Yahoo Email compromessa ma nessuna attività sospetta

Naviga le tue risposte
3

Un giorno fa ho notato un sacco di email [email protected] nella mia casella di posta di Yahoo. Ho controllato la mia cartella inviata e sembra che qualcuno abbia inviato e-mail a tutti i miei contatti nella mia rubrica con il seguente URL nel corpo (non visitare) 

asalchemi.com/uqysife.php

Questo è un indirizzo e-mail che non uso frequentemente (controllo una volta ogni due settimane), quindi sono andato alla mia attività recente che mostra i dispositivi e gli IP connessi negli ultimi 30 giorni, ma non c'è nulla di sospetto lì - Sono tutti IP che riconosco.

Non uso un client di posta, come Outlook o Thunderbird, solo la posta di Yahoo nel browser e su iPhone.

La mia domanda è ... com'è che senza l'attività recente l'hacker ha inviato un'email senza attivare alcuna attività recente?

    
posta Andrew 29.08.2016 - 22:56
fonte

2 risposte

2

Suppongo che tu abbia dato il permesso ad alcune App di leggere i contatti / inviare email tramite Yahoo OAuth . Voglio dire, hai cantato in qualche sito web / applicazione usando le credenziali di Yahoo tramite Yahoo .

Quindi, usando semplicemente il token di accesso che è stato creato in quel momento hai dato le autorizzazioni, è possibile inviare e-mail a tutti i tuoi contatti usando l'API di Yahoo.

In questo caso l'App non ha bisogno di accedere con le tue credenziali. Il token ccess sarà sufficiente.

Se questo è il caso, puoi correggerlo rimuovendo le autorizzazioni in quella app.

    
risposta data 30.08.2016 - 06:09
fonte
1

I checked my sent folder, and it appears that someone sent emails to all my contacts in my contact books ... I went to my recent activity which shows devices and IPs that have connected in the past 30 days, but there is nothing suspicious there - they're all IPs I recognize.

La visualizzazione di tali e-mail nella cartella inviata mostra che hanno accesso al tuo account.

  • Meno probabile: una vulnerabilità irrisolta nel sistema del provider di posta come CSRF o XSS.

  • Possibile: la "Attività recente" del tuo provider di posta potrebbe essere incompleta / potrebbe non coprire tutti i possibili endpoint della loro applicazione web. (API, SMTP diretto, IMAP, richieste AJAX specifiche)

    In questo caso, un utente malintenzionato potrebbe attaccare il tuo account in remoto solo con una password rubata (ad es. il phishing) e i tuoi dispositivi potrebbero essere abbastanza puliti.

  • Hai malware su uno dei tuoi dispositivi.

Dato un provider di posta di queste dimensioni, sospetto che sia il caso.

  1. Modifica la password immediatamente. Questo potrebbe facilmente essere nelle mani degli attaccanti anche se l'attacco è originato dal tuo dispositivo.

  2. Cerca di determinare da quale dispositivo è stato originato l'attacco. Mi aspetto che i computer tradizionali siano un vettore di attacco più probabile di un telefono o tablet, ma uno è possibile.

  3. Adottare le contromisure appropriate per pulire i dispositivi sospetti

    • Su un sistema operativo più containerizzato come Android, Chromebook (e probabilmente iPhone / iPad), puoi semplicemente rimuovere l'app.

    • Se il malware è stato installato su un sistema operativo classico (Windows o Mac), è necessario pulire il sistema operativo.

      È possibile che il software Anti-Virus abbia questo particolare malware nel suo database, e sarà in grado di rimuoverlo abbastanza comodamente.

      Vorrei comunque consigliare un passaggio completo in modo da sapere che sei stato accurato.

Mentre alcuni malware agiscono non appena vengono installati e possono essere facilmente trovati nei tuoi download recenti; altri malware rimangono inattivi per un periodo di tempo prima di agire. (in primo luogo raccoglie i numeri delle carte di credito e in seguito mostra gli annunci popup) Tali ritardi incorporati renderebbero più difficile capire come hai ottenuto il malware in primo luogo.

    
risposta data 30.08.2016 - 01:17
fonte

Leggi altre domande sui tag

Come creare token utente e dove archiviarlo (lato server) Il contenuto utente non può essere restituito 403 vietato?