Durante los últimos 2 días, +/- cada 15 minutos, alguien está intentando iniciar sesión en mi cuenta de correo electrónico en línea. Cuando verifico la actividad reciente, la dirección IP (y el país correspondiente) es diferente para cada intento. Supongo que es la misma persona (bot) que intenta iniciar sesión desde la misma ubicación geográfica.
¿Cómo se las arregla el hacker para falsificar una dirección IP diferente? (¿Está utilizando un software de anonimato como TOR?)
TOR, VPN, bots, proxies, lo que sea ... La IP de origen no es "falsificada" por sí misma ... es el verdadero negocio. Si alguien realmente suplantaba una IP de origen, no podía establecer una conexión TCP ni recibir ninguna respuesta. El método de suplantación de IP de origen es más útil sobre UDP cuando se lanza un ataque de amplificación a una IP de víctima / falsificada.
"Analysis":
El hecho de que se realizaron intentos de inicio de sesión reales, le dice que el atacante pudo configurar las conexiones al servidor de correo.
Dado que, para recibir información a través de Internet, debe tener el control de la dirección IP que está utilizando, esto no puede ser un caso de falsificación de direcciones. (Los atacantes pueden enviarle información utilizando direcciones falsificadas, como lo menciona YaRi, pero las respuestas se desviarán del atacante. Por lo tanto, no sería posible una comunicación bidireccional).
Conclusion:
Esto te deja con dos posibilidades:
1 es mucho más probable, pero 2 no se puede descartar descartado de la información proporcionada.
VPN, SOCKS o HTTP Proxies, Tor o incluso las botnets no son más que diferentes tipos de sistemas de proxy desde un punto de vista conceptual. Operan en diferentes capas de Internet (VPN muy baja para redes superpuestas como Tor muy alta) pero todas realizan el reenvío de tráfico de una forma u otra.
Mitigation:
Si tiene el control del servidor de correo, puede bloquear los relés conocidos públicamente (por ejemplo, los nodos de salida de Tor). Otra opción es realizar un seguimiento de los dispositivos utilizados para acceder al servidor de correo o la geolocalización de las direcciones IP, para requerir una autenticación extendida al acceder con un dispositivo nuevo o desde una nueva ubicación.
Las medidas indicadas anteriormente probablemente no valgan la pena, a menos que esté ejecutando un servicio algo mayor. La mejor medida de lo contrario, junto con mantener el sistema actualizado, es usar una contraseña segura.
Puede ser una Botnet con muchas computadoras diferentes en diferentes países.
Tiene la ventaja (para el pirata informático) de que es casi imposible de bloquear para usted (o su proveedor de correo) porque no hay IP que pueda ser bloqueada.
No te conozco a ti, ni a tu cuenta de correo, pero si es una cuenta normal sin información importante, existe una gran posibilidad de que solo sea una red de bots normal que intenta obtener acceso a la mayor cantidad de cuentas posible.
Lea otras preguntas en las etiquetas email ip-spoofing tor