Email hacks a través de RDP

2

Alguien ha enviado un correo electrónico desde mi cuenta que me está haciendo quedar mal. Estoy tratando de determinar si alguien lo hizo físicamente desde mi computadora o mediante RDP. Como hay razones para creer que se pudo haber hecho RDP, aunque ambos son plausibles, pero hacerlo desde mi computadora es menos plausible pero no imposible. Yo duermo Mi pregunta es si se hizo RDP. ¿Hay alguna forma de probarlo o parece que vino de mi parte?

    
pregunta Charles Sarver 20.07.2016 - 00:36
fuente

2 respuestas

4

No necesita tener la contraseña, RDP o acceso a su computadora para enviar un correo electrónico de usted. SMTP es el protocolo utilizado para enviar correo y este protocolo no realiza ningún tipo de autenticación. Eche un vistazo al código de abajo de la biblioteca nodemailer.js:

// setup e-mail data 
var mailOptions = {
    from: '"Charles Sarver" <[email protected]>', // sender address
    to: '[email protected]',  // list of receivers
    subject: 'I hate you', // Subject line
    text: 'My name is Charles Sarver and i do not like you', // plaintext body

};

transporter.sendMail(mailOptions, function(error, info){
    if(error){
        return console.log(error);
    }
    console.log('Message sent: ' + info.response);
});

Fuente: enlace

Como puede ver, con SMTP, puede enviar un correo electrónico y especificar la dirección del remitente a cualquier correo electrónico porque SMTP no verifica la autenticidad del remitente. Puedo enviar el correo electrónico arriba y diría que fue de [email protected]. Una forma de verificar si este correo electrónico proviene realmente de usted es verificando los encabezados de los correos electrónicos. En los encabezados se especificará una dirección IP de origen. Esto le dirá desde dónde se envió el correo electrónico. Use el enlace a continuación para ver cómo puede ver el encabezado del correo electrónico. Si conoce a alguien que recibió un correo electrónico suyo que no envió, pídale que lo use: enlace

Después de encontrar el encabezado, cópielo y péguelo en esta herramienta: enlace

Busque el encabezado "X-Originating-IP". Debe haber un número en este formato x.x.x.x.

Tome ese número o dirección IP y péguelo en esta herramienta: enlace

Esto le dará una ubicación aproximada de dónde se envió el correo electrónico. El remitente falso también podría estar usando una VPN o un proxy que también podría falsificar esta dirección IP.

Puede utilizar esta herramienta para buscar su propia dirección IP: enlace

Pero esta IP puede cambiar según el lugar donde se encuentre y su ISP

    
respondido por el nd510 20.07.2016 - 17:28
fuente
0

También es posible que se haya hecho con powershell u otra conexión de terminal que pudiera enviar manualmente comandos smtp a un servidor de correo electrónico mal configurado. Debería poder saber desde el encabezado del correo electrónico, o los registros del servidor, exactamente de dónde proviene el correo electrónico. Si proviene de su máquina, está buscando sesiones RDP o powershell conectadas a su máquina. Powershell podría haberse configurado para retrasar, por lo que está buscando todas las sesiones en ese momento o antes.

De todos modos, diría que debería ver si hay registros de la sesión de RDP. Ya que tiene un momento en que sucedió (desde los encabezados del correo electrónico), no debería ser difícil localizarlo. Si fue PowerShell, es más difícil, porque muchos lugares no registran PowerHell, porque no se registra de forma predeterminada, por lo que no saben que no lo están registrando hasta que lo necesitan, y no está allí.

    
respondido por el root1657 20.07.2016 - 06:35
fuente

Lea otras preguntas en las etiquetas