Attualmente sto ricevendo un attacco mirato

Naviga le tue risposte
3

Da ieri, ricevo mail contraffatte che sono indirizzate a me. Usano informazioni personali, sembrano provenire da uno dei miei amici e contengono solo collegamenti a questi siti web:

link
http www.sidat.com.mx/engagediatmosphere/Matthew_Bailey44 /

(link disabilitati per impedire che qualcuno li segua accidentalmente)

Che cosa dovrei fare ora?

[EDIT] altre informazioni:

  1. La posta mi indirizza personalmente (per nome)
  2. Il mittente è il nome completo del mio amico (nessun errore di battitura), ma l'autore dell'attacco utilizza email di mittenti diverse (probabilmente falsificate).

Ecco l'intestazione della posta (le informazioni personali sostituite con ${...} ): 

Content-Transfer-Encoding:   quoted-printable
Content-Type:    text/plain; charset=utf-8
DKIM-Signature:  v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1345684031; bh=GeuilzHJrvCxtRBuL4FZxQ7aXRM6tpTAePrK26c0570=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding; b=Yr4o5RXwGl5U/PCXc8Fjb2jSCXJ+Tm2Hp2OIjZ5uLP896jlz7BL8fOzaFrDYfkHRnYjDCjUQh8ID/P1lFoFDvi7SNHZpK765gG6yyGfMqOk3Beoozxk60WsNoyy7+R/K/X+RQ+x7ZCWmwYaqDwIn9L0neohCsdKJGKtdZOPFyXM=
Date:    Wed, 22 Aug 2012 18:07:11 -0700 (PDT)
Delivery-date:   Thu, 23 Aug 2012 03:07:17 +0200
DomainKey-Signature:     a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding; b=6LG8CeLCvrnyj4Nognto3b5cV3zLh/o3gtbFxCf0pYJHx3ulUef0M4XNTe9lU5WnIMwpZaBdaSrF7K31KcBvKwJJcbfwpKNGdezUfKNQC00Fmo4sUur9ZrehWrV+j97HmD/UlEcZKuFwE0Lrq1+MYItPkgEGCeOYaDWBAPqbNsI=;
Envelope-to:     ${my email}
From:    ${name of friend} <${different addresses}>
MIME-Version:    1.0
Message-ID:  <[email protected]>
Received:   
from nm23-vm1.bullet.mail.ne1.yahoo.com ([98.138.91.50]) by www.hepe.com with smtp (Exim 4.72) (envelope-from <[email protected]>) id 1T4LtC-0007qp-De for [email protected]; Thu, 23 Aug 2012 03:07:17 +0200
from [98.138.90.51] by nm23.bullet.mail.ne1.yahoo.com with NNFMP; 23 Aug 2012 01:07:12 -0000
from [98.138.89.174] by tm4.bullet.mail.ne1.yahoo.com with NNFMP; 23 Aug 2012 01:07:12 -0000
from [127.0.0.1] by omp1030.mail.ne1.yahoo.com with NNFMP; 23 Aug 2012 01:07:12 -0000
(qmail 52628 invoked by uid 60001); 23 Aug 2012 01:07:11 -0000
from [216.58.103.108] by web163902.mail.gq1.yahoo.com via HTTP; Wed, 22 Aug 2012 18:07:11 PDT
Reply-To:    ${different addresses}
Return-path:     <${different addresses}>
Subject:     FOR ${my name}
To:  ${my email}
X-Mailer:    YahooMailWebService/0.8.121.416
X-Sender-Host-Country:   USA
X-Spam-Checker-Version:  SpamAssassin 3.3.1 (2010-03-16) on sebigbos.hepe.com
X-Spam-Status:   No, score=-0.1 required=5.0 tests=DKIM_SIGNED,DKIM_VALID, DKIM_VALID_AU,FREEMAIL_FROM,RCVD_IN_DNSWL_NONE autolearn=unavailable version=3.3.1
X-YMail-OSG:     grrWpYMVM1nX9hYw_uNTgdCPoNKWu5jkv0EmY0ZHG4tPd2O mRxwvLiQpCv.k64Dpw3ncbfn2yZ8BJSdT8MQfa30vkl_20DL1PRE.Znx._Cq 5nmBpOrqzrKpnI6FQWrv09oazY4eKdfYj4Tctb69dInKejxmOVmrJBDVT.Bg qe.buX4abq2f0JwUSlgieoxQcVlERFSy4ENI6.t633e4GCpKFaWn.5bJk_P5 VYpdFdVgBtyttRn6e1PQFCI4LkETAAzBcXtlcXf2yF5aL7C4SMWhbpXbbyN9 rOdZXO1vl_hxHl5wCY88YrPkKcm9QvRNHDdyIx0PrnEP3GYiLHPbl_4PoB6K m12Bda2O5ObmO8XC4_OOYc.xfkm8DKezgTyMlvooh1miYOyiELCNMhiTsdbq 4tPsZYnwmhGInOo4qnW6zZuhgIMtwmT2PYKubcjX1xWFNQUpKbAK1pdhEycK KcAiO.c43J1A3fnOZ1oNUeIttRKcRtKaRXjL35UmQadPYDIYQOjK9Dq1LCT3 6rSl2ROTg73gxGH_h1wpAb4A9XI0KCElRgIdLv5UQu5eACzNYq2dQo5J_SQP bGU9NyeEBuq9wZXgvMIKF
X-Yahoo-Newman-Id:   [email protected]
X-Yahoo-Newman-Property:     ymail-3
  1. Sono abbastanza sicuro che il mio server non sia stato violato
posta Aaron Digulla 23.08.2012 - 10:10
fonte

2 risposte

6

Probabilmente ha venuto dal tuo amico, ma non intenzionalmente. Ci sono due possibili scenari:

  1. Uno spammer conosce la password e-mail del tuo amico e utilizza i dettagli delle e-mail precedenti per truffarti.
  2. Il computer del tuo amico contiene malware e sta utilizzando il suo account e-mail per inviare spam. In questo caso, probabilmente sta tirando nomi e altri dettagli dall'elenco dei contatti.

In entrambi i casi, dì al tuo amico e chiedi a lui / lei di ripulire la loro macchina e cambiare la loro password. Assicurati che sia in questo ordine, altrimenti il malware potrebbe semplicemente registrare la nuova password.

In termini di siti, è difficile sapere se si tratta di domini di phishing / spam dedicati o solo di siti in cui sono stati violati. Negli Stati Uniti è un crimine federale inviare email di spam, quindi puoi segnalarlo tramite IC3 .

Aggiornamento: è probabile che l'attaccante stia monitorando le tue comunicazioni (ad esempio Facebook, Twitter) e utilizzandole per indirizzarti direttamente. A questo punto potrebbe essere efficace solo per rispondere e dire "So che stai cercando di chiamarmi, non mi sto innamorando di questo, non mi piace."

    
risposta data 23.08.2012 - 10:25
fonte
8

Solo per aggiungere a @ Polynomial (cosa che a me sembra essere corretta) rispondi (upvoted), quando parli con il tuo amico, non avvicinarti a lui / lei come se fosse un confronto. Ho visto molte persone (dopo essere state violate) reagire così male perché si sono sentiti confrontati.

Penso che sia possibile confermare rapidamente se si tratta di un phish chiedendo se è a conoscenza della situazione o se qualcuno degli altri suoi amici ha ricevuto tali e-mail? Se il suo account è stato violato come suggerisce correttamente il polinomio, dubito che tu sia il solo a ricevere un tale spam / phish, a meno che per qualche (raro) motivo tu sia specificamente preso di mira. Ricevo email simili una volta al mese da un amico, la cui password webmail è stata compromessa (è interessante quando capita in una mailing list di sicurezza).

Guardando le intestazioni della posta, le intestazioni X-Spam-Status: No, score=-0.1 mostrano che tutto sulla posta è stato ben costruito, nessun contenuto appare come una spam, molto probabilmente un basso punteggio SPF sul server di posta mittente e i siti web a cui si fa riferimento non hanno precedente in termini di phishing o URL compromesso. Preso con i risultati di seguito, questo sembrerebbe indicare siti appena compromessi.

Ho anche controllato la reputazione dei due siti (lo faccio regolarmente in tali occasioni e informo i venditori e il CERT a> di tali siti, consiglierei di farlo). Ero solito fare volontariato in un CSIRT e tali notifiche sono inestimabili.

  1. kaosbolaclothing.com

  2. www.sidat.com.mx

Per esperienza, ho trovato lo strumento di ricerca Websense per essere il migliore, ma non ho più accedi lì.

Purtroppo non ho il tempo di guardare effettivamente i siti per vedere se cercano di sfruttare qualsiasi cosa, ma sarei interessato a sapere:)

    
risposta data 23.08.2012 - 11:05
fonte

Leggi altre domande sui tag

Disabilita Perl per alcuni / molti utenti Linux? Controllo di sicurezza online tramite riga di comando