Come fa un hacker a inviare email di spam da Gmail con due fattori attivati?

3

Recentemente abbiamo avuto un incidente in cui l'autenticazione a due fattori era abilitata su un account Gmail ma l'account stava inviando messaggi spam. L'attività di accesso al dispositivo non mostra dispositivi anomali che accedono all'account. È corretto presumere che ci sia un pezzo di malware su uno dei Mac che accede all'account?

Qual è il modo migliore per cercare in modo forense il modo in cui il malware è entrato nella macchina? Quali file di registro dovrei controllare per individuare il punto di ingresso?

Tutte le idee sono benvenute.

    
posta MTC40 29.03.2016 - 19:16
fonte

2 risposte

4

Sto rispondendo al tuo commento:

Message aren't in the sent folder. The from address is the address of the account. Not sure how this would be spoofed.

Penso che tu abbia appena risposto alla tua stessa domanda: l'hacker non ha mai avuto accesso al tuo account, hanno appena inviato un'email e inserito il tuo indirizzo email nel campo From: nell'intestazione. È come inviare una lettera e scrivere l'indirizzo di qualcun altro nella sezione Return Address . Non c'è magia ad esso. Vedi wikipedia / Email_spoofing per ulteriori informazioni.

la riga di intestazione From: è solo testo. I client di posta elettronica da riga di comando come sendmail ti consentono di impostarlo quando invii un'email. Apri il tuo terminale Linux preferito e prova a digitare:

sendmail -f [email protected] [email protected] < email_contents.txt

e BAM! hai appena falsificato un'email con il tuo amico!

P.S. Un altro modo per verificare se l'hacker è davvero entrato nel tuo account è quello di guardare l'e-mail nel Gmail della persona che riceve, aprire i dettagli della e-mail e vedere se si presenta così:

Se si trattava solo di una parodia a basso costo, non ci sarà alcuna crittografia e non sarà firmato da gmail.com . Se è stato firmato da gmail.com , le tue paure sono giustificate.

    
risposta data 29.03.2016 - 22:32
fonte
0

Di solito con Google 2FA (e altri sistemi simili) esiste il concetto di un sistema "fidato" e quando ti sei autenticato una volta utilizzando 2FA, ti consente di accedere al sistema dopo di che con una password memorizzata nella cache del browser o reinserendo la password.

Google ha alcuni controlli aggiuntivi, che non credo pubblicizzino pubblicamente, per vedere se le credenziali sono state spostate, il che potrebbe far scattare un'altra richiesta per il token 2FA, inoltre potrebbe essere richiesto di nuovo dopo un periodo di tempo .

Quindi il malware che ha compromesso il sistema sarebbe in grado di accedere all'account e inviare la posta come utente, quindi sì, questa potrebbe essere una delle cause del tuo problema.

Un'altra possibilità sarebbe solo lo spoofing dell'indirizzo e-mail, ovvero l'account / dispositivo non è stato affatto compromesso, qualcuno sta semplicemente usando l'indirizzo come "da" nella posta spam.

Sarebbero necessarie ulteriori informazioni su ciò che ti fa pensare che fosse un compromesso dell'account per capire quale è più probabile.

    
risposta data 29.03.2016 - 19:22
fonte

Leggi altre domande sui tag