Cómo rastrear quién inició una transferencia remota de archivos a través de TeamViewer si tengo un archivo de registro

Question

Cómo rastrear quién inició una transferencia remota de archivos a través de TeamViewer si tengo un archivo de registro

#1 de Tim X (1 votos)

3

Entré en mi oficina una hora después de una transferencia remota de archivos iniciada por un usuario desconocido. Lo deshabilité de inmediato y examiné los archivos que transfirieron, que incluyen un cheque en blanco con mi enrutamiento y mis números de cuenta, mi CV personal y algunos otros elementos, incluida mi carpeta de usuario de Chrome (¿espero que no haya ningún archivo de contraseña que puedan descifrar? !)

De todos modos acabo de abrir el log.txt y veo esto: 296361708 11-09-2013 02:35:35 11-09-2013 03:26:42 116 Filetransfer {9EC3C275-E1A6-4E8A-AF99-25CBE403D89D}

El 296361708 se parece a la ID de Teamviewer, pero ¿qué pasa con los números dentro de {}? ¿Esto me da alguna información identificable que pueda ayudarme a rastrear esto?

Desde que cambié mi contraseña de TV y habilité "Debo aprobar todas las solicitudes entrantes", pero me preocupa que descarguen mis archivos de Google Chrome Cache e Historial ... y, por supuesto, cheques en blanco y mi CV ... . junto con algunos archivos de base de datos que estaba editando en mi escritorio = / No estoy realmente seguro de qué hacer aquí. Gracias de antemano por cualquier información o consejo.

remote-desktop remote-server

pregunta Scot Smith 11.09.2013 - 05:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas remote-desktop remote-server

Adjuntar un nuevo dispositivo en Linux solo después de la contraseña Explotando problemas de corrupción de memoria usando un archivo DLL

score 1 · Answer 1

En primer lugar, si usó la función de guardar contraseña en Chrome, está en problemas. Esencialmente, Chrome no tiene seguridad ni la función de guardar contraseña. ¡Cambie inmediatamente todas sus contraseñas! Recomendaría también habilitar la autenticación de 2 factores en cualquier sitio que lo admita, por ejemplo, google, itunes, dropbox, etc.

No estoy seguro de cuál es el número en {}, la última parte podría ser una dirección MAC. Sin embargo, como es trivial falsificar tanto las direcciones MAC como las IP, es poco probable que pueda rastrear la fuente. Incluso si pudiera, lo más probable es que estén en un país diferente y tratar de hacer algo legalmente será casi imposible. Ciertamente, informe esto a su área de TI (si tiene una) y puede informar el incidente a la policía, pero no espere mucha acción. Por lo general, no cuentan con recursos suficientes o simplemente se sienten abrumados con estos casos para hacer mucho más que registrar el incidente para estadísticas, etc. (lo cual es importante para cosas como obtener más recursos).

También me preocuparía bastante la forma en que obtuvieron acceso inicial. Mientras los colas en el acto de descargar archivos, no puedes estar seguro de que no hayan hecho otras cosas o por cuánto tiempo han tenido acceso a tu sistema. En general, una vez que se ha comprometido un sistema, lo mejor que puede hacer es volver a crear una imagen y comenzar con un nuevo sistema conocido, aunque tenga cuidado al restaurar los datos de cualquier copia de seguridad que realice, ya que no sabe cuándo fue comprometido por primera vez y es posible que haya hecho una copia de seguridad de los archivos comprometidos, etc.

Para estar seguro, también debe informar el incidente a su banco. Es posible que puedan vigilar sus cuentas o pueden decidir cambiar los detalles de su cuenta, etc. Como también perdió una copia de su CV, tenga cuidado con cualquier señal de robo de identidad. Esto podría incluir contactos inusuales / inesperados de instituciones bancarias y otras instituciones financieras, transacciones desconocidas de bancos o tarjetas de crédito, etc. Una de las razones para informar sobre estos incidentes es asegurarse de que estén en el registro en caso de que tenga problemas de robo de identidad en una fecha posterior.