L'utente ha accesso al link di phishing ma non ha fornito le credenziali ma è stato violato?

1

Uno dei miei colleghi ha ricevuto un'email di phishing in cui ha fatto clic su un link. Il dominio (www.phishing-link.biz) è stato reindirizzato ad adfx.xxx.edu che assomiglia alla pagina di autenticazione di adfs.

Il collega ha ribadito che non ha fornito il suo nome utente e le credenziali, ma ha chiuso immediatamente la finestra. Ma dopo diverse ore più tardi il suo account è stato compromesso e un'enorme quantità di e-mail di spam stava uscendo.

Senza fornire alcuna informazione, c'è un modo in cui gli hacker ottengono le informazioni (come il dirottamento di sessione). Dal livello host, come possiamo vedere che l'utente non ha fornito le credenziali. C'è qualche strumento che può aiutarmi a ottenere informazioni?

    
posta MS Guy 22.01.2018 - 14:54
fonte

1 risposta

3

Vedo che il sito è ora sospeso da hostmonster. Supponendo che non abbia fornito credenziali consapevolmente o inconsapevolmente, qui ci sono alcune possibilità, se l'e-mail di phishing è stata collegata all'account compromesso.

1. Contenuto degli appunti rubato

La pagina dannosa potrebbe contenere dati degli appunti rubati .

2. Script dannosi

Il link dannoso reindirizza l'utente a una pagina edu, ma tra il reindirizzamento potrebbero esserci molte altre pagine reindirizzate. Ho visto alcuni buoni esempi che attraversano diverse pagine php lato server (a parte il codice lato client dall'esempio precedente) ed è trasparente ad occhio nudo. Gli script potrebbero inviare e-mail senza finestre di dialogo del client di posta elettronica.

Anche il malware poteva essere scaricato, questo potrebbe aver compromesso il fatto che la macchina fosse un server di inoltro aperto.

3. Plug-in / estensione dannoso installato

Nell'autenticazione di base, le credenziali vengono inviate tramite HTTP POST, accessibile tramite gli strumenti di sviluppo del browser. Un plugin dannoso può sfruttarlo.

Detto questo, è utile capire come sono state inviate le e-mail di spam, sia attraverso la posta web (quindi sappiamo che riguarda la sicurezza Web) sia in base al client (quindi sappiamo che è legata alla sicurezza dell'host e della rete). Ogni traccia avrebbe più possibilità a parte.

In termini di strumenti che possono aiutarti, perché non controlli i dati in uscita sull'host malevolo, se disponi dei log: registri proxy, netflow, acquisizione di pacchetti, ecc. Quelli dipingerebbero una buona immagine di ciò che è stato filtrato.

    
risposta data 22.01.2018 - 15:54
fonte

Leggi altre domande sui tag