Pasos siguientes después de que la cuenta de correo web fuera comprometida

Para un enfoque de "dial paranoico convertido a 11", sugiero:

En el sistema:

• Copia de seguridad de todos los datos esenciales.
• Reconstruir.
• Instale la protección antivirus / antimalware / firewall residente.
• Instale el navegador seguro de su elección o actualice el navegador existente a la última versión.
• Instale la navegación segura y los complementos y configuraciones de sistema operativo de su elección.
• Asegúrese de que el sistema operativo y todas las aplicaciones estén actualizadas.

Para todas las cuentas de usuario, haga lo siguiente, recusivamente. *

• Cambie la contraseña de la cuenta de correo web comprometida.
• Cambie las contraseñas de cualquier cuenta que use la misma contraseña que su cuenta de correo web.
• Cambie las contraseñas de cualquier cuenta asociada con la cuenta de correo web.

* (Ejemplo: la cuenta de GMail fue comprometida. Las cuentas de Facebook y Hotmail usan la misma contraseña. Cambiar las contraseñas de Facebook y Hotmail. La cuenta de LinkedIn está asociada con la cuenta de Hotmail. Cambiar la contraseña de LinkedIn).

También, comuníquese con el propietario de la cuenta que le envió el correo electrónico y hágales saber lo que sucedió.

Esta es una vista de muy alto nivel del proceso de recuperación. Al final, depende de usted determinar a qué profundidad se deben aplicar ciertas medidas de protección, en función del valor que ponga en los datos y / o cuentas que puedan haber sido comprometidos.

La explicación más probable dada por la descripción de este laico es que el "correo del buen amigo" contenía un enlace a un sitio que explotó un error en su navegador para instalar algún malware.

Si este no es un ataque dirigido, hay una buena probabilidad de que el malware sea un conocido que el software antivirus estándar pueda encontrar y limpiar. Es posible que el malware haya leído la libreta de direcciones de su amigo localmente, o que esté en una conexión al servidor de correo para leer su libreta de direcciones allí. Si no eres demasiado paranoico y logras identificar el malware, realiza la limpieza. Si se sabe que el malware recopila contraseñas, verifique todas las contraseñas y cuentas que se hayan violado, como explica Iszi .

Si este puede ser un ataque dirigido (probablemente si el Sr. Doe es un gerente bancario o activista político, no es muy probable que lo haga un Sr. Doe al azar), entonces no puede hacer ninguna suposición. Incluso si un antivirus encuentra un malware que reconoce, este podría ser un malware no estándar que se hace pasar por uno conocido (pero, ¿por qué anunciaría su presencia en absoluto?).

El hecho de que el malware estuviera en una empresa relacionada con el Sr. Doe no es necesariamente una indicación de un ataque dirigido. Simplemente podría ser la forma de propagación del malware, tratando de llegar a las personas a través de canales en los que es más probable que confíen.

Compruebe el sitio de la compañía de donde cree que proviene el malware. (No use un navegador vulnerable, por supuesto, o solo en una máquina virtual con conectividad restringida). Si encuentra una página sospechosa, infórmelo.

No hay mucho que pueda hacer el proveedor de correo web, excepto que el señor Doe restablezca su contraseña. Es poco probable que haya fallado la seguridad del correo web: el compromiso se produjo en la máquina cliente.

Otra cosa que no mencionas es verificar de dónde proviene el correo con el enlace. Si provino del buen amigo, entonces el buen amigo también se ha infectado con el malware. No espere que el Sr. Doe pueda decirle a un correo electrónico falso o incluso que entienda el concepto.

Para evitar la repetición, como mínimo, instale un antivirus actualizado (suponiendo que el Sr. Doe está ejecutando Windows), y use una versión actualizada de Firefox o Chrome para navegar por la web.

Agregando a la respuesta de Iszi:

• Realice el primer cambio de contraseña de la cuenta desde una máquina no comprometida.
• También cambie cualquier contraseña de mnemotecnia o respuestas de autoverificación
• revisar el correo electrónico enviado: si el pirata informático está desordenado, es posible que vea su propio correo enviado que no envió. Envíe la actualización a cualquier persona en la lista de direcciones o a cualquier persona en la lista de direcciones que tenga motivos para creer que "usted" envió un correo infectado para informarle del problema.

Hay muchos programas de correo electrónico falsos disponibles en los que se realizan este tipo de actividades, a veces se ve que has recibido un correo electrónico de tu cuenta. O a veces ve un mensaje de correo electrónico para compartir los detalles de la cuenta. Las medidas de seguridad para estos son si su acceso proporciona protección antispam anticipada habilitada, también verifique si su proveedor de servicios de correo electrónico tiene servicios 2fa.