Verificación de la realidad: qué acciones se deben tomar si un intento de hackeo parece ser un falso positivo

5

Premisa:

Hace algún tiempo, un amigo mío creó una cuenta de correo basada en Microsoft (Live Id / Cuenta de Microsoft. Solo necesitaba el correo) para recibir algunos mensajes. La cuenta se creó y luego se dejó sin uso durante unos días. Más tarde, al acceder nuevamente a la cuenta aproximadamente una semana después, el sistema informó que la cuenta se suspendió porque se detectaron algunas actividades sospechosas. La página de seguridad de la cuenta informó un "intento de inicio de sesión exitoso" desde una dirección IP no reconocida unos 10 minutos después de la creación de la cuenta. La contraseña de la cuenta era bastante fuerte y no se compartió con ninguna otra cuenta, el nombre de la cuenta se eligió en el momento en que se creó la cuenta y no se podía conocer de manera razonable a otras personas, por lo que la única forma en que un tercero podría conocer la cuenta Las credenciales en menos de 10 minutos desde la creación de la cuenta que se me ocurrieron fue un keylogger o un malware espía similar en la máquina.

En este punto mi amigo me contactó para pedir ayuda. Inmediatamente busqué indicios de una infección u otro compromiso del sistema, pero no pude encontrar ningún signo de infección en la máquina, una computadora basada en IMac / Osx. No hay una aplicación rogue visible, la configuración del enrutador parece estar bien (también probé algunas herramientas en línea como F-Secure Router Checker para comprobar si había algún rastro de un secuestro dns palanca de enrutador). Entonces me di cuenta de que la "IP desconocida" que se informó que supuestamente accedió al correo era 65.55.52.40, una IP que pertenece a Microsoft. Si se comunica con el servicio de asistencia técnica no se obtiene ningún resultado (no es de extrañar): algunos de los empleados parecieron insinuar que el sistema podría, en algún momento, provocar falsos positivos originados en scripts de mantenimiento internos, pero no se encontró documentación oficial sobre el problema.

Por lo tanto, larga historia corta: Microsoft informa que alguien usó las credenciales correctas para acceder a la cuenta, el acceso está fechado solo < 10minutos después de la creación de la cuenta, por lo que no hay tiempo para aplicar la fuerza bruta a la cuenta. O bien supongo que hay algún tipo de software espía en la máquina de mi amigo y sugiero una limpieza completa O le digo que probablemente fue un falso positivo (la dirección IP propiedad de Microsoft parece sugerirlo) y que probablemente debería ignorarlo.

Ahora me pregunto cuáles serían las mejores acciones en este caso.

NOTA LATERAL: Técnicamente, un pirata informático que acceda a la cuenta podría falsificar fácilmente su IP para que aparezca como propiedad de Microsoft para tratar de ocultar su actividad. Pero me pregunto si tal técnica realmente podría funcionar: tal comportamiento sería equivalente a intentar engañar a un banco para que le brinde acceso a la cuenta de otra persona mientras les presenta una tarjeta de identificación falsa con el nombre del empleado que se encuentra delante de usted. Es ... espero que al menos un poco sospechoso de Microsoft al recibir una solicitud a través de Internet desde una PC remota que diga ser una máquina en su propia red ...

    
pregunta user145772 14.04.2017 - 13:03
fuente

1 respuesta

1

Como prueba de un compromiso exitoso ha sido citado, mi sugerencia sería aislar la computadora de la red y observar su comportamiento (es decir, el tráfico de la red). La información obtenida de esto podría arrojar algo de luz sobre cómo se realizó el compromiso y, por lo tanto, cómo evitarlo en el futuro.

Después de este paso, se debe borrar la computadora, realizar las actualizaciones y cambiar todas las contraseñas y credenciales de las cuentas de usuario.

Para enfatizar en postulaciones anteriores: el hecho de que Microsoft esté involucrada directa o indirectamente en un compromiso es irrelevante aquí; un sistema de Microsoft podría ser pirateado, y un software proxy o VPN instalado en él para cubrir pistas ... Después de todo, nadie en Microsoft querría admitir un ataque tan vergonzoso; Ellos lo cubrirían.

  

Ahora me pregunto cuáles serían las mejores acciones en este caso

Como mínimo, para citar lo que escribí anteriormente, "la computadora debe borrarse, las actualizaciones deben realizarse y se deben cambiar todas las contraseñas y credenciales de las cuentas de usuario". Esto no arrojará información sobre cómo se realizó el compromiso, pero esa visión podría no ser necesaria. Tiendo a ser curioso acerca de este tipo de cosas, por lo que es probable que realice algunas investigaciones antes de esa fase de restauración del sistema y, según mi experiencia, generalmente hay una botnet para observar y una leader repite el mismo ataque contra varias personas en el futuro.

EDITAR: El siguiente fue el resultado de una mala interpretación de la pregunta, y no responde a la pregunta, pero presenta un buen consejo, así que lo dejo, con secciones no válidas tachado de esta manera .

Es una buena práctica cambiar la contraseña cada pocos meses. La cuenta solo se creó recientemente, y no hay motivos razonables para sospechar que se conoce la contraseña .

  

Hace algún tiempo, un amigo mío creó una cuenta de correo basada en Microsoft (Live Id / Cuenta de Microsoft. Solo necesitaba el correo) para recibir algunos mensajes. ... Todo parece apuntar a un keylogger o una infección similar en el cliente utilizado para crear la cuenta.

Parece una locura asumir que la única persona que sabía sobre la dirección de correo electrónico era el cliente, ¿no es así? Después de todo, el cliente estaba "recibiendo algunos mensajes".

Además, si el cliente está bloqueado, parece una locura asumir que los hackers necesitan fuerza bruta; si tienen sus pulsaciones de teclas, pueden ... volver a reproducir su contraseña.

Quizás el remitente quiso abrir la cuenta pero no quiere que haya ninguna evidencia y, por lo tanto, cubrir las pistas, usó un sistema Microsoft irrelevante (la IP que mencionó).

También hay emociones para considerar. Supongamos que el remitente cree que receptor se volverá paranoico, y para desencadenar la paranoia simplemente inserta el correo electrónico en una página de phishing con una contraseña falsa. Sí, gente a menudo son extremadamente vulnerables a hacking emocional .

Si el remitente / hacker / lo que sea interno a Microsoft o no, este detalle no es importante para la pregunta. No obstante, es posible que el sistema de Microsoft haya sido infiltrado por un empleado de Microsoft que se hace pasar por un pirata informático ruso a través de Tor, , que luego se usó para albergar un sitio de phishing que más tarde usó sender para provocar ansiedad lo que significa que la culpa se comparte entre los atacantes two (edición: múltiples), y el personal de servicio con el que hablaste no quiere meterse en problemas por tal un estúpido (edit: un vergonzoso) ataque implícitamente es un tercero ; ¿Qué tan profundo puede ir el agujero de conejo? No es importante.

No, la computadora no debe borrarse a menos que haya evidencia concluyente de que estaba comprometida. En este caso, no parece haber tal evidencia concluyente (o incluso evidencia levemente sugestiva ), por lo que incluso cambiar la contraseña de la bandeja de entrada parece innecesario.

  

Ahora me pregunto cuáles serían las mejores acciones en este caso

(Editar: ver sugerencia en la parte superior de la publicación)

No obstante, cambiar su contraseña cada pocos meses es una buena práctica de seguridad. Quizás hacer un memo para cambiar la contraseña en unos pocos meses sea el curso de acción más apropiado aquí :)

    
respondido por el autistic 15.04.2017 - 20:37
fuente

Lea otras preguntas en las etiquetas