Negli ultimi 2 giorni, +/- ogni 15 minuti, qualcuno sta tentando di accedere al mio account di posta elettronica online. Quando si verifica l'attività recente, l'indirizzo IP (e il paese corrispondente) è diverso per ogni tentativo. Presumo che sia la stessa persona (bot) che tenta di accedere dalla stessa posizione geografica.
In che modo l'hacker riesce a simulare un diverso indirizzo IP? (Sta usando un software di anonimato come TOR?)
TOR, VPN, bot, proxy, lo chiami .. L'IP sorgente non è "spoofed" di per sé ... è il vero affare. Se qualcuno ha davvero falsificato un IP sorgente, non è stato possibile stabilire una connessione TCP o ricevere alcuna risposta. Il metodo di spoofing IP di origine è più utile su UDP quando si avvia un attacco di amplificazione a un IP vittima / falsificato.
"Analisi":
Il fatto che siano stati effettuati i tentativi di accesso effettivi indica che l'utente malintenzionato è riuscito a configurare le connessioni all'host di posta.
Poiché, per poter ricevere informazioni su Internet, è necessario avere il controllo dell'indirizzo IP che si sta utilizzando, questo non può essere il caso dello spoofing dell'indirizzo. (Gli aggressori potrebbero inviarti informazioni usando indirizzi falsificati, come menzionato da YaRi, ma le risposte verrebbero rimosse dall'aggressore, quindi nessuna comunicazione bidirezionale sarebbe possibile.)
Conclusione:
Questo ti lascia due possibilità:
1 è molto più probabile, ma 2 non può essere escluso dalle informazioni fornite.
VPN, SOCKS o proxy HTTP, Tor o persino botnet non sono nient'altro che diversi tipi di sistemi di proxy da un punto di vista concettuale. Operano su diversi livelli di Internet (VPN molto bassa per sovrapporre reti come Tor molto alta) ma tutti eseguono l'inoltro del traffico in un modo o nell'altro.
Mitigazione:
Se hai il controllo del server di posta, puoi controllare il blocco dei relè noti pubblicamente (ad esempio i nodi di uscita di Tor). Un'ulteriore opzione è quella di tenere traccia dei dispositivi utilizzati per accedere al server di posta o la geolocalizzazione degli indirizzi IP, per richiedere un'autenticazione estesa quando si accede con un nuovo dispositivo o da una nuova posizione.
Le misure sopra indicate probabilmente non valgono la pena, a meno che non si stia eseguendo un servizio un po 'più grande. La misura migliore altrimenti, accanto a mantenere aggiornato il sistema, è di usare una password complessa.
Potrebbe essere una botnet con molti computer diversi in paesi diversi.
Ha il vantaggio (per l'hacker) che è quasi impossibile bloccare per te (o il tuo provider di posta) perché non esiste un IP che può essere bloccato.
Non conosco te, o il tuo account di posta, ma se si tratta di un normale account senza informazioni importanti in esso vi è una grande possibilità che sia solo una botnet normale che tenta di ottenere l'accesso a quanti più account possibili.
Leggi altre domande sui tag email tor ip-spoofing