La cuenta de Gmail fue hackeada: ¿para qué se usó?

Navega tus respuestas
4

Usamos Gmail para nuestro correo electrónico comercial, somos una pequeña empresa. Realizo la administración de correo para nuestro dominio, y un correo electrónico de Google me alertó recientemente de que la cuenta de un colega tenía algunos inicios de sesión sospechosos y fue suspendida.

Mirando el informe de auditoría de inicio de sesión para esta cuenta, puedo ver que hubo aproximadamente 27 inicios de sesión sospechosos en los últimos aprox. 3 meses, el primero de ellos el 28 de julio de 2015.

Sin saberlo, continuó usando la cuenta durante todo este período hasta que Google la suspendió ayer. Cambiamos la contraseña y habilitamos la autenticación de 2 factores (de hecho, la hemos hecho política de la compañía para todo el personal). Luego seguimos la lista de verificación de Google para administradores: enlace

He estado realizando búsquedas inversas (ping -a) en las direcciones IP de origen de los inicios de sesión sospechosos según lo registrado por GMail, y estoy obteniendo una variedad de dominios de nivel superior relacionados con el de alto nivel, por ejemplo. .ru, .pl, .ly, .kg, .kz, .mx, .ar, .eg, .br, .tr.

A mi parecer, en su mayoría son suscriptores de ISP residenciales con IP dinámicas mediante DSL o similar.

Recuerda que tuvo algunos problemas temporales para recibir correos electrónicos en el momento de los primeros inicios de sesión sospechosos, pero desde entonces no hemos notado ninguna otra actividad sospechosa obvia en su correo electrónico ni en ninguno de sus servicios en línea. Utiliza Outlook en una computadora portátil para acceder a GMail a través de POP3. No estamos seguros de qué vector se utilizó en esta etapa. Hizo algunos viajes dentro de Sudáfrica cuando comenzó, usando el wifi del hotel, pero nunca ha estado en ninguno de estos otros países.

Lo que me gustaría determinar es:

  1. Dado el patrón de acceso sospechoso, ¿cuál fue el mecanismo probable? P.ej. ¿fueron los inicios de sesión no autorizados de piratas informáticos individuales que compartían las credenciales de inicio de sesión de mi colega, o las IP de origen probablemente fueron usuarios que no sabían que tenían malware en su máquina enviando correo no deseado o similar?

  2. Dado que somos una empresa de software que creamos y administramos sitios web, pero no tenemos ninguna razón para creer que nuestra infraestructura de alojamiento de producción se haya visto comprometida, ¿qué otras medidas deberíamos tomar, si las hay?

pregunta Michael12345 13.10.2015 - 11:21
fuente

3 respuestas

3
  1. Sin embargo, esto es para responder, podría ser un solo atacante saltando a través de VPN o podría ser varios atacantes.
  2. Dependería de a qué información tuvo acceso la persona. Si hay un solo correo electrónico con otra contraseña, deberá revisar a qué cuenta y contraseña tuvieron acceso. Básicamente, sea lo que sea que su empleador usó ese correo electrónico y cuenta (por ejemplo, Github o Bitbucket) a los que los atacantes tendrán acceso. Así que revisé cuidadosamente el contenido de la casilla de correo electrónico y veré qué más podría estar comprometido.

También debe revisar cómo se comprometió la cuenta en primer lugar (reutilización de contraseñas, contraseñas débiles, contraseñas comunes, compromiso de una máquina local, ...). Porque lo más probable es que le dé una idea sobre dónde comenzar su investigación para ver qué otra cosa podría verse comprometida. Si aún no lo ha hecho, en mi opinión, todavía es demasiado pronto para decir que no han comprometido los sistemas de producción.

Un escenario plausible podría ser, por ejemplo, incluir código fuente malicioso o backdooring del compilador utilizado para crear los binarios que se ponen en producción.

    
respondido por el Lucas Kauffman 13.10.2015 - 11:34
fuente
4

Cualquiera que se incluya a sí mismo podría estar conectado a través de un servicio como TOR. A través de un servicio de este tipo, puede cambiar los nodos de salida para obtener una nueva IP y el país de origen. Teniendo en cuenta que olvídate de qué países provienen las conexiones. No significan nada. Es más importante establecer lo que ha sucedido completamente. Recuerde que tener acceso a gmail también significa acceso a la unidad y tal. ¿Has examinado todos los servicios que podrían haber sido comprometidos a través de google? Podría ser una imagen mucho más grande que gmail comprometida. Podría decirse que cambie un archivo que almacena en Drive con uno comprometido, se sincroniza con su computadora y usted lo ejecuta.

    
respondido por el David- 13.10.2015 - 16:55
fuente
2

  1. Una situación probable podría ser que solo un usuario malintencionado tuviera acceso a la cuenta, pero estaba usando algún mecanismo de enrutamiento para acceder a la cuenta (como tor o proxies).
    De esa forma, si el atacante es atrapado, tiene menos posibilidades de ser descubierto ya que está ocultando su dirección IP real. Google debe haber reportado los comportamientos sospechosos basados en los inicios de sesión porque esa es una práctica común para ocultar su rastreo.

  2. Puede suceder que el usuario malintencionado no sepa lo que hace su empresa, simplemente obtuvo las credenciales a través de algún plan de pesca no dirigido, o pirateando una base de datos de sitios web donde su colega había creado una cuenta con el mismo correo electrónico y contraseña, o por cualquier número de formas, y accedía a la cuenta de correo electrónico para encontrar si el usuario almacenaba otras credenciales (para otros sitios web, o incluso credenciales bancarias), o el usuario malintencionado podría usar la cuenta de correo electrónico para usarla como un spambot para envíe correos electrónicos con virus o planes de pesca.

respondido por el RageAgainstTheMachine 13.10.2015 - 17:50
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo manejar los puertos abiertos? Vulnerabilidades SHA1