Potrebbe essere un suggerimento falso che il mio server è compromesso essere un attacco di ingegneria sociale?

6

Poco fa ho ricevuto la seguente email da una parte sconosciuta (utilizzando un indirizzo email @alum.cs.[redacted].edu ):

I'm seeing attack traffic from your Linode. Just a friendly heads up that its likely p0wned. A quick google suggests no one else likes the traffic coming from your Linode either.
<https://www.google.com/search?q=[my Linode's IP]>

Tuttavia non sono riuscito a trovare alcuna prova a sostegno di questa affermazione. Ho controllato i grafici di utilizzo delle risorse forniti da Linode, così come i miei registri del firewall, l'elenco dei processi del sistema, le connessioni attive, i file modificati di recente, gli account utente e così via, e non ho riscontrato assolutamente nessuna anomalia. I risultati della ricerca di Google non sembravano confermare l'affermazione che a nessuno piace il traffico; nulla di ciò che ho visto nei primi risultati ha sollevato bandiere rosse. Quindi, o il server sta bene, o ho a che fare con un avversario che sa come coprire le loro tracce così bene che non riesco a immaginare perché avrebbero interesse per il mio Linode. (Non ci sono dati sensibili su di esso.)

Questo mi porta a chiedermi se il messaggio potrebbe essere stato una forma di phishing. In questo caso particolare, ne dubito, ma una cosa del genere potrebbe essere una tattica di ingegneria sociale legittima? C'è qualcosa che probabilmente rivelerò rispondendo a questo messaggio che potrebbe essere usato contro di me in qualche modo a cui non riesco a pensare?

Se e quando ciò accadrà in futuro, il mio obiettivo è di rispondere in un modo che mi permetta di raccogliere le informazioni di cui ho bisogno per rintracciare l'attacco nel caso sia reale, pur non rivelando nulla di troppo compromettente nel caso in cui non sia sono reali.

    
posta David Z 30.01.2015 - 07:59
fonte

2 risposte

6

Il messaggio in sé non è phishing, ma potrebbe essere la prima fase di un attacco di ingegneria sociale.

Il messaggio (che hai citato) non ti sta chiedendo di fare qualcosa di specifico, quindi è benigno. Ma se rispondi chiedendo ulteriori dettagli, potrebbero chiederti di fare qualcosa di specifico (eseguire un programma, accedere al loro servizio, ecc.), Che sarebbe un attacco.

Altrimenti, la persona potrebbe essere confusa. Non vedo alcun danno nel rispondere e vedere quale sarà il prossimo passo.

    
risposta data 30.01.2015 - 18:31
fonte
1

È improbabile che i risultati di ricerca ottenuti da quel collegamento significino qualcosa. Ci sono centinaia di siti che ti permetteranno di ottenere informazioni su un indirizzo IP. Questi siti nella loro natura saranno costituiti principalmente da pagine generate dinamicamente e molti siti non li bloccano tramite robots.txt. Ciò significa che possono essere visualizzati nei motori di ricerca.

Il risultato è che qualsiasi indirizzo IP che cerchi potrebbe produrre un sacco di risultati di scarsa rilevanza. Il numero di risultati cambierà a seconda dell'indirizzo IP. È plausibile che il numero di risultati ti dirà qualcosa su quanto interesse ha il pubblico in quel particolare indirizzo IP. Ma un numero elevato non può essere assunto per indicare una buona reputazione o una cattiva reputazione.

Tutte queste pagine generate rendono difficile scoprire se ci sono pagine veramente interessanti tra i risultati della ricerca. Se tutti i risultati di ricerca sono pagine generate dinamicamente, che saranno presenti per molto IP che si cerca, allora non sono di interesse. Se invece dovessi trovare qualcuno che menziona il tuo particolare indirizzo IP in una domanda su security.stackexchange.com o serverfault.com , allora è decisamente interessante.

Se quello che hai citato è l'intera email, allora è una chiara indicazione che il mittente è incompetente o malevolo. Una email legittima avrebbe dovuto contenere alcuni dettagli reali sul traffico osservato.

Un mittente incompetente potrebbe aver interpretato erroneamente molti risultati durante la ricerca dell'indirizzo IP come indicazione di una cattiva reputazione. Un mittente malintenzionato potrebbe effettivamente possedere alcuni dei risultati di ricerca che stai vedendo. In teoria ci potrebbero essere malware su quelle pagine, anche se sembrerebbe un modo abbastanza strano per attirare visitatori in una pagina con malware.

Cliccando su uno qualsiasi dei link nei risultati della ricerca o rispondendo all'e-mail, il mittente avrà ulteriori informazioni su di te. Ad esempio, potrebbero conoscere gli indirizzi IP di altre macchine che stai utilizzando. E naturalmente dirà loro che qualcuno ha letto l'e-mail.

    
risposta data 30.01.2015 - 19:38
fonte

Leggi altre domande sui tag