Una agencia gubernamental le envió a nuestro administrador del sitio web un correo electrónico informando que nuestro sitio web había sido borrado

Es extremadamente fácil falsificar el correo electrónico. Si alguien fingió esto, no veo cómo la agencia lo sabría. La preocupación es que el enlace que te enviaron fue el ataque mismo. Por ejemplo, esto podría ser un CSRF ataque:

  

Con un poco de ayuda de ingeniería social ( como enviar un enlace a través de   correo electrónico ( o chat), un atacante puede engañar a los usuarios de una aplicación web   en la ejecución de acciones de elección del atacante.

Una sugerencia es ponerse en contacto con la oficina y averiguar si esto es algo que hacen. Solo porque el lenguaje parece correcto y dice que es del remitente correcto no significa nada. Ese es un enfoque común utilizado en los correos electrónicos de phishing.

Una tarea de CERT ( Equipo de respuesta ante emergencias ) consiste precisamente en vigilar los problemas de seguridad de los activos en su distrito electoral. .

En el caso de CERT nacionales como CERT-AU, a menudo les importa todo lo que se encuentra en su país, y si se les informa de cualquier problema, su tarea sería comunicarse con el propietario afectado para que pueda solucionar el problema. problema (como lo hicieron en este caso). También podrían haberle proporcionado algún consejo en caso de que lo haya necesitado para encontrar el problema.

Estos servicios son gratuitos para las personas (son una agencia gubernamental) y no le pedirán ningún tipo de pago por haberle notificado.

Una lista completa de los servicios CERT-AU está disponible en enlace

La forma de proporcionarle la url como hXXp: //domain.com [.] au / s.htm es bastante común al compartir urls maliciosas. El objetivo es que reciba la url (que necesitará para saber dónde se encuentra el contenido malicioso), pero al mismo tiempo minimice el riesgo de que pueda abrirlo inadvertidamente en el entorno equivocado o antes de leer el correo electrónico por completo ( Además, también ayuda a evitar los filtros de correo electrónico que eliminan los correos electrónicos que contienen direcciones URL maliciosas¹).

Hay muchas fuentes de las cuales pueden haber aprendido sobre este incidente:

• Un individuo les notificó
• Otra compañía de seguridad o CERT les notificó
• Apareció en alguna lista de sitios comprometidos a los que se suscribieron
• Apareció en algún foro de desfiguración que estaban viendo (como zone-h)
• Lo encontraron mientras realizaban alguna otra investigación

Entre los beneficios de enviar las notificaciones a través del CERT se encuentran:

• Cuando hay varios sitios comprometidos, es mucho más fácil notificar a una única entidad por país que a cada operador de sitio web¹
• El CERT a menudo tendrá algún procedimiento para volver a intentarlo en caso de que el administrador lo haya ignorado. Un tercero probablemente solo lo intentaría una vez.
• El CERT puede tener mejores contactos para enviar la notificación.
• Como parte neutral, es más probable que se le preste atención al CERT²
• Sin barrera de idioma: el CERT debería poder comunicarse con el propietario del sitio web en su lengua materna.
• El CERT contará con personal técnico capaz de comprender fácilmente el problema y explicarlo, si es necesario, al propietario del sitio web (que puede no tener ningún conocimiento).

Una lista de los CERT mundiales (tanto públicos como privados) está disponible en First: enlace

También se encuentra disponible una base de datos de CERT europeos y equipos de seguridad en Trusted Introducer .

¹ Por ejemplo, Google encuentra un montón de URL maliciosas todos los días que encuentra a través de su rastreo, en lugar de intentar informarlas directamente al propietario, las comparten con el CERT nacional correspondiente para que él pueda encargarse de la notificación. .

² Imagínate que esta pregunta es "un tipo aleatorio de una dirección de hotmail enviado a nuestro administrador ..."

A menos que te lo digan en la carta, no hay forma de saber cómo se les informó del ataque. Lo más probable es que alguien haya reportado un problema, ataque o prueba de algún tipo al CERT, y luego hayan podido rastrear el origen de la copia de seguridad a la dirección IP de su servidor.

Te recomiendo que al menos continúes tu investigación; Pero considere contratar a una empresa de seguridad. Hay mucho que hacer en esta etapa de un ataque, además de comprender lo que sucedió. Es posible que deba conservar la evidencia, que necesite recuperar sus sistemas, que deba proporcionar notificaciones de incumplimiento, que necesite que su clientela cambie sus contraseñas; todo tipo de actividad puede provenir de una brecha, y un profesional lo guiará a través de todo.

Sin ver los encabezados de los correos electrónicos, no hay manera de que estemos seguros, pero suena más probable que el aviso del correo electrónico fuera un phish, como dice Jimmy James en la página anterior. Mucho más fácil para el atacante que colocó el archivo allí, saberlo, y "informarlo" a usted "oficialmente" para que haga clic en él. CSRF suena como el intento más probable de continuar. El atacante no tiene forma de saber si la persona a la que lo enviaron no tenía credenciales en el sitio, pero como usted señaló, le enviaron el correo electrónico a usted, quien sí lo hizo. No decir que fue exitoso, pero la respuesta a "Cómo lo sabían" parece ser "No lo hicieron, y la notificación fue falsificada".

Esta sería una buena manera de Phish a alguien cuando podrías hackear su sitio "un poco".

Simplemente escriba un archivo benigno en su servidor, luego contáctelos y entable una conversación con su gobierno "Tech". En ese momento, si no era sospechoso, probablemente podrían pedirle que haga algo y usted simplemente lo haría.

Me doy cuenta de que no dijiste que te pidieron que los contactaras o algo, así que tal vez no, pero siempre me gusta errar por el lado de la paranoia.

¿Qué hace este sitio web? ¿Tiene cuentas o acepta tarjetas de crédito?

El archivo debe tomarse como una señal clara de que efectivamente ha sido comprometido. No conoce la extensión ni el vector de ataque, pero el archivo puede ser una "bandera" que un bot para buscar para determinar si el servidor todavía está comprometido.

Asegúrese de guardar copias de seguridad y conservar las marcas de fecha y hora, los registros del servidor web y las copias de seguridad. Regrese a su primera copia de seguridad y vea si el archivo está allí, también compare los contenidos del sitio con los contenidos esperados.

También busque en sus registros las solicitudes al archivo s.htm . Es posible que encuentre una red de bots que verifique ocasionalmente que las luces estén encendidas. Existe la posibilidad improbable de que pueda usar la información de IP que encuentra allí para buscar otro tráfico, lo que puede descubrir los pasos del ataque.

Mientras tanto, comuníquese con el remitente del correo electrónico; asegúrese de buscar su información de contacto de una fuente oficial y no del correo electrónico en sí. Recibí notificaciones similares de los proveedores de alojamiento, es posible que también estén analizando el archivo si se sabe que hay una máquina comprometida.

Realmente creo que es un ataque de phishing.

Sin embargo, también es posible que las agencias de CERT obtengan una lista de sitios pirateados a través de los espejos de desfiguración, como Zone-H . Pero no veo por qué lo harían.