Domanda Hackerata PEC aziendale

TheWorm91

Utente Iron
31 Marzo 2022
22
6
7
12
Nell'organizzazione per la quale lavoro stamattina è arrivata una brutta sorpresa.
Sulla PEC è arrivata la seguente mail, vorrei capire che tipo di attacco può essere e quanto sia attendibile il contenuto della mail.
Il problema c'è anche sulla casella di un pc della rete che ha ricevuto una mail praticamente uguale (casella che ho momentaneamente disattivato in quanto stava auto-inviando mail a vari indirizzi).
Non capisco se l'attacker è riuscito effettivamente a prendere possesso delle password e il controllo del client, oppure è riuscito a trovare
la password in altri modi.
Ovviamente chi usa questo pc ha negato di aver aperto allegati di mail sospette.
Ho prontamente cambiato le password degli indrizzi e sto eseguendo una scansione sul pc che dovrebbe essere infetto ma non sto trovando nessun trojan come indicato nel testo della mail.

Di seguito il messaggio auto-inviato dalla stessa casella mail aziendale:
oggettoALERT! I'm hacked you and stolen you information
datavenerdì 30 maggio 2025 - 09:15
da*******@pec.it <******@pec.it>
A:*****@pec.it <****@pec.it>
sensibilitànormale
prioritàalta

Hey ******@pec.it,

I have to share bad news with you.

Approximately few months ago I have gained access to your devices, which you use for internet browsing.
After that, I have started tracking your internet activities.
Some time ago I hacked you and got access to your email accounts ********@pec.it .
Obviously, I have easily hack to log in to your email.

Your password: *********

One week later, I have already installed Trojan virus to Operating Systems of all the devices that you use to access your email.
In fact, it was not really hard at all (since you were following the links from your inbox emails).
All ingenious is simple. =)
This software provides me with access to all the controllers of your devices (e.g., your microphone, video camera and keyboard).
I have downloaded all your information, data, photos, web browsing history to my servers.
I have access to all your messengers, social networks, emails, chat history and contacts list.
My virus continuously refreshes the signatures (it is driver-based), and hence remains invisible for antivirus software.

Likewise, I guess by now you understand why I have stayed undetected until this letter...

While gathering information about you, I have discovered that you are a big fan of adult websites.
You really love visiting porn websites and watching exciting videos, while enduring an enormous amount of pleasure.
Well, I have managed to record a number of your dirty scenes and montaged a few videos, which show the way you masturbate and reach orgasms.

If you have doubts, I can make a few clicks of my mouse and all your videos will be shared to your friends, colleagues and relatives.
I have also no issue at all to make them available for public access.
I guess, you really don't want that to happen, considering the specificity of the videos you like to watch, (you perfectly know what I mean) it will cause a true catastrophe for you.

Let's settle it this way:
You transfer $400 USD to me (in bitcoin equivalent according to the exchange rate at the moment of funds transfer), and once the transfer is received, I will delete all this dirty stuff right away.
After that we will forget about each other. I also promise to deactivate and delete all the harmful software from your devices. Trust me, I keep my word.

This is a fair deal and the price is quite low, considering that I have been checking out your profile and traffic for some time by now.
In case, if you don't know how to purchase and transfer the bitcoins - you can use any modern search engine.

Here is my bitcoin wallet: bc1qvqad7qpjf5t0dgtlecphcg60eyg2cymam3nu9w

Things you need to avoid from doing:
*Do not reply me (I have created this email inside your inbox and generated the return address).
*Do not try to contact police and other security services. In addition, forget about telling this to you friends. If I discover that (as you can see, it is really not so hard, considering that I control all your systems) - your video will be shared to public right away.
*Don't try to find me - it is absolutely pointless. All the cryptocurrency transactions are anonymous.
*Don't try to reinstall the OS on your devices or throw them away. It is pointless as well, since all the videos have already been saved at remote servers.

Things you don't need to worry about:
*That I won't be able to receive your funds transfer.
- Don't worry, I will see it right away, once you complete the transfer, since I continuously track all your activities (my trojan virus has got a remote-control feature, something like TeamViewer).
*That I will share your videos anyway after you complete the funds transfer.
- Trust me, I have no point to continue creating troubles in your life. If I really wanted that, I would do it long time ago!

Everything will be done in a fair manner!

-------------------------------------------------------------------------------------------------------------------------------
Grazie per l'aiuto!
 

0xbro

Moderatore
24 Febbraio 2017
3,906
150
2,786
1,525
E' difficile dire come stanno le cose, servirebbe un'analisi del traffico e delle attività della macchina vittima (alert dell'AV? Traffico strano? Accessi non autorizzati?).

Cercando per quell'indirizzo online ho trovato questo report, purtroppo per ora è l'unico, quindi non so dirti se si tratti di una campagna di phishing o se sia qualcosa di reale:
https://www.bitcoinabuse.com/reports/bc1qvqad7qpjf5t0dgtlecphcg60eyg2cymam3nu9w (ps. il report non l'hai mandato tu vero?)

Non ho capito una cosa però... la PEC se risulta essere stata mandata dalla vittima verso sè stessa?
"They did seem to do something a little clever though by listing my email in the From line in addition their email so at first glance it looked like it was sent from my email to myself."
Magari hanno solo spoofato l'indirizzo

Altro report, da Reddit... a quando pare è una campagna:


Vedi: https://www.reddit.com/r/Scams/comments/m4ygjr/got_this_email_today_should_i_be_worried/

 

Riky.exe

Helper
24 Novembre 2009
758
81
171
446
E' successa la stessa identica cosa a me sulla mia mail personale, stesso identico messaggio, solo che non c'era la mia password in chiaro, però arrivava dal mio indirizzo E-Mail.
Io ho semplicemente ignorato il tutto, per ora non mi sono ancora arrivati messaggi dove dicono che il mio membro sia famoso :lol:
 

TheWorm91

Utente Iron
31 Marzo 2022
22
6
7
12
Ultima modifica:
E' difficile dire come stanno le cose, servirebbe un'analisi del traffico e delle attività della macchina vittima (alert dell'AV? Traffico strano? Accessi non autorizzati?).

Cercando per quell'indirizzo online ho trovato questo report, purtroppo per ora è l'unico, quindi non so dirti se si tratti di una campagna di phishing o se sia qualcosa di reale:
https://www.bitcoinabuse.com/reports/bc1qvqad7qpjf5t0dgtlecphcg60eyg2cymam3nu9w (ps. il report non l'hai mandato tu vero?)
Non ho capito una cosa però... la PEC se risulta essere stata mandata dalla vittima verso sè stessa?
"They did seem to do something a little clever though by listing my email in the From line in addition their email so at first glance it looked like it was sent from my email to myself."
Magari hanno solo spoofato l'indirizzo
Si la pec è stata inviata dalla vittima a se stessa.
Anche sul client sono arrivate 4 mail del solito tipo sempre con mittente l'indirizzo email stesso.
Sul client infetto non c'è traffico anomalo tranne le mail di spam che ha auto-inviato.

Ho pensato anche io ad una mail di phishing "innocua" ma non mi torna:
- come abbiano fatto a indovinare le password di due indirizzi mail diversi
- che siano state colpiti due indirizzi mail della solita organizzazione (forse perchè il client si collega alla pec tramite webmail con password salvata su chrome?)
- come abbia fatto il client ad auto-inviare mail di spam.
 

CrazyMonk

Utente Electrum
24 Dicembre 2021
309
13
119
112
Si la pec è stata inviata dalla vittima a se stessa.
Anche sul client sono arrivate 4 mail del solito tipo sempre con mittente l'indirizzo email stesso.
Sul client infetto non c'è traffico anomalo tranne le mail di spam che ha auto-inviato.

Ho pensato anche io ad una mail di phishing "innocua" ma non mi torna:
- come abbiano fatto a indovinare le password di due indirizzi mail diversi
- che siano state colpiti due indirizzi mail della solita organizzazione (forse perchè il client si collega alla pec tramite webmail con password salvata su chrome?)
- come abbia fatto il client ad auto-inviare mail di spam.
Se la casella di posta elettronica che hai bloccato e la PEC sono dello stesso dipendente, allora chi ha avuto accesso al computer aziendale (serve comunque l'intervento del dipendente ignorante in materia di truffe online) potrebbe aver sfruttato il portachiavi del browser (quindi la compilazione automatica dei form) per accedere alle 2 mail. Inoltre, utilizzando software come "Password Revealer", l'ipotetico malintenzionato è riuscito anche a vedere le password delle mail in chiaro. Potrebbe essere una campagna di phishing ma anche a me puzza il fatto delle password. Le password le hai già cambiate. Se possibile, attiva l'autenticazione a 2 fattori. Fai una bella scansione sul computer con Malwarebytes. Controlla, come ha suggerito @0xbro , il traffico di rete per essere scrupoloso, dopodiché credo che puoi ignorare la mail.
 

0xbro

Moderatore
24 Febbraio 2017
3,906
150
2,786
1,525
PS. Hai già controllato eventuali databreach online? Non mi stupirebbe che l'attaccante abbia avuto accesso alla credenziali del dipendente, si sia loggato al pannello da cui inviare la PEC e abbia quindi agito da lì, senza avere il controllo della macchina ma solo tramite un dataleak o un password leak.

Si spiegherebbe in questo modo anche il motivo per cui conosce la password
 

TheWorm91

Utente Iron
31 Marzo 2022
22
6
7
12
Hai già controllato eventuali databreach online?
Sono andato su haveibeenpwned.com
PEC aziendale: Not pwned in any data breaches, but found 1 paste (subscribe to search sensitive breaches)
mail del dipendente è a posto.
Se la casella di posta elettronica che hai bloccato e la PEC sono dello stesso dipendente, allora chi ha avuto accesso al computer aziendale (serve comunque l'intervento del dipendente ignorante in materia di truffe online) potrebbe aver sfruttato il portachiavi del browser
Alla casella PEC accedono vari dipendenti tra cui quello citato.
Ho reimpostato tutte le password, scansionato con malwarebytes e adwcleaner e controllato con autoruns il client ma risulta pulito.
 

TheWorm91

Utente Iron
31 Marzo 2022
22
6
7
12
questa frase non è molto rassicurante, se però hai cambiato la password, secondo me, dovresti essere a posto... continua a monitorare il comportamento della macchina nei prossimi giorni
Farò così. Comunque il databreach della pec è datato 2017(voglio sperare che abbiano cambiato la password da allora dal momento che lavoro da poco tempo in questa organizzazione).
Mi sarebbe piaciuto capire com'è è stata presa la password della mail del dipendente dato che in teoria risulta pulita...
 

CrazyMonk

Utente Electrum
24 Dicembre 2021
309
13
119
112
Sono andato su haveibeenpwned.com
PEC aziendale: Not pwned in any data breaches, but found 1 paste (subscribe to search sensitive breaches)
mail del dipendente è a posto.

Alla casella PEC accedono vari dipendenti tra cui quello citato.
Ho reimpostato tutte le password, scansionato con malwarebytes e adwcleaner e controllato con autoruns il client ma risulta pulito.
Bene, dai un'occhiata anche ad msconfig per un quadro generale dei servizi attivi sulla macchina. Lo so che autoruns è più preciso, però non si sa mai.
 

Fulvy

Utente Bronze
28 Maggio 2016
59
5
18
45
Nell'organizzazione per la quale lavoro stamattina è arrivata una brutta sorpresa.
Sulla PEC è arrivata la seguente mail, vorrei capire che tipo di attacco può essere e quanto sia attendibile il contenuto della mail.
Il problema c'è anche sulla casella di un pc della rete che ha ricevuto una mail praticamente uguale (casella che ho momentaneamente disattivato in quanto stava auto-inviando mail a vari indirizzi).
Non capisco se l'attacker è riuscito effettivamente a prendere possesso delle password e il controllo del client, oppure è riuscito a trovare
la password in altri modi.
Ovviamente chi usa questo pc ha negato di aver aperto allegati di mail sospette.
Ho prontamente cambiato le password degli indrizzi e sto eseguendo una scansione sul pc che dovrebbe essere infetto ma non sto trovando nessun trojan come indicato nel testo della mail.
Ciao, è phishing. Stessa identica mail arrivata alla mia amica. Mi ha aiutato @neo (quindi lo ringrazio). Innazitutto, se clicchi il tasto destro sulla mail alla voce visualizza sorgente dovresti vedere l'IP da cui è arrivata (ma probabilmente è unknown). Questo hacker non ha info su di te ne tantomeno video (ti avrebbe inviato una prova se fosse vero...). Quello che DEVI fare è cambiare sicuramente pass e mail perchè probabilmente hai qualche dato compromesso: cerca su have i been pwned se la tua mail è stata compromessa; stessa cosa con la password (in alto c'è la possibilità di fare il check con la tua password che utilizzi per la PEC). C'è la possibilità che la tua mail o password siano stati trovati in qualche elenco di credenziali sul deepweb.
 

CrazyMonk

Utente Electrum
24 Dicembre 2021
309
13
119
112
Ciao, è phishing. Stessa identica mail arrivata alla mia amica. Mi ha aiutato @neo (quindi lo ringrazio). Innazitutto, se clicchi il tasto destro sulla mail alla voce visualizza sorgente dovresti vedere l'IP da cui è arrivata (ma probabilmente è unknown). Questo hacker non ha info su di te ne tantomeno video (ti avrebbe inviato una prova se fosse vero...). Quello che DEVI fare è cambiare sicuramente pass e mail perchè probabilmente hai qualche dato compromesso: cerca su have i been pwned se la tua mail è stata compromessa; stessa cosa con la password (in alto c'è la possibilità di fare il check con la tua password che utilizzi per la PEC). C'è la possibilità che la tua mail o password siano stati trovati in qualche elenco di credenziali sul deepweb.
Non voglio andarti contro, ma le opzioni che hai proposto sono state già state considerate dal ragazzo. Inoltre, la questione dell'IP, purtroppo, è molto più complessa. Facendo quell'operazione non trovi proprio nessun IP...al massimo ottieni l'IP di un serverone mail.
 

Fulvy

Utente Bronze
28 Maggio 2016
59
5
18
45
Non voglio andarti contro, ma le opzioni che hai proposto sono state già state considerate dal ragazzo. Inoltre, la questione dell'IP, purtroppo, è molto più complessa. Facendo quell'operazione non trovi proprio nessun IP...al massimo ottieni l'IP di un serverone mail.
Si, non avevo letto subito le altre risposte effettivamente. Certo, non è che trovando l'IP del serverone dov'è partita la mail serva a qualcosa... non volevo far intendere il contrario; è giusto per avere qualche "info" in più.