih par dana dolazi nam velika količina emailova koji u privitku sadrže zaražene datoteke tipa Form.doc

Mailovi koji dolaze sa tom datotekom u sadržaju maila imaju iskopiranu prepisku od prije i poslan je svima koji su taj mail dobili prije i dolazi sa više različitih mail adresa gdje u potpisu stoji ime kolege, a mail adresa je neka žnj.

Skenirao sam nekoliko računala sa malwarebytesom i nije pronašlo ništa.

Ima li tko kakvu ideju od kud da krenem ili kako da identificiram i riješim navedeni problem?

Hvala.

A tu ti ne može pomoći niti DMARC niti SPF. Predlažem da obučiš korisnike, dodaj kakav greylisting, tj odogodu dostave mailova dok malo zanove se baze anitspama, ako je riječ o novim adresama.

Prvo bi trebalo pogledati raw headere i pokušati skužiti vidi li se nešto po čemu se može izolirati računalo.

Nakon toga bi trebalo pokušati napraviti presjek svih primatelja, za naći koji accounti bi mogli biti kompromitirani.

Promjena šifri na svim accountima je poželjna bez obzira.

Budem pokušao to napraviti, jedino je fora u tome što je taj malware(ili kaj već) uspio iskopirati primljene mailove i šalje ih ponovo na adrese koje su bile u cc-u.

Kakav mail koristite, exchange ili nesto drugo?

Najefektivnije ti je dograditi Cloud-based spam filter,

ima ih besplatnih, ima i placenih - ProofPoint je jedan od boljih (nije besplatan).

Ovdje imas listu besplatnih cloud rijesenja za filtriranje:

https://www.g2.com/categories/cloud-email-security/free

Hvala, koristimo običan POP/SMTP hostan zajedno sa domenom.

Budem pokušao s filetrima, uglavnom otkrio sam da je jedan od kolega pobrao emotet malware koji mu je pobrao sve e-mailove i kontakte i sada šalje zaraženu datoteku na sve te kontakte sa kopijom primljenih i poslanih e-mailova koje je on primio/poslao.