Sono nuovo in questo forum, quindi scuse in anticipo se questa domanda non sembra rientrare nel suo ambito o se sembra troppo lunga:
In due occasioni nelle ultime 3 settimane circa, un hacker ha ottenuto l'accesso remoto al mio laptop (PC con Windows 10), come evidenziato dal movimento del cursore del mouse. In entrambe le occasioni, ero collegato alla rete WiFi della mia università e spegnevo rapidamente il computer non appena ho visto cosa stava succedendo.
Nella prima occasione, stavo negando, supponendo che il movimento del cursore fosse dovuto a un malfunzionamento del touchpad. La seconda volta, il movimento del cursore appariva molto deciso e umano; Sono sicuro che il mio computer sia stato accesso da remoto.
Da allora, ho usato questo laptop solo offline. Mi sto preparando a fare un'installazione pulita del sistema operativo. Prima di quel punto, tuttavia, sto cercando di trovare prove che confermino il mio primo sospetto che il mio computer sia stato acceduto tramite il server RealVNC su cui ho eseguito l'esecuzione. Ciò presuppone che qualcuno sia stato in grado di identificare la mia password attraverso la forza bruta.
La cosa imbarazzante è che mi manca la prova che questo era il mezzo di accesso. Di solito, le connessioni del server VNC dovrebbero richiedere una notifica sullo schermo, che non ho mai visto. Inoltre, non riesco a trovare prove delle connessioni VNC se cerco nel registro eventi le date / orari in cui ho notato il movimento del cursore. Quindi, ora mi chiedo se (a) l'hacker abbia soppresso la registrazione / notifica, o (b) il mio laptop sia stato acceduto in qualche altro modo.
Ci sono altre tre informazioni che potrebbero essere utili:
(1) Se guardo nel registro eventi alla data / ora del primo incidente, posso trovare un accesso di tipo 3, con ID di sicurezza "ANONYMOUS LOGIN", ID di sicurezza "NULL SID", un processo di accesso di "NtLmSsp" e spazi vuoti o 0 in tutti i campi che forniscono informazioni sull'origine (nessun nome Workstation, nessun indirizzo IP, ecc.). Questo è coerente con un login VNC basato sul web o qualcos'altro?
(2) In entrambi i casi ho notato il movimento del cursore mentre stavo usando Chrome. Forse solo una coincidenza.
(3) Ho eseguito scansioni complete con Symantec e MalwareBytes; nessuno dei due ha rilevato nulla.
Sembra che comprendere la causa di questi incidenti sarà importante per impedire che si ripetano. Come detto sopra, ho intenzione di reinstallare il sistema operativo, e dal momento che non ho necessità future per VNC Server, non lo reinstallerò. Ho anche cambiato le password rilevanti. Ma non sono sicuro che sarà sufficiente.
Grazie in anticipo per il tuo tempo.