I passaggi successivi dopo l'account webmail sono stati compromessi

Per un approccio "paranoid dial turned to 11", suggerisco:

Sul sistema:

• Esegui il backup di tutti i dati essenziali.
• Rebuild.
• Installa protezione antivirus / antimalware / firewall residente.
• Installa il browser di scelta sicuro o aggiorna il browser esistente all'ultima versione.
• Installa plug-in di navigazione sicura e del sistema operativo e configurazioni di scelta.
• Verifica che il sistema operativo e tutte le applicazioni siano aggiornati.

Per tutti gli account utente, fai quanto segue, in modo recusivo. *

• Modifica la password dell'account webmail compromesso.
• Cambia le password di tutti gli account che utilizzano la stessa password del suo account webmail.
• Modifica le password di tutti gli account associati all'account webmail.

* (Esempio: l'account GMail è stato compromesso Gli account di Facebook e Hotmail utilizzano la stessa password Cambia password di Facebook e Hotmail L'account di LinkedIn è associato all'account di Hotmail. Modifica la password di LinkedIn.

Inoltre, contatta il proprietario dell'account che ti ha inviato l'e-mail e fai sapere loro cosa è successo.

Questa è una vista di livello molto alto del processo di recupero. Alla fine, spetta a te determinare a quale profondità devono essere applicate determinate misure di protezione, sulla base del valore che hai posto sui dati e / o sugli account che potrebbero essere stati compromessi.

La spiegazione più probabile fornita da questa descrizione è che la "posta dal buon amico" conteneva un link a un sito che utilizzava un bug nel suo browser per installare malware.

Se questo non è un attacco mirato, c'è una buona probabilità che il malware sia ben noto e che il software anti-virus standard possa trovare e ripulire. Il malware potrebbe avere o leggere localmente la rubrica del tuo amico, o piggy-backed su una connessione al server di posta per leggere la sua rubrica lì. Se non sei troppo paranoico e riesci a identificare il malware, esegui il clean-up. Se il malware è noto per raccogliere password, controlla tutte le password e gli account che potrebbero essere stati violati, come Iszi spiega .

Se questo può essere un attacco mirato (probabilmente se Mr Doe è un direttore di banca o un attivista politico, non molto probabilmente per un certo Mr Doe), allora non puoi fare nessuna ipotesi. Anche se un antivirus rileva un malware riconosciuto, questo potrebbe essere un malware non standard mascherato da un noto (ma allora perché dovrebbe annunciare la sua presenza?)

Il fatto che il malware si trovasse in una società correlata a Mr Doe non è necessariamente un'indicazione di un attacco mirato. Potrebbe essere semplicemente il modo di diffondere il malware, cercando di raggiungere le persone attraverso canali di cui è più probabile che si fidino.

Controlla il sito della società da cui pensi che il malware provenga. (Non utilizzare un browser vulnerabile, ovviamente, o solo in una VM con connettività limitata.) Se trovi una pagina sospetta, segnalala.

Non c'è molto che il provider di webmail possa fare, a parte lasciare che Mr Doe reimpostasse la sua password. È improbabile che la sicurezza della webmail fosse in errore: il compromesso è avvenuto sul computer client.

Un'altra cosa che non citi è controllare da dove proviene la posta con il link. Se proviene dal buon amico, anche il buon amico è stato infettato dal malware. Non aspettarti che Mr Doe sia in grado di dire un'e-mail falsificata o persino di capire il concetto.

Per prevenire le recidive, come minimo, installare un antivirus aggiornato (supponendo che Mr Doe stia utilizzando Windows) e utilizzare una versione aggiornata di Firefox o Chrome per navigare sul Web.

Aggiunta alla risposta di Iszi:

• Effettua la modifica della prima password dell'account da un computer non compromesso.
• Modifica anche qualsiasi parola d'ordine mnemonica o risposte di auto-verifica
• recensione inviata email - se l'hacker è disordinato, potresti vedere la tua posta inviata che non hai inviato. Invia aggiornamenti a chiunque nella lista degli indirizzi o chiunque altro nella lista degli indirizzi che hai motivo di ritenere che "tu" abbia inviato la posta infetta per informarli del problema.

Ci sono molti falsi programmi di posta elettronica disponibili dove questo tipo di attività sono perfomite a volte vedi che hai ricevuto una email dal tuo acc. O a volte vedi un'email che dice di condividere i dettagli dell'account. Le misure di sicurezza per questi sono se il tuo accesso fornisce una protezione antispam avanzata abilita anche a controllare se il tuo fornitore di servizi di posta elettronica ha 2fa.