¿Un consejo falso de que mi servidor está comprometido puede ser un ataque de ingeniería social?

Navega tus respuestas
6

Hace poco recibí el siguiente correo electrónico de una parte desconocida (utilizando una dirección de correo electrónico @alum.cs.[redacted].edu ):

  

Estoy viendo tráfico de ataques desde tu Linode. Sólo un amistoso mano a mano que es probable que haya aparecido. Un rápido google sugiere que a nadie más le gusta el tráfico que viene de tu Linode.
<https://www.google.com/search?q=[my Linode's IP]>

Sin embargo, no pude encontrar ninguna evidencia que apoye esta afirmación. Revisé los gráficos de utilización de recursos proporcionados por Linode, así como los registros de mi firewall, la lista de procesos del sistema, las conexiones activas, los archivos recientemente modificados, las cuentas de usuario, etc., y no encontré absolutamente ninguna anomalía. Los resultados de la búsqueda de Google no parecen respaldar la afirmación de que a nadie más le gusta el tráfico tampoco; Nada de lo que vi en los primeros resultados levantó ninguna bandera roja. Entonces, o el servidor está bien, o estoy tratando con un adversario que sabe cómo cubrir sus huellas tan bien que no puedo imaginar por qué tendrían algún interés en mi Linode. (No hay datos confidenciales en él).

Esto me lleva a preguntarme si el mensaje podría haber sido una forma de phishing. En este caso particular, lo dudo, pero ¿podría algo como esto ser una táctica legítima de ingeniería social? ¿Hay algo que probablemente revelaría respondiendo a este mensaje que podría usarse en mi contra de alguna manera que no puedo imaginar?

Si esto sucede en el futuro, mi objetivo es responder de una manera que me permita recopilar la información que necesito para rastrear el ataque en caso de que sea real, sin revelar nada demasiado comprometedor en caso de que sea real. no es real.

    
pregunta David Z 30.01.2015 - 07:59
fuente

2 respuestas

6

El mensaje en sí no es phishing, pero podría ser la primera etapa de un ataque de ingeniería social.

El mensaje (que usted citó) no le está pidiendo que haga algo específico, por lo que es benigno. Pero, si responde pidiendo más detalles, es posible que le pidan que haga algo específico (ejecute un programa, inicie sesión en su servicio, etc.), lo que sería un ataque.

De lo contrario, la persona podría estar confundida. No veo ningún daño en responder y ver cuál es el siguiente paso.

    
respondido por el schroeder 30.01.2015 - 18:31
fuente
1

Es poco probable que los resultados de la búsqueda que obtengas de ese enlace signifiquen algo. Hay cientos de sitios que le permitirán obtener información sobre una dirección IP. Estos sitios en su naturaleza consistirán principalmente en páginas generadas dinámicamente, y muchos de los sitios no los están bloqueando a través de robots.txt. Lo que significa que pueden aparecer en los motores de búsqueda.

El resultado es que es probable que cualquier dirección IP que busque produzca muchos resultados de poca relevancia. La cantidad de resultados variará según la dirección IP. Es plausible que la cantidad de resultados le dirá algo sobre cuánto interés tiene el público en general en esa dirección IP en particular. Pero no se puede asumir que un número alto indique una buena reputación o una mala reputación.

Todas estas páginas generadas hacen que sea difícil averiguar si hay algunas páginas realmente interesantes en algún lugar entre los resultados de búsqueda. Si todos los resultados de búsqueda son páginas generadas dinámicamente, que estarán presentes para la IP que usted busque, entonces no son de su interés. Sin embargo, si encontrara a alguien mencionando su dirección IP particular en una pregunta en security.stackexchange.com o serverfault.com , entonces eso es definitivamente interesante.

Si lo que citó es el correo electrónico completo, eso es una clara indicación de que el remitente es incompetente o malicioso. Un correo electrónico legítimo debería haber contenido algunos detalles reales sobre el tráfico observado.

Un remitente incompetente podría haber malinterpretado muchos resultados al buscar la dirección IP como una mala reputación. Un remitente malintencionado podría poseer algunos de los resultados de búsqueda que está viendo. En teoría, podría haber malware en esas páginas, aunque parece una forma bastante extraña de atraer visitantes a una página con malware.

Al hacer clic en cualquiera de los enlaces en los resultados de búsqueda o al responder el correo electrónico, el remitente tendrá más información sobre usted. Por ejemplo, podrían conocer las direcciones IP de otras máquinas que está utilizando. Y, por supuesto, también les dirá que alguien ha leído el correo electrónico.

    
respondido por el kasperd 30.01.2015 - 19:38
fuente

Lea otras preguntas en las etiquetas

Exposición de reenvío de puerto Docker ¿Protegiendo el servidor del acceso físico?