Account Gmail compromesso: per cosa è stato utilizzato?

4

Usiamo GMail per la nostra email aziendale, siamo una piccola azienda. Faccio l'amministrazione della posta per il nostro dominio e recentemente sono stato avvisato da una email di Google che l'account di un collega aveva alcuni accessi sospetti ed è stato sospeso.

Guardando il rapporto di controllo di accesso per questo account, posso vedere che ci sono stati circa 27 accessi sospetti nel passato circa. 3 mesi, il primo è il 28 luglio 2015.

Ha inconsapevolmente continuato a utilizzare l'account per tutto questo periodo fino a quando Google non lo ha sospeso ieri. Abbiamo cambiato la password e abilitato l'autenticazione a 2 fattori (in realtà l'abbiamo resa politica aziendale per tutto il personale). Abbiamo quindi seguito la checklist di Google per gli amministratori: link

Ho fatto ricerche inverse (ping -a) sugli IP di origine degli accessi sospetti come registrato da GMail, e sto ricevendo una varietà di domini di primo livello piuttosto pertinenti, ad es. .ru, .pl, .ly, .kg, .kz, .mx, .ar, .eg, .br, .tr.

Per la maggior parte mi sembrano di essere abbonati ISP residenziali su IP dinamici utilizzando DSL o simili.

Ricorda di avere qualche problema temporaneo nel ricevere email al momento dei primi accessi sospetti, ma da allora non abbiamo notato altre attività sospette evidenti nella sua e-mail o in nessuno dei suoi servizi online. Usa Outlook su un laptop per accedere a GMail tramite POP3. Non siamo sicuri di quale vettore sia stato utilizzato in questa fase. Ha fatto alcuni viaggi in Sud Africa intorno a quando ha iniziato, usando l'hotel Wi-Fi, ma non è mai stato in nessuno di questi altri paesi.

Quello che vorrei determinare è:

  1. Dato il modello di accesso sospetto, qual era il probabile meccanismo? Per esempio. sono stati gli accessi non autorizzati di singoli hacker che condividevano le credenziali di accesso del mio collega, o gli IP di origine probabilmente erano stati gli utenti inconsapevoli di avere malware sul loro computer che inviava spam o simili?

  2. Dato che siamo una società di software che autode e amministra siti web, ma non ha motivo di credere che una qualsiasi delle nostre infrastrutture di hosting di produzione sia stata compromessa, quali ulteriori azioni dovremmo intraprendere, se ce ne sono?

posta Michael12345 13.10.2015 - 11:21
fonte

3 risposte

3
  1. Questo è per rispondere, potrebbe essere un singolo attaccante saltare attraverso VPN o potrebbe essere più aggressori.
  2. Dipenderà dalle informazioni a cui la persona ha avuto accesso. Se è presente una singola e-mail con un'altra password, è necessario verificare a quali account e password ha avuto accesso. Fondamentalmente qualunque sia stato il tuo datore di lavoro che ha usato quell'e-mail e questo account (ad esempio Github o Bitbucket) gli hacker avranno avuto accesso a. Quindi esaminerei attentamente i contenuti della casella di posta elettronica e vediamo cos'altro potrebbe essere compromesso.

Dovresti anche esaminare in che modo l'account è stato compromesso in primo luogo (riutilizzo della password, password deboli, password comuni, compromissione di una macchina locale, ...). Perché molto probabilmente ti darà un'idea su dove iniziare le tue indagini per vedere cos'altro potrebbe essere compromesso. Se non l'hai ancora fatto, a mio parere è ancora troppo presto per dire che non hanno compromesso i sistemi di produzione.

Uno scenario plausibile potrebbe includere, ad esempio, codice sorgente dannoso o backdoor del compilatore utilizzato per creare i binari che vengono messi in produzione.

    
risposta data 13.10.2015 - 11:34
fonte
4

Chiunque incluso se stesso potrebbe connettersi attraverso un servizio come TOR. Attraverso tale servizio è possibile cambiare i nodi di uscita a volontà dandovi un nuovo IP e il paese da cui proviene l'IP. Considerando che dimentichi da quali paesi provengono le connessioni. Non significano niente. È più importante stabilire cosa è successo completamente. Ricorda che avere accesso a Gmail significa anche accesso all'unità e così via. Hai esaminato tutti i servizi che potrebbero essere stati compromessi da Google? Potrebbe essere un'immagine molto più grande di quella che solo Gmail sta compromettendo. Si potrebbe dire di cambiare un file che memorizzi su Drive con uno compromesso, che viene sincronizzato con il tuo computer e lo esegui.

    
risposta data 13.10.2015 - 16:55
fonte
2
  1. Una probabile situazione potrebbe essere che solo un utente malintenzionato avesse accesso all'account, ma stava usando un meccanismo di routing per accedere all'account (come tor o proxy).
    In questo modo se l'attaccante viene catturato, ha meno possibilità di essere scoperto poiché nasconde il suo vero indirizzo IP. Google deve aver segnalato i comportamenti sospetti in base agli accessi perché è prassi comune nascondere la traccia.

  2. Può succedere che l'utente malintenzionato non sappia cosa fa la tua azienda, ha appena ottenuto le credenziali attraverso qualche schema di pesca non mirato, o hackerando un database di un sito web in cui il tuo collega ha creato un account con la stessa email e password, o per un numero qualsiasi di modi, e stava accedendo all'account e-mail per scoprire se l'utente memorizzava altre credenziali (per altri siti Web, o anche credenziali bancarie), o l'utente malintenzionato poteva usare l'account e-mail da usare come spambot per invia email con virus o schemi di pesca.

risposta data 13.10.2015 - 17:50
fonte

Leggi altre domande sui tag