¿Cómo se usó mi cuenta de correo electrónico de Yahoo para enviar spams?

13

Mi cuenta de correo electrónico yahoo estaba enviando mensajes de spam a las 6:42 pm EDT (los mensajes de spam muestran 3:42 pm PDT) ayer. Me di cuenta de que al recibir varios correos electrónicos de "Aviso de falla", Yahoo no pudo enviar los mensajes de spam a algunas de las direcciones deseadas.

Por más que me gustaría saber cómo evitar que ocurra algo así, me gustaría entender cómo los correos electrónicos de spam fueron posiblemente enviados desde mi cuenta de correo electrónico. ¿Es posible que otra persona haya accedido a mi cuenta para usarla para enviar correos no deseados?

  1. Supongamos que realmente no se registraron ni enviaron correos electrónicos desde mi cuenta,

    • Me pregunto cómo también se almacenaron los spam en mi carpeta "Enviados".

    • También verifiqué " Actividad de inicio de sesión reciente " de mi cuenta de yahoo, pero todas las ubicaciones registradas y direcciones IP desde las 4:47 pm del día anterior ayer hasta tarde ayer por la noche son mías. Me pregunto cómo es posible que alguien más haya accedido a mi cuenta para usarla para enviar correos no deseados.

  2. Supongamos que realmente iniciaron sesión y enviaron correos electrónicos no deseados desde mi cuenta.

    Me pregunto cómo podrían manejarlo, dado que yo había tomado los siguientes pasos antes de que ocurriera el spamming.

    • Mi contraseña original ( p+N4th@y8yUcer4pr6HeyE2ewa2Ebu!e ) era realmente larga, 32 caracteres con mayúscula y Letras pequeñas, números y otros tipos de caracteres, generados por Algún generador de contraseñas aleatorias en línea. Además, no he compartido mi contraseña con ningún otro sitio web o persona Es una contraseña posible ¿adivinar?

    • Mi sistema operativo ya ha sido Ubuntu 12.04.

      Mi navegador ha sido Firefox 13.0. Hay algunas extensiones de Firefox (resumen, DownloadHelper, DownThemAll!, FlashGot, integración de la barra de menú global, traductor de Google, Greasemonkey, Mason, administrador de sesión, modificaciones de Ubuntu Firefox) > (Adobe Reader, DivX Web Player, Google Talk Plugin, Google Talk Plugin Video Accelerator, iTunes Application Detector, QuickTime Plug-in, Shockwave Flash, VLC Multimedia login, Windows Media Player Plug-in) y scripts de usuario (Google Book Downloader, Búsqueda de Google - Eliminar la redirección, Scrub Google Redirect Links).

      También usé ClamTK para escanear la partición de mi casa en busca de virus y no encontré ninguno.

    • Algunas veces abrí correos electrónicos no deseados, pero nunca hice clic en enlaces ocultos o no ocultos.

    • Añadido: Acabo de ejecutar rkhunter en mi Ubuntu. Las salidas de ./rkhunter -C son aquí y la salida de ./rkhunter -c es aquí . Se ven bien, ¿verdad?

    • Agregado : También pegué cada uno de los siguientes dos encabezados en geobytes localizador de correo no deseado , y descubrió que las fuentes de los correos electrónicos no deseados son del mismo IP 187.41.82.250 en un país diferente (Brasil) del mío (EE. UU.). ¿Significa que los mensajes de spam no se enviaron desde mi cuenta de correo electrónico?

Encabezado de un spam guardado en mi carpeta "Enviado"

From Tim Thu Jun 14 15:42:07 2012
X-YMail-OSG: ivy79oIVM1k8kPIPgi4nfJh2JPdWcnzc7If0UmOfBQtmnkB
 nEmfLnPHJ
Received: from [187.41.82.250] by web162602.mail.bf1.yahoo.com via HTTP; Thu, 14 Jun 2012 15:42:07 PDT
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <1339713727.16968.BPMail_high_noncarrier@web162602.mail.bf1.yahoo.com>
Date: Thu, 14 Jun 2012 15:42:07 -0700 (PDT)
From: Tim <[email protected]>
Subject: HI
To: [email protected]
Bcc: [email protected], [email protected], 
    [email protected], 
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Length: 71

Yahoo notifica que no se ha enviado el spam a alguna dirección deseada

Sorry, we were unable to deliver your message to the following address.

<[email protected]>:
Remote host said: 550 5.1.1 <[email protected]> User unknown; rejecting [RCPT_TO]

--- Below this line is a copy of the message.

Received: from [98.139.212.148] by nm21.bullet.mail.bf1.yahoo.com with NNFMP; 14 Jun 2012 22:42:08 -0000
Received: from [98.139.212.214] by tm5.bullet.mail.bf1.yahoo.com with NNFMP; 14 Jun 2012 22:42:08 -0000
Received: from [127.0.0.1] by omp1023.mail.bf1.yahoo.com with NNFMP; 14 Jun 2012 22:42:08 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: [email protected]
Received: (qmail 91992 invoked by uid 60001); 14 Jun 2012 22:42:08 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1339713728; bh=3k5IzdOBwo7Jx0VjjcU11ALbzymfvrJ2SheLqHngG7s=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:MIME-Version:Content-Type; b=mk5ksTksAaA1u+2GJaaQoJaClM5AQeOmUn4A9e3xYyJVpER/mKvPB6e5NJlZ2WG1zhOvnrMUHGgqwxMMa7lf3K9tHzGxhbLddTxfM0udgCC2Ws4d7ebgACo2lT/92A9qGxxPIXQCSAEiK8/C7P5rQ6ZAOGOv5xMHuSMY3lUzs9Y=
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
  s=s1024; d=yahoo.com;
  h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:MIME-Version:Content-Type;
  b=enSetbkOfQmTtzS221NeSMw+dVAbV6y4iFhhSye/tdOobEqExxBebaFrFsehnXbU10/kB00lr3EVDJFCcYoJT5Sp9a7bz1r9L3CezVCrqeolUUNSN4R9qjreJCxk3YxcTnm9f//PvAIPDsqadFmZyDXcT5FyUEfiwb0cyERbL90=;
X-YMail-OSG: ivy79oIVM1k8kPIPgi4nfJh2JPdWcnzc7If0UmOfBQtmnkB
nEmfLnPHJ
Received: from [187.41.82.250] by web162602.mail.bf1.yahoo.com via HTTP; Thu, 14 Jun 2012 15:42:07 PDT
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <1339713727.16968.BPMail_high_noncarrier@web162602.mail.bf1.yahoo.com>
Date: Thu, 14 Jun 2012 15:42:07 -0700 (PDT)
From: Tim <[email protected]>
Subject: HI
To: [email protected]
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
    
pregunta Tim 15.06.2012 - 18:39
fuente

2 respuestas

5

Hay varias formas en las que alguien puede acceder a tu cuenta, pero en tu caso, diría que parece que tienes un keylogger o una máquina, un rootkit en tu máquina o una computadora sucia encendida su red que está olfateando el tráfico (potencialmente eliminando el SSL).

La razón por la que digo esto es porque su contraseña es tan larga y compleja que es altamente improbable que alguien la haya adivinado y aún menos probable que haya sido forzada. El hecho de que la última IP de inicio de sesión en la cuenta fuera suya también indica que la cuenta que inició sesión en su red aumentaría mi sospecha de un kit de raíz o una puerta trasera maliciosa.

Intente ejecutar rkhunter en su máquina y vea si aparece algo. Aparte de eso, también revisaría otras máquinas en su red para detectar errores. Mientras tanto, sin embargo, cambie su contraseña en su cuenta de Yahoo para evitar más spam.

    
respondido por el DKNUCKLES 15.06.2012 - 20:02
fuente
4

Mirando los correos electrónicos, la línea

X-Mailer: YahooMailWebService/0.8.118.349524

sobresale como posiblemente importante. Parece que no utilizaron un inicio de sesión regular en el correo web, pero están usando API de servicios web de correo de Yahoo para acceder a su cuenta ( es decir, le dio a una aplicación de terceros un token de OAuth para acceder a su cuenta). ¿Ha otorgado alguna aplicación (por ejemplo, la aplicación iOS / Android en un dispositivo móvil) o un sitio web para acceder a su cuenta de correo electrónico?

No uso el correo de Yahoo con regularidad (tengo una cuenta solo para deportes de fantasía) y me gustaría verificar que nunca vea esa línea en sus correos electrónicos que se envían normalmente (por ejemplo, cuando usa el correo web). Verifico la configuración de su cuenta (Administrar aplicaciones y conexiones de sitios web; creo que es la configuración correcta), y verifico que no haya otorgado a ningún sitio web / aplicaciones acceso de terceros a su cuenta (incluida la capacidad de enviar correo). (Aparentemente, estos son encabezados normales para enviar correo web desde Yahoo).

Compruebe que no tiene ninguna extensión de navegador maliciosa instalada en su navegador web (del tipo que tiene acceso a toda su información y posiblemente podría robar información de inicio de sesión).

Debido al gran número de scripts / plugins / extensiones de usuario de Firefox que está utilizando, uno de ellos puede estar robando su contraseña fácilmente. Básicamente, una extensión de navegador / script de usuario que instales puede hacer cualquier cosa en cualquier página web si la extensión tiene permiso para cargar en esa página. Lea las cookies de sesión, vea qué texto se escribe en los campos de contraseña e incluso envíe información a los servidores controlados por el atacante, etc. Encuentre su extensión ( ~/.mozilla/firefox/[random chars].default/extensions/ ) y el directorio de secuencias de comandos del usuario e intente buscar en el código fuente comportamientos sospechosos de menores Fuentes conocidas. * .xpi son solo archivos zip; ábralos (y cualquier frasco incluido, también solo una cremallera) y busque la fuente. Busque cosas como password / passwd / yahoo en la aplicación que no debería tener nada que ver con el inicio de sesión en las aplicaciones.

    
respondido por el dr jimbob 15.06.2012 - 23:01
fuente

Lea otras preguntas en las etiquetas