[Servercert-wg] Exchange Verteiler mit Email: finance / group-finance at swisssign.com

Roman Fischer roman.fischer at swisssign.com
Thu Sep 12 08:14:13 UTC 2024 

Sali Daniel,

Kannst du bitte bei Abraxas veranlassen, dass die Distribution list "finance" nicht mehr von extern unter group-finance at swisssign.com<mailto:group-finance at swisssign.com> erreichbar ist?
(Details im Screenshot unten.)

Danke
Roman

From: Johannes Termin <johannes.termin at swisssign.com>
Sent: Donnerstag, 12. September 2024 10:11
To: Michael Schwarz <michael.schwarz at swisssign.com>
Cc: Roman Fischer <roman.fischer at swisssign.com>
Subject: AW: [Hoxhunt Report] You received a 3gVoip Message | SourceID#: (00:92s) from (310) 107 - **** on September 9, 2024 at 09:48:33 PM 1ylo9x

Ahoi

Mail-Adresse wird ohnehin nicht verwendet und wurde meines Wissens automatisch für die SharePoint Gruppe Finance erstellt. Kann von mir aus gerne für extern gesperrt werden.

Danke!

Beste Grüsse // Best regards
Johannes

Johannes Termin
CAO

+41 43 811 05 16
johannes.termin at swisssign.com<mailto:johannes.termin at swisssign.com>

Von: Michael Schwarz <michael.schwarz at swisssign.com<mailto:michael.schwarz at swisssign.com>>
Gesendet: Donnerstag, 12. September 2024 09:38
An: Johannes Termin <johannes.termin at swisssign.com<mailto:johannes.termin at swisssign.com>>
Cc: Roman Fischer <roman.fischer at swisssign.com<mailto:roman.fischer at swisssign.com>>
Betreff: FW: [Hoxhunt Report] You received a 3gVoip Message | SourceID#: (00:92s) from (310) 107 - **** on September 9, 2024 at 09:48:33 PM 1ylo9x

Hallo Johannes

Ich habe heute früh gleich 3 e-mails gekriegt («caller left voice message») und als phishing gemeldet. Der Punkt ist, dass die Mails gleich an eine Empfängergruppe «Finance» ging, weil die auch von extern erreichbar ist. So, wie ich Roman verstanden habe, könnte man das abschalten was wohl ein Zugewinn an Sicherheit wäre, weil dann ein eingehender phishing-Versuch nicht gleich an mehrere Personen geht und damit das Risiko sich mit Anzahl Personen mulitpliziert.

Ist vielleicht mal ein Thema für ein gemeinsames Gespräch mit Roman.

Lieben Gruss,
Michael

Kind regards,
Michael Schwarz
Controller

Regular working days:
Mon, Tue, Thu, Fri

From: Roman Fischer <roman.fischer at swisssign.com<mailto:roman.fischer at swisssign.com>>
Sent: Donnerstag, 12. September 2024 09:32
To: Michael Schwarz <michael.schwarz at swisssign.com<mailto:michael.schwarz at swisssign.com>>
Subject: RE: [Hoxhunt Report] You received a 3gVoip Message | SourceID#: (00:92s) from (310) 107 - **** on September 9, 2024 at 09:48:33 PM 1ylo9x

Ich würde vorschlagen, das mal in ein Team-Meeting mitzunehmen. Die Frage ist eigentlich nur, ob group-finance at swisssign.com<mailto:group-finance at swisssign.com> von extern erreichbar sein muss oder nicht.

-Roman

From: Michael Schwarz <michael.schwarz at swisssign.com<mailto:michael.schwarz at swisssign.com>>
Sent: Donnerstag, 12. September 2024 08:57
To: SOC <SOC at swisssign.com<mailto:SOC at swisssign.com>>
Subject: RE: [Hoxhunt Report] You received a 3gVoip Message | SourceID#: (00:92s) from (310) 107 - **** on September 9, 2024 at 09:48:33 PM 1ylo9x

Hallo Roman,

Danke für Deine Antwort.
Ich kann das nicht beurteilen, ob das so sein soll oder nicht, weil ich weder die Vor- noch Nachteile kenne und die Konsequenzen nicht abschätzen kann. Ich ging wohl einfach von falschen Annahmen aus.

Kind regards,
Michael Schwarz
Controller

Regular working days:
Mon, Tue, Thu, Fri

From: SOC <SOC at swisssign.com<mailto:SOC at swisssign.com>>
Sent: Donnerstag, 12. September 2024 08:55
To: Michael Schwarz <michael.schwarz at swisssign.com<mailto:michael.schwarz at swisssign.com>>
Subject: RE: [Hoxhunt Report] You received a 3gVoip Message | SourceID#: (00:92s) from (310) 107 - **** on September 9, 2024 at 09:48:33 PM 1ylo9x

Sali Michael,

"Finance" ist eine Gruppe vom Typ "Mail enabled security group":

[cid:image001.png at 01DB04F8.C0446570]

Wenn das geändert werden soll -> bitte bei servicerequest at swisssign.com<mailto:servicerequest at swisssign.com> (Daniel Nobel) melden…

-Roman

From: Michael Schwarz <michael.schwarz at swisssign.com<mailto:michael.schwarz at swisssign.com>>
Sent: Donnerstag, 12. September 2024 08:26
To: SOC <SOC at swisssign.com<mailto:SOC at swisssign.com>>
Subject: RE: [Hoxhunt Report] You received a 3gVoip Message | SourceID#: (00:92s) from (310) 107 - **** on September 9, 2024 at 09:48:33 PM 1ylo9x

Hallo Roman,

heute früh hatte ich gleich 3 «missed calls» mails, alle mit attachment und mit der Distributionsliste «Finance». Letzteres wundert mich doch sehr, da der Verteiler m.E. nur intern existieren sollte.
Um den Absender sperren zu können habe ich alle 3 als phishing gemeldet.

Lieben Gruss,
Michael

Kind regards,
Michael Schwarz
Controller

Regular working days:
Mon, Tue, Thu, Fri

From: SOC <SOC at swisssign.com<mailto:SOC at swisssign.com>>
Sent: Mittwoch, 11. September 2024 06:53
To: Michael Schwarz <michael.schwarz at swisssign.com<mailto:michael.schwarz at swisssign.com>>
Subject: RE: [Hoxhunt Report] You received a 3gVoip Message | SourceID#: (00:92s) from (310) 107 - **** on September 9, 2024 at 09:48:33 PM 1ylo9x

Sali Michael,
Vielen Dank für das Melden dieser E-Mail. Ich habe sie analysiert und es handelt sich um PHISHING. Bitte lösche diese E-Mail und klicke auf keine Links!
Wir haben die entsprechenden Links zum Sperren gemeldet.
(PS: Diese Art von Angriff mit einer Umleitung über TikTok und dann Google auf die endgültige Phishing-Seite… hab ich so auch noch nie gesehen. 😊)
Falls du Fragen hast, dann bitte einfach melden.
Liebe Grüsse
Roman



From: Michael Schwarz <michael.schwarz at swisssign.com<mailto:michael.schwarz at swisssign.com>>
Sent: Dienstag, 10. September 2024 13:08
To: SOC <soc at swisssign.com<mailto:soc at swisssign.com>>
Subject: [Hoxhunt Report] You received a 3gVoip Message | SourceID#: (00:92s) from (310) 107 - **** on September 9, 2024 at 09:48:33 PM 1ylo9x

This is an automatically generated Hoxhunt report. The attached email was reported by michael.schwarz at swisssign.com<mailto:michael.schwarz at swisssign.com>.

User marked as: phishing
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.cabforum.org/pipermail/servercert-wg/attachments/20240912/122046a9/attachment-0001.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 39291 bytes
Desc: image001.png
URL: <http://lists.cabforum.org/pipermail/servercert-wg/attachments/20240912/122046a9/attachment-0001.png>

More information about the Servercert-wg mailing list