Usiamo GMail per la nostra email aziendale, siamo una piccola azienda. Faccio l'amministrazione della posta per il nostro dominio e recentemente sono stato avvisato da una email di Google che l'account di un collega aveva alcuni accessi sospetti ed è stato sospeso.
Guardando il rapporto di controllo di accesso per questo account, posso vedere che ci sono stati circa 27 accessi sospetti nel passato circa. 3 mesi, il primo è il 28 luglio 2015.
Ha inconsapevolmente continuato a utilizzare l'account per tutto questo periodo fino a quando Google non lo ha sospeso ieri. Abbiamo cambiato la password e abilitato l'autenticazione a 2 fattori (in realtà l'abbiamo resa politica aziendale per tutto il personale). Abbiamo quindi seguito la checklist di Google per gli amministratori: link
Ho fatto ricerche inverse (ping -a) sugli IP di origine degli accessi sospetti come registrato da GMail, e sto ricevendo una varietà di domini di primo livello piuttosto pertinenti, ad es. .ru, .pl, .ly, .kg, .kz, .mx, .ar, .eg, .br, .tr.
Per la maggior parte mi sembrano di essere abbonati ISP residenziali su IP dinamici utilizzando DSL o simili.
Ricorda di avere qualche problema temporaneo nel ricevere email al momento dei primi accessi sospetti, ma da allora non abbiamo notato altre attività sospette evidenti nella sua e-mail o in nessuno dei suoi servizi online. Usa Outlook su un laptop per accedere a GMail tramite POP3. Non siamo sicuri di quale vettore sia stato utilizzato in questa fase. Ha fatto alcuni viaggi in Sud Africa intorno a quando ha iniziato, usando l'hotel Wi-Fi, ma non è mai stato in nessuno di questi altri paesi.
Quello che vorrei determinare è:
-
Dato il modello di accesso sospetto, qual era il probabile meccanismo? Per esempio. sono stati gli accessi non autorizzati di singoli hacker che condividevano le credenziali di accesso del mio collega, o gli IP di origine probabilmente erano stati gli utenti inconsapevoli di avere malware sul loro computer che inviava spam o simili?
-
Dato che siamo una società di software che autode e amministra siti web, ma non ha motivo di credere che una qualsiasi delle nostre infrastrutture di hosting di produzione sia stata compromessa, quali ulteriori azioni dovremmo intraprendere, se ce ne sono?