Domanda PEC HACKERATA?? Aiuto :(

[Paolox1010]

Salve nella giornata di oggi sulla pec aziendale è arriveta una mail inviata dello stesso indirizzo di posta elettronica aziendale (come se inviata tra me e me per intenderci) con data 30 aprile 2033!! Il titolo la tua pec è stata compromessa, e con il solito messaggio classico quello di pishing, che registrano i contenuti, dati etc, oltre ad accedere ai dispositivi collegati alla rete e che se non pagavi pubblicano materiale intimo in rete e di pagare tramite bitcoin. Nella mail pec inoltre hanno messo per iscritto anche la password attuale che avevo (che ho subito sostituto), mi sono abbastanza preoccupato. Qualcuno ha qualche consiglio o è stato nella mia situazione? Per errore e un po per paura poi ho cancellato questa mail. Tramite gli storici accessi nella casella pec aruba ho rilevato tentativi di accesso ogni minuto da ogni parte del mondo diverso, dal 28 Marzo ad oggi, ma cambiando password ho notato che oggi questa cosa è cessata. Avete qualche consiglio? Devo preoccuparmi che mi hanno registrato e quant’altro? Aspetto notizie

 

[JunkCoder]

Ti consiglio di cercare il tuo indirizzo mail su have i been pwned. Se appare in data breach conosciuti è altamente probabile che abbiano provato a scammarti "bluffando" su quello a cui avevano davvero accesso, quando in realtà conoscevano soltanto nome, mail e password. Se invece non appare in nessun breach, la tua pass non era semplicissima e sei sicuro di non essere caduto in un phishing precedente, io farei un controllo per malware su tutti i tuoi dispositivi.

 

[Paolox1010]

Ti consiglio di cercare il tuo indirizzo mail su have i been pwned. Se appare in data breach conosciuti è altamente probabile che abbiano provato a scammarti "bluffando" su quello a cui avevano davvero accesso, quando in realtà conoscevano soltanto nome, mail e password. Se invece non appare in nessun breach, la tua pass non era semplicissima e sei sicuro di non essere caduto in un phishing precedente, io farei un controllo per malware su tutti i tuoi dispositivi.

Ciao, ho gia verificato su have i been pwned e mi dice buone notizie nessun risultato trovato o qualcosa del genere. Quindi tramite quel sito mi dice che è tutto ok

Messaggio unito automaticamente: 5 Aprile 2024

Ti consiglio di cercare il tuo indirizzo mail su have i been pwned. Se appare in data breach conosciuti è altamente probabile che abbiano provato a scammarti "bluffando" su quello a cui avevano davvero accesso, quando in realtà conoscevano soltanto nome, mail e password. Se invece non appare in nessun breach, la tua pass non era semplicissima e sei sicuro di non essere caduto in un phishing precedente, io farei un controllo per malware su tutti i tuoi dispositivi.

Il controllo malware sui dispositivi come posso farlo? Dato che sono tanti connessi a quella rete trattasi di una aziendale

 

[JunkCoder]

Ciao, ho gia verificato su have i been pwned e mi dice buone notizie nessun risultato trovato o qualcosa del genere. Quindi tramite quel sito mi dice che è tutto ok

Messaggio unito automaticamente: 5 Aprile 2024

Il controllo malware sui dispositivi come posso farlo? Dato che sono tanti connessi a quella rete trattasi di una aziendale

Se avesse avuto accesso a tutta la rete aziendale avrebbe potuto cifrare tutto e/o minacciare di divulgare dati aziendali per mettere pressione sul pagamento, invece parla di un generico "materiale intimo". Molto probabilmente se non è stato tramite phishing (che resta probabile), un singolo dispositivo è infetto ed è uno di quelli da dove sei entrato nella PEC, aziendale o non. Utilizzi degli antivirus su i dispositivi?

 

[Paolox1010]

Ho un solo dispositivo dove accedo alla pec è il telefono aziendale, dove ho scaricato l’app per accedervi. Mi consiglia di fare una scansione con qualche app li? Inoltre chiedo, e davvero possibile rubando una pec installare un trojan al pc e accendere a microfoni, videocamere e registrare il tutto?

 

[JunkCoder]

Ho un solo dispositivo dove accedo alla pec è il telefono aziendale, dove ho scaricato l’app per accedervi. Mi consiglia di fare una scansione con qualche app li? Inoltre chiedo, e davvero possibile rubando una pec installare un trojan al pc e accendere a microfoni, videocamere e registrare il tutto?

Rubare una pec è una cosa diversa da installare un trojan al pc, però tramite il trojan si può rubare la pec se usi quel pc per accedervi. Se invece hai sempre usato solo il telefono per accedere, il trojan potrebbe essere lì nel telefono ma lo reputo molto improbabile se non è android 4 o hai fatto root, installato mod, apk o altre cose che non si dovrebbero fare sul telefono aziendale. A questo punto l'ipotesi del phishing si fa sempre più probabile e se fosse il caso non devi fare più niente visto che hai già cambiato password.

 

[Paolox1010]

Rubare una pec è una cosa diversa da installare un trojan al pc, però tramite il trojan si può rubare la pec se usi quel pc per accedervi. Se invece hai sempre usato solo il telefono per accedere, il trojan potrebbe essere lì nel telefono ma lo reputo molto improbabile se non è android 4 o hai fatto root, installato mod, apk o altre cose che non si dovrebbero fare sul telefono aziendale. A questo punto l'ipotesi del phishing si fa sempre più probabile e se fosse il caso non devi fare più niente visto che hai già cambiato password.

No, non ho usato sempre il cellulare per accendervi (si e android senza root e niente ne apk), ultimamente ho scaricato anche li l’app per accedere alla pec ma entravo prima sempre dal pc. Amch’io ho pensato al pishing perchè è la solita mail truffa, anche se insolitamente mandata per pec. La cosa che mi preoccupa, cosa sono tutti quegli accessi sospetti alla pec da ogni parte dal mondo in ogni minuto? Stati uniti, brasile, marocco, india, egitto, dal 28 Marzo questo. Cosa puo essere?

 

[Valance]

No, non ho usato sempre il cellulare per accendervi (si e android senza root e niente ne apk), ultimamente ho scaricato anche li l’app per accedere alla pec ma entravo prima sempre dal pc. Amch’io ho pensato al pishing perchè è la solita mail truffa, anche se insolitamente mandata per pec. La cosa che mi preoccupa, cosa sono tutti quegli accessi sospetti alla pec da ogni parte dal mondo in ogni minuto? Stati uniti, brasile, marocco, india, egitto, dal 28 Marzo questo. Cosa puo essere?

qualcuno che ti ha preso di mira e si diverte con OpenBullet a provare a bruteforzarti l'utenza

 

[Paolox1010]

Buongiorno,
questa mattina tornando in ufficio e dopo aver cambiato password alla PEC il giorno prima, ho notato che gli accessi insoliti sono terminati e la situazione via pec sembra essersi stabilizzata. Ma... avendo anche due indirizzi mail normali (sempre aziendali), su uno alle 7 del mattino quando nessuna ancora lavorava, mi è stato notificato da GMAIL un tentativo di accesso insolito con l'avviso di criticità, provvedo subito a cambiare password anche li. Oltre questo ho notato che AVG mi notificava continuamente malware utilizzando google chrome. Ho pensato subito di eliminare google chrome, e utilizzando momentaneamente il motore di ricerca di AVG browser, ho notato che subito ha smesso di segnalarmi e notificarmi malware sul browser. (probabilmente qualcosa non tornava su google chrome). Oltre questo sulla mail LIBERO, non mi faceva piu accedere probabilmente mi hanno cambiato la password, ma fortunatamente sono riuscito a resettare anche quella e accendervi, notando in essa registrazioni con la mia mail a TINDER con scritte cinesi O.O . Avendo facebook registrato alla mia mail di libero, mi risultava che ieri avevano provveduto a cambiarmi anche password su Facebook. (resettato e sistemato anche questo). Cosa può essere successo?? Qualche malware su google chrome che prendeva parte a tutte le mie credenziali? Potrebbe essere? Adesso dopo aver resettato tutti gli account, scansionato, cancellato google chrome dove mi veniva segnalato da avg continuamente, e scansionato anche con malware bytes la situazione sembra essere calmata e non vedo piuù accessi insoliti sui miei canali. Cosa ne pensate? Posso fare altro?

 

[JunkCoder]

Evidente che hai preso un malware su Windows, tanto che AVG te lo segnalava pure, che ha estratto le password da chrome e le ha inviate in chiaro a un server remoto. Il malware può avere varie forme, se era sotto forma di solo plugin del browser disinstallando Chrome hai rimosso anch'esso, se invece è installato a livello di sistema potresti ancora essere infetto ma magari non è programmato per estrarre le password anche dall'AVG browser. Riesci a postare i log di AVG o uno screenshot di eventi/quarantena degli avvisi che ti ha mostrato? In ogni caso valuta la semplice formattazione o di pagare un professionista, perché il rischio che il malware continui ad essere in esecuzione non è trascurabile e dalle tue parole non sappiamo se AVG ha effettivamente disinnescato la minaccia.

 

[Paolox1010]

Evidente che hai preso un malware su Windows, tanto che AVG te lo segnalava pure, che ha estratto le password da chrome e le ha inviate in chiaro a un server remoto. Il malware può avere varie forme, se era sotto forma di solo plugin del browser disinstallando Chrome hai rimosso anch'esso, se invece è installato a livello di sistema potresti ancora essere infetto ma magari non è programmato per estrarre le password anche dall'AVG browser. Riesci a postare i log di AVG o uno screenshot di eventi/quarantena degli avvisi che ti ha mostrato? In ogni caso valuta la semplice formattazione o di pagare un professionista, perché il rischio che il malware continui ad essere in esecuzione non è trascurabile e dalle tue parole non sappiamo se AVG ha effettivamente disinnescato la minaccia.

FILE ALLEGATO. Purtroppo non so come vedere i dettagli o probabilmente non è possibile, mi fa vedere solo questo. Se aprivo mi usciva come destinazione una cartella dell'hard disk dove risiedeva appunto GOOGLE CHROME. Premetto che questo malware me lo segnalava già 10 giorni fà, ma per ignoranza del collega cancellò anche l'antivirus, e ieri ho provveduto a riscaricarlo io. Il nome è proprio MALVERTSING, come aprivo chrome lo segnalava sempre con questa sigla. Cancellando chrome non mi segnala piu niente. Non essendo molto pratico in queste cose, mi consiglia anche di formattare il sistema? O magari vedere se adesso si sia stabilizzato il tutto monitorando gli accessi alle mail?
Poi volevo chiedere una perplessità, può un malware dal pc impossessarsi anche di tutti gli altri dispositivi connessi come telefoni etc connessi alla stessa rete? Perchè nella mail pec, che ho scritto inizio conversazioni parlava di registrazione di camere e quant'altro.

Grazie

 

[JunkCoder]

FILE ALLEGATO. Purtroppo non so come vedere i dettagli o probabilmente non è possibile, mi fa vedere solo questo. Se aprivo mi usciva come destinazione una cartella dell'hard disk dove risiedeva appunto GOOGLE CHROME. Premetto che questo malware me lo segnalava già 10 giorni fà, ma per ignoranza del collega cancellò anche l'antivirus, e ieri ho provveduto a riscaricarlo io. Il nome è proprio MALVERTSING, come aprivo chrome lo segnalava sempre con questa sigla. Cancellando chrome non mi segnala piu niente. Non essendo molto pratico in queste cose, mi consiglia anche di formattare il sistema? O magari vedere se adesso si sia stabilizzato il tutto monitorando gli accessi alle mail?

Gli avvisi nello screenshot sono di sintomi, AVG non ha trovato ne rimosso il malware ma ha bloccato le sue connessioni al server remoto. Probabilmente nel momento in cui AVG è stato cancellato, il malware ha potuto inviare le password che aveva già raccolto e che fin ora non riusciva a mandare a destinazione (es. perché drpct.xyz irraggiungibile). Purtroppo senza altri dettagli non posso fornirti una procedura per rimuovere solo il malware, quindi sì, suggerisco la formattazione.

Poi volevo chiedere una perplessità, può un malware dal pc impossessarsi anche di tutti gli altri dispositivi connessi come telefoni etc connessi alla stessa rete? Perchè nella mail pec, che ho scritto inizio conversazioni parlava di registrazione di camere e quant'altro.

Se il dispositivo infetto è dotato di microfono e telecamera è possibile registrare ma di solito non viene fatto per vari motivi: lavoro in più, molti più dati da trasmettere, molto più spazio per immagazzinarli, rischio di essere traditi dall'indicatore LED della webcam e l'icona del microfono... Questo è un trucco psicologico che usano per convincerti a pagarli. Diciamo che lo scenario più realistico di compromissione di un'intera rete è se in contesto aziendale è presente una rete interna con un Domain Controller che viene violato, da lì è possibile infettare tutti i pc connessi alla rete ma in caso contrario se i dispositivi sono aggiornati è quasi impossibile, la "ricetta" per un attacco del genere varrebbe vari milioni di euro.

 

[Paolox1010]

Ok allora procedo alla formattazione in ogni caso per essere piu tranquilli. Sei stato davvero gentile e disponibile. La paura era quella che davvero si fossero impossessati di tutti i dispositivi connessi a quella rete, ma ad essere sincero cellulari e quant’altro sembrano andare bene e non danno nessuna anomalia.

 

[TheWorm91]

Salve nella giornata di oggi sulla pec aziendale è arriveta una mail inviata dello stesso indirizzo di posta elettronica aziendale (come se inviata tra me e me per intenderci) con data 30 aprile 2033!! Il titolo la tua pec è stata compromessa, e con il solito messaggio classico quello di pishing, che registrano i contenuti, dati etc, oltre ad accedere ai dispositivi collegati alla rete e che se non pagavi pubblicano materiale intimo in rete e di pagare tramite bitcoin. Nella mail pec inoltre hanno messo per iscritto anche la password attuale che avevo (che ho subito sostituto), mi sono abbastanza preoccupato. Qualcuno ha qualche consiglio o è stato nella mia situazione? Per errore e un po per paura poi ho cancellato questa mail. Tramite gli storici accessi nella casella pec aruba ho rilevato tentativi di accesso ogni minuto da ogni parte del mondo diverso, dal 28 Marzo ad oggi, ma cambiando password ho notato che oggi questa cosa è cessata. Avete qualche consiglio? Devo preoccuparmi che mi hanno registrato e quant’altro? Aspetto notizie

È successo lo stesso dove lavoro tempo fa, presumo qualche dipendente abbia abboccato a una mail di phishing dove ha inserito le credenziali della pec.
Anche nel mio caso c'era una mail con data 2025 o 2035 non ricordo e una serie di accessi insoliti da varie parti del mondo.
Appena ho cambiato la password (mettendola lunga e complicata) è tornato tutto nella norma.

Messaggio unito automaticamente: 9 Aprile 2024

cellulari e quant’altro sembrano andare bene e non danno nessuna anomalia.

Questo perché (da quanto ho potuto capire leggendo la discussione) il malware che ti ha rubato le credenziali è solo nel pc con cui accedevi alla pec e non negli altri dispositivi, un malware non per forza si diffonde da un dispositivo ad un altro nella solita rete, poi un malware fatto per infettare un pc windows non funzionerà su uno smartphone android o iOS.