Email hack tramite RDP

2

Qualcuno ha inviato una email dal mio account che mi sta facendo sembrare male. Sto cercando di determinare se qualcuno lo ha effettivamente fatto fisicamente dal mio computer o tramite RDP. Come c'è ragione di credere che avrebbe potuto essere fatto RDP anche se entrambi sono plausibili, ma in realtà farlo dal mio computer è meno plausibile ma non impossibile. Io dormo La mia domanda è se fosse fatto RDP c'è comunque per dimostrarlo o sembrerebbe che provenga da me indipendentemente?

    
posta Charles Sarver 20.07.2016 - 00:36
fonte

2 risposte

4

Non è necessario avere la password, l'RDP o l'accesso al tuo computer per inviare una tua email. SMTP è il protocollo utilizzato per inviare posta e questo protocollo non esegue alcun tipo di autenticazione. Dai un'occhiata al codice qui sotto dalla libreria nodemailer.js:

// setup e-mail data 
var mailOptions = {
    from: '"Charles Sarver" <[email protected]>', // sender address
    to: '[email protected]',  // list of receivers
    subject: 'I hate you', // Subject line
    text: 'My name is Charles Sarver and i do not like you', // plaintext body

};

transporter.sendMail(mailOptions, function(error, info){
    if(error){
        return console.log(error);
    }
    console.log('Message sent: ' + info.response);
});

Fonte: link

Come puoi vedere, con SMTP, puoi inviare un messaggio di posta elettronica e specificare l'indirizzo del mittente a qualsiasi indirizzo email perché SMTP non controlla l'autenticità del mittente. Posso inviare l'e-mail di cui sopra e direbbe che era da [email protected]. Un modo per verificare se questa e-mail è in realtà da te, è controllare le intestazioni delle e-mail. Nelle intestazioni specificherà un indirizzo IP di origine. Questo ti dirà da dove è stata inviata l'email. Usa il link qui sotto per vedere come è possibile visualizzare l'intestazione dell'e-mail. Se conosci qualcuno che ha ricevuto un'email da te che non hai inviato, chiedi loro di utilizzare questo: link

Dopo aver trovato l'intestazione, copialo e incollalo in questo strumento: link

Trova l'intestazione "X-Originating-IP". Dovrebbe esserci un numero in questo formato x.x.x.x.

Prendi il numero o l'indirizzo IP e incollalo in questo strumento: link

Questo ti darà una posizione approssimativa su dove è stata inviata l'email. Il falso mittente potrebbe anche usare un VPN o un proxy che potrebbe anche falsificare questo indirizzo IP.

Puoi utilizzare questo strumento per cercare il tuo indirizzo IP: link

Ma questo IP può cambiare a seconda di dove ti trovi e del tuo ISP

    
risposta data 20.07.2016 - 17:28
fonte
0

È anche possibile che sia stato eseguito con PowerShell o un'altra connessione di terminl che potrebbe inviare manualmente i comandi smtp a un server di posta elettronica configurato male. Dovresti essere in grado di dire dall'intestazione dell'email o dai registri del server, esattamente da dove proviene l'email. Se proviene dal tuo computer, stai cercando sessioni RDP o PowerShell collegate al tuo computer. Powershell avrebbe potuto essere impostato per ritardare, quindi stai cercando tutte le sessioni al momento o prima.

Ad ogni modo, direi che dovresti vedere se ci sono dei registri della sessione RDP. Dato che hai un tempo in cui è successo (dalle intestazioni delle e-mail), non dovrebbe essere difficile da localizzare. Se era PowerShell è più difficile, perché molti posti non sono PowerShell di logging, perché non si registra per impostazione predefinita, quindi non sanno che non lo registrano finché non ne hanno bisogno, e non c'è.

    
risposta data 20.07.2016 - 06:35
fonte

Leggi altre domande sui tag