【更新2】记录公司某业务邮箱账号被盗，发邮件给客人改收款银行账号的经历

2020-01-09 06:52

leichangxu2020-01-09 06:57
如果持续被爆破，早就该抓抓了呀，还好发现及时。
大马2020-01-09 06:59
你好像还是没搞懂是怎么伪装发件人的。根本不需要攻入你的邮件服务器。
txkingzjg2020-01-09 07:08
回复3#大马
是不太懂，难道不是破解了业务小A的邮箱账号吗？

补充一点给大家
伪造邮件后，黑客一直登录webmail，一直在线，只要是这个客户回复的邮件自动删除，但是没清空

我们现在把邮箱IIS停了 iOS fly ~
txkingzjg2020-01-09 07:09
回复3#大马
发件人没有伪装，账号是我们公司的邮箱 iOS fly ~
txkingzjg2020-01-09 07:11
求大神指点一二 iOS fly ~
johnalex2020-01-09 07:12
都是国内黑产吗 iOS fly ~
peng1234562020-01-09 07:13
我服务器那边加了超过几次密码错误就ban了ip ，。fail2ban 我用的这个工具
iorlkyok2020-01-09 07:14
技术还是不到家应该，我见过的伪装邮箱名字是，活雷锋。
txkingzjg2020-01-09 07:17
回复7#johnalex
看不懂 iOS fly ~
txkingzjg2020-01-09 07:19
回复8#peng123456
谢谢，可以试试 iOS fly ~
痴汉2020-01-09 07:33
内鬼可能性也有吧
PDA55662020-01-09 07:37
换office365
aliar2020-01-09 07:40
如果规模不大，干脆改用腾讯QQ企业邮箱吧。没必要自己搭建邮件服务器。
二花2020-01-09 08:19
用钉钉企业邮箱可以避免吗 iOS fly ~
txkingzjg2020-01-09 08:32
回复12#痴汉
内鬼我开始也怀疑，后来放弃了，有监控，时间对不上 iOS fly ~
linng1062020-01-09 08:34
邮箱端口还能改的？
改了后你试了吗还能收发？
txkingzjg2020-01-09 08:39
回复17#linng106
接下来尝试，还没试 iOS fly ~
荷叶塘2020-01-09 08:40
12年被人伪造骗了9万多人民币的路过，不过不是我的钱小尾巴~
heavenbow2020-01-09 09:33
劝你花钱买个企业邮箱得了，也不贵。
最低购2020-01-09 10:09
用谷歌的企业邮箱，安全性比自建邮件服务器高吗？好像是每账号每月五美元？书荒点我
awk2020-01-09 10:14
50人以下用腾讯企业邮箱免费
inmyfree2020-01-09 10:19
回复22#awk

随便就是50w刀的肯定不是小公司了啊
BuK2020-01-09 10:19
回复22#awk
怎么看的5人就收费了？小尾巴~
孤竹2020-01-10 12:26
以前阿里账号被破解
应该是通过木马邮件点击后被套走的！
然后
用我们公司阿里账户内置邮箱发邮件改汇款账号
同时一收到国外该客户邮件就删除
就是为了不让我们发现

客户发邮件给我个人邮箱询问钱到了要发货是三四天后了
说没收到……最后客户发来水单！说钱按你要求打了水单也给了几天了还没收到？
然后我们懵逼了
根据水单查到收款方是上海一家公司
赶紧跑上海报案
所幸接待派出所非常配合
带我们直接去银行！
钱还没结汇转走！
然后再去那家公司
那家公司也是懵逼！
因为这笔钱是他的客户说转给他买其他东西的
也就是说他以为正常收货款
结果成为洗黑钱的工具
最后银行办理退汇
04 05年的事情了

30多万人民币吧

一般外贸TT收款金额对不核对付款方信息也是个坏习惯 iOS fly ~
navyyang2020-01-10 12:51
这种都是破解密码后守着。对方回邮件到正确的地址也是死路一条，因为他们直接转走邮件，然后删除，用户看不到 iOS fly ~
flyingforce2020-01-10 01:09
发送邮件时候不用破解的，是自己声明自己的邮箱地址，他想说自己是谁都行；他现在这个破解实际上就是你最后说的这个事情，破解了邮箱密码来知道这个客户的信息，然后删除这个客户的回信。
txkingzjg2020-01-10 06:37
回复27#flyingforce
理解了，但是这样欺骗性低。破解了，直接在催款邮件基础上转发，更可怕。 iOS fly ~
txkingzjg2020-01-10 09:03
黑客一直登录webmail，一直在线，只要是这个客户回复的邮件自动删除，但是没清空

1月9日 17点30，把邮箱IIS停了
1月10日，早上重启IIS，webmail需要重新登录，登录后发现昨晚19点多的一封邮件还是自动删除，立马让客户发了封邮件现场测试，还是自动删除
怕了，备份邮件，禁用账号，重新开账号

神奇的黑客！！！
大马2020-01-10 09:11
继续查日志，
很可能你们内部电脑有木马
txkingzjg2020-01-10 09:36
回复30#大马

谢谢大神，论坛果然藏龙卧虎
这段日志是发欺骗邮件的日志，我看到127.0.0.1都吓一跳，难道直接在服务器操作的？？

以下是我发现的其他日志麻烦指点一二
懒散的牛2020-01-10 09:42
等地板大牛出现。
linng1062020-01-10 10:01
回复31#txkingzjg

不是写着webmail吗，你webservices也在这台机子上，通过web发送自然是来自本机了看看厂长邮箱是不是被偷偷设置了自动转发，那个第三方的嫌疑很大啊
txkingzjg2020-01-10 10:58
我刚刚去那个业务电脑上看了系统日志，昨天下午就关机，到今天早上开机
所以排除业务电脑的木马

难道服务器有木马，这太可怕了，服务器可是刚装的系统，而且补丁打了，趋势买的杀毒软件

问了邮件中继供应商“靠谱”公司，他们意思是黑客用的imap的协议的客户端，所以可以同步删除，imap改了密码还可以访问？？
treotreo2020-01-10 11:00
outlook 2010？可能被设置了邮件过滤规则，符合规则的自动删除
txkingzjg2020-01-10 11:28
回复35#treotreo

厉害，果然是，过滤规则加了发件人删除并转发到这个邮箱，uuwwzztex@gmail.com
如果以后有机会买我衣服，记得提上这茬
blue8892020-01-10 11:36
所以整个事情就是因为某邮箱被黑客加了一条转发规则？
txkingzjg2020-01-10 11:55
不是，那只是现在业务收不到这个客人的邮件，属于后续 iOS fly ~
晒太阳的蜥蜴2020-01-10 11:58
前几年，公司客户也被这种方式诈骗了近千万人民币，公司163的邮箱被黑了，然后冒用公司名义给客户发信说改账号了，客户的人也没有核实就打款给对方了。
txkingzjg2020-01-10 05:11
fail2ban研究了下，这是linux下的工具吧，windows下用不了