¿Cómo un pirata informático envía correos electrónicos no deseados de Gmail con dos factores activados?

3

Recientemente tuvimos un incidente en el que se habilitó la autenticación de dos factores en una cuenta de Gmail, pero la cuenta estaba enviando mensajes de spam. La actividad de inicio de sesión del dispositivo no muestra dispositivos anormales que accedan a la cuenta. ¿Es correcto suponer que hay una pieza de malware en una de las Mac que accede a la cuenta?

¿Cuál es la mejor manera de buscar de manera forense la forma en que el malware ingresó a la máquina? ¿Qué archivos de registro debo verificar para ubicar el punto de ingreso?

Todas las ideas son bienvenidas.

    
pregunta MTC40 29.03.2016 - 19:16
fuente

2 respuestas

4

Estoy reaccionando a tu comentario:

  

El mensaje no está en la carpeta enviada. La dirección de origen es la dirección de la cuenta. No estoy seguro de cómo se falsificaría esto.

Creo que acabas de responder a tu propia pregunta: el "pirata informático" nunca tuvo acceso a tu cuenta, solo enviaron un correo electrónico y pusieron tu dirección de correo electrónico en el campo From: en el encabezado. Es como enviar una carta y escribir la dirección de otra persona en la sección Return Address . No hay magia en ello. Consulte wikipedia / Email_spoofing para obtener más información.

la línea de encabezado From: es solo texto. Los clientes de correo electrónico de línea de comandos como sendmail le permiten configurar esto cuando envía un correo electrónico. Abra su terminal de linux favorito e intente escribir:

sendmail -f [email protected] [email protected] < email_contents.txt

y BAM! ¡acaba de falsificar un correo electrónico a su amigo!

P.S. Otra forma de comprobar si el pirata informático realmente entró en su cuenta es mirar el correo electrónico en el Gmail de la persona que lo recibe, abrir los detalles del correo electrónico y ver si se ve así:

Si solo fue una falsificación barata, no habrá cifrado y no estará firmado por gmail.com . Si fue firmado por gmail.com , entonces tus temores están justificados.

    
respondido por el Mike Ounsworth 29.03.2016 - 22:32
fuente
0

Por lo general, con Google 2FA (y otros sistemas similares) existe el concepto de un sistema "confiable" y cuando se autentica con 2FA, le permite acceder al sistema luego con una contraseña de caché del navegador o volviendo a introducir su contraseña.

Google tiene algunos controles adicionales, que no creo que se detallan públicamente, para ver si la credencial se ha movido, lo que podría desencadenar otra solicitud para el token 2FA, además, se puede solicitar nuevamente después de un período de tiempo .

Por lo tanto, el malware que ha comprometido el sistema podría acceder a la cuenta y enviar correo como usuario, así que sí, esto puede ser la causa de su problema.

Otra posibilidad sería simplemente falsificar la dirección de correo electrónico, es decir, la cuenta / el dispositivo no se ha comprometido en absoluto, alguien está usando la dirección como "de" en el correo no deseado.

Más información sobre lo que te hace pensar que era necesario comprometer la cuenta para saber cuál es la más probable.

    
respondido por el A_Learner 29.03.2016 - 19:22
fuente

Lea otras preguntas en las etiquetas