Premisa:
Hace algún tiempo, un amigo mío creó una cuenta de correo basada en Microsoft (Live Id / Cuenta de Microsoft. Solo necesitaba el correo) para recibir algunos mensajes. La cuenta se creó y luego se dejó sin uso durante unos días. Más tarde, al acceder nuevamente a la cuenta aproximadamente una semana después, el sistema informó que la cuenta se suspendió porque se detectaron algunas actividades sospechosas. La página de seguridad de la cuenta informó un "intento de inicio de sesión exitoso" desde una dirección IP no reconocida unos 10 minutos después de la creación de la cuenta. La contraseña de la cuenta era bastante fuerte y no se compartió con ninguna otra cuenta, el nombre de la cuenta se eligió en el momento en que se creó la cuenta y no se podía conocer de manera razonable a otras personas, por lo que la única forma en que un tercero podría conocer la cuenta Las credenciales en menos de 10 minutos desde la creación de la cuenta que se me ocurrieron fue un keylogger o un malware espía similar en la máquina.
En este punto mi amigo me contactó para pedir ayuda. Inmediatamente busqué indicios de una infección u otro compromiso del sistema, pero no pude encontrar ningún signo de infección en la máquina, una computadora basada en IMac / Osx. No hay una aplicación rogue visible, la configuración del enrutador parece estar bien (también probé algunas herramientas en línea como F-Secure Router Checker para comprobar si había algún rastro de un secuestro dns palanca de enrutador). Entonces me di cuenta de que la "IP desconocida" que se informó que supuestamente accedió al correo era 65.55.52.40, una IP que pertenece a Microsoft. Si se comunica con el servicio de asistencia técnica no se obtiene ningún resultado (no es de extrañar): algunos de los empleados parecieron insinuar que el sistema podría, en algún momento, provocar falsos positivos originados en scripts de mantenimiento internos, pero no se encontró documentación oficial sobre el problema.
Por lo tanto, larga historia corta: Microsoft informa que alguien usó las credenciales correctas para acceder a la cuenta, el acceso está fechado solo < 10minutos después de la creación de la cuenta, por lo que no hay tiempo para aplicar la fuerza bruta a la cuenta. O bien supongo que hay algún tipo de software espía en la máquina de mi amigo y sugiero una limpieza completa O le digo que probablemente fue un falso positivo (la dirección IP propiedad de Microsoft parece sugerirlo) y que probablemente debería ignorarlo.
Ahora me pregunto cuáles serían las mejores acciones en este caso.
NOTA LATERAL: Técnicamente, un pirata informático que acceda a la cuenta podría falsificar fácilmente su IP para que aparezca como propiedad de Microsoft para tratar de ocultar su actividad. Pero me pregunto si tal técnica realmente podría funcionar: tal comportamiento sería equivalente a intentar engañar a un banco para que le brinde acceso a la cuenta de otra persona mientras les presenta una tarjeta de identificación falsa con el nombre del empleado que se encuentra delante de usted. Es ... espero que al menos un poco sospechoso de Microsoft al recibir una solicitud a través de Internet desde una PC remota que diga ser una máquina en su propia red ...