Si tratta di un BEC scam (business email compromise). Probabilmente sono entrati nel server di posta es. Microsoft Exchange con credenziali admin ed hanno abilitato il forwarding delle mail su un dominio simile di cui hanno pieno controllo. I ragazzi di IT security dell'azienda dovrebbero indagare in tal senso.
- Stato
Ultima modifica:
Aspetta prima di dire che la tua email non viene recapitata, crea un account di posta finto ed inviaci l'email originale (l'accont possibilmente su un computer che non è nella stessa rete del mittente, magari lo metti in tethering col telefono). Se l'account riceve l'email così com'è allora è tutto a posto e al cliente non è arrivata perché il suo device l'ha spostata per sbaglio in Spam. Se invece l'email effettivamente si automodifica potrebbe essere qualche attacco di tipo man-in-the-middle, operato da una backdoor... In quel caso è richiesto il supporto di una persona fisica per risolvere il problema. Le backdoor sono troppo insidiose per essere trattate con una consulenza su forum. Cordialità.
O per meglio, esistono alcune tecniche di intervento che ti potrei spiegare a parole, ma sostanzialmente funzionano solo se l'attaccante è davvero stupido... Dato che chi fa queste cose per scopi malevoli non è una cima potresti anche riuscirci a rimuoverla da solo.
1) controlla la presenza di file anomali nella startup folder di tutti i device;
2) apri c:/users/"tuo nome utente/appdata/local/temp e poi c:/windows/system32. I file qui sono molti e il gioco si complica. Ordinali per data e trova un gruppo di file con la data di creazione che coincide più o meno con quando ti sono iniziati i problemi ed esaminali con Process Hacker, questo tool incorpora anche una funzione di inviare sample a virus total, utilissima per i difensori.
3) Se in seguito alle analisi scopri i file nefasti sicuramente non te li fa eliminare perché in esecuzione. Per eliminarli li devi cercare sul task manager e killarli, in alternativa anche Process Hacker ti permette di killare i processi. Buona fortuna
Se questi consigli non funzionano, mi dispiace ma l'assistenza remota non è sufficiente, perché vuol dire che l'attaccante è ferrato in materia e sa sfuggire all'analisi forense oltre che all'AV. E avrai bisogno di supporto di una persona fisica.
Messaggio unito automaticamente:
O per meglio, esistono alcune tecniche di intervento che ti potrei spiegare a parole, ma sostanzialmente funzionano solo se l'attaccante è davvero stupido... Dato che chi fa queste cose per scopi malevoli non è una cima potresti anche riuscirci a rimuoverla da solo.
1) controlla la presenza di file anomali nella startup folder di tutti i device;
2) apri c:/users/"tuo nome utente/appdata/local/temp e poi c:/windows/system32. I file qui sono molti e il gioco si complica. Ordinali per data e trova un gruppo di file con la data di creazione che coincide più o meno con quando ti sono iniziati i problemi ed esaminali con Process Hacker, questo tool incorpora anche una funzione di inviare sample a virus total, utilissima per i difensori.
3) Se in seguito alle analisi scopri i file nefasti sicuramente non te li fa eliminare perché in esecuzione. Per eliminarli li devi cercare sul task manager e killarli, in alternativa anche Process Hacker ti permette di killare i processi. Buona fortuna
Se questi consigli non funzionano, mi dispiace ma l'assistenza remota non è sufficiente, perché vuol dire che l'attaccante è ferrato in materia e sa sfuggire all'analisi forense oltre che all'AV. E avrai bisogno di supporto di una persona fisica.
Écun azienda artigiana di dieci dipendenti ed essendo l unico smanettone di solito quel po che serve lo faccio io ....ma su questo caso va un po oltre le mie conoscenze....cosi ho pensato che un forum potesse darmi qualche dritta...tutto qua.
E io non sto assolutamente istigando nessuno......ho esposto una situazione per avere un parere o un minimo di linea da seguire....le informazioni che mi sono state date nelle varie risposte mi pare mi siano state date spontaneamente.....
E Se posso...sinceramente penso che quasi qualunque forum contenga almeno in parte informazioni divulgate gratuitamente che sarebbero spesso perfettamente sovrapponibili a consulenze di figure professionali....
Cmq grazie delle repentine delucidazioni a chi mi ha aiutato su quello che ormai mi pare purtroppo sia un bel casino heheh
E io non sto assolutamente istigando nessuno......ho esposto una situazione per avere un parere o un minimo di linea da seguire....le informazioni che mi sono state date nelle varie risposte mi pare mi siano state date spontaneamente.....
E Se posso...sinceramente penso che quasi qualunque forum contenga almeno in parte informazioni divulgate gratuitamente che sarebbero spesso perfettamente sovrapponibili a consulenze di figure professionali....
Cmq grazie delle repentine delucidazioni a chi mi ha aiutato su quello che ormai mi pare purtroppo sia un bel casino heheh
Buongiorno,
ho estremo bisogno di un aiuto x gestire nel modo migliore una situazione che devo evitare possa ripresentarsi, vi spiego:
in ambito lavorativo, ci è successo che l'invio di alcune mail , principalmente quelle che avevano allegate fatture(PDF) o comunque richieste di pagamento,
arrivassero si al destinatario, ma modificate, e da un indirizzo differente anche se molto simile, del tipo:
mail originale : [email protected]
mail contraffatta: [email protected]
in tutti i casi che ci sono capitati, la mail conteneva una richiesta di pagamento, con dati bancari dell'azienda, che venivano prontamente modificati su banche ogni volta diverse, lasciando il resto del documento identico all'originale.
in molti casi è stato il cliente stesso ad accorgersi della cosa ed informarci, ma scrivo qui perchè è anche capitato che il cliente non si accorgesse di nulla.......e pagasse......e molto anche.
sul computer che gestisce la mail nessun antivirus ha rilevato problemi, e la password della casella mail è stata modificata a piu riprese.
Una cosa molto strana è che il provider di posta elettronica ha ha tracciato la mail originale ed ha riscontrato che stando al server essa sia stata correttamente consegnata, ma il destinatario ha ricevuto unicamente la copia contraffatta, e mai l'originale.
come posso procedere per cercare di eliminare il problema? formatto??
aggiungo: il pc in questio è in rete con altri 5 pc (tutti win10) ......il problema potrebbe essere anche su un altra postazione?? .....tutte le postazioni risultano pulite alla scansione
esiste un modo per monitorare il traffico di rete in uscita sulle porte router relative alla posta elettronica (e magari identificare l'ip e il processo che lo genera ???)
grazie in anticipo
ho estremo bisogno di un aiuto x gestire nel modo migliore una situazione che devo evitare possa ripresentarsi, vi spiego:
in ambito lavorativo, ci è successo che l'invio di alcune mail , principalmente quelle che avevano allegate fatture(PDF) o comunque richieste di pagamento,
arrivassero si al destinatario, ma modificate, e da un indirizzo differente anche se molto simile, del tipo:
mail originale : [email protected]
mail contraffatta: [email protected]
in tutti i casi che ci sono capitati, la mail conteneva una richiesta di pagamento, con dati bancari dell'azienda, che venivano prontamente modificati su banche ogni volta diverse, lasciando il resto del documento identico all'originale.
in molti casi è stato il cliente stesso ad accorgersi della cosa ed informarci, ma scrivo qui perchè è anche capitato che il cliente non si accorgesse di nulla.......e pagasse......e molto anche.
sul computer che gestisce la mail nessun antivirus ha rilevato problemi, e la password della casella mail è stata modificata a piu riprese.
Una cosa molto strana è che il provider di posta elettronica ha ha tracciato la mail originale ed ha riscontrato che stando al server essa sia stata correttamente consegnata, ma il destinatario ha ricevuto unicamente la copia contraffatta, e mai l'originale.
come posso procedere per cercare di eliminare il problema? formatto??
aggiungo: il pc in questio è in rete con altri 5 pc (tutti win10) ......il problema potrebbe essere anche su un altra postazione?? .....tutte le postazioni risultano pulite alla scansione
esiste un modo per monitorare il traffico di rete in uscita sulle porte router relative alla posta elettronica (e magari identificare l'ip e il processo che lo genera ???)
grazie in anticipo
grazie mille,
proverò quanto hai suggerito, e per conpletezza aggiungo che:
il destinatario comunque ha ricevuto e letto correttamente qualunque email noi gli abbiamo inviato, tranne quella relativa alla proforma di pagamento...e...in piu ....dopo la ricezione di quella mail contraffatta da parte sua ......abbiamo notato(e fatto notare al cliente) che aveva senza saperlo cominciato a rispondere a noi ....mandando sempre tutto in copia anche alla mail contraffatta.
proverò quanto hai suggerito, e per conpletezza aggiungo che:
il destinatario comunque ha ricevuto e letto correttamente qualunque email noi gli abbiamo inviato, tranne quella relativa alla proforma di pagamento...e...in piu ....dopo la ricezione di quella mail contraffatta da parte sua ......abbiamo notato(e fatto notare al cliente) che aveva senza saperlo cominciato a rispondere a noi ....mandando sempre tutto in copia anche alla mail contraffatta.
Junk ha ragione, come vi dicevo anche io prima dovete cercare del personale che vi supporti fisicamente ed effettui le opportune investigazioni sui device interessati dall'attacco. Oltre che darvi dei consigli o indirizzarvi, non si può fare molto su un forum.
Forse avranno lasciato delle credenziali di default sul server...oppure potrebbero aver sabotato le MSA/MTA dei server sfruttando le vulnerabilità dei protocolli POP3/IMAP? È un'ipotesi possibile?
Ultima modifica:
attualmente sto cercando di ottere qualche tipo di supporto dal nostro provider e-mail, anche se si sono dimostrati molto meno disponibili di quanto avrei sperato.Giusto perche ho ottenuto piu supporto qui in 24 ore che da loro in piu di una settimana.
l'utilissimo supporto del provider mi lascia quantomai basito:
secondo loro il problema è nostro perchè abbiamo ....a detta loro qualche tipo di virus in funzione su uno o piu computer dell'ufficio e nella pratica si sono limitati a generare una nuova password per l'account di posta incriminato.
Messaggio unito automaticamente:
l'utilissimo supporto del provider mi lascia quantomai basito:
secondo loro il problema è nostro perchè abbiamo ....a detta loro qualche tipo di virus in funzione su uno o piu computer dell'ufficio e nella pratica si sono limitati a generare una nuova password per l'account di posta incriminato.
Non è il genere di operazioni che possono svolgere i provider di posta, loro erogano solo un servizio. È la vostra azienda che dovrebbe avere un esperto di sicurezza informatica per risolvere questi problemi. Non avete un vostro tecnico da contattare?
La cosa che non mi torna è che a quanto ho capito è come se le loro mail inviate fossero state dirottate su un server intermedio dal quale poi sono state recapitate modificate al destinatario. Come se fosse un attacco man in the middle. Forse se avessero le credenziali compromesse i singoli dipendenti le mail sarebbero arrivate con l'indirizzo giusto o no?
C'è un problema legale qui, lei ci sta istigando a svolgere la mansione di tecnico addetto alla sicurezza abusivamente. Più del supporto che le abbiamo fornito, lei non è autorizzato a chiedere prestazioni incaricate a questa figura professionale in un forum. Nel thread in cui raccontavo d'aver fornito supporto tecnico ai computer del liceo (sfoderando anche un attacco etico sotto consenso) ero stato contattato da un tecnico legalmente abilitato, che poi si è arrogato (e accreditato sullo stipendio) il merito della mia operazione offensiva, com'è giusto che sia (anche se non lo stimavo affatto, a causa della sua inettitudine), ma la legge è uguale per tutti. Se lei non ha a disposizione un tecnico che si occupa di queste cose, deve partire da lì, o quantomeno cambiarlo se questa persona risulta negligente. Preciso anche che io conoscevo quel tecnico, e quindi sapevo bene a chi stavo prestando supporto, perché avevo frequentato quella scuola, e mi chiedeva sempre aiuto e consigli sui problemi in aula computer.
Visto che il mio commento è stato cancellato provo a spiegarmi meglio. Volevo solo dire che ritengo un'ingiustizia che a volte delle persone si incarichino delle mansioni che spetterebbero a un professionista, perché questa condotta genera un danno economico sottraendo lavoro laddove il professionista potrebbe intervenire percependo il ritorno economico che gli spetta. Un esempio classico è chi pretende di fare lo psicologo senza essere abilitato - e nemmeno aver frequentato la facoltà di psicologia. Poi sì è vero che io ho fatto molte divulgazioni su argomenti di informatica vari qui, ma sono volontariamente lontani dall'essere thread molto tecnici e dettagliati, proprio perché vorrei che di quell'aspetto si occupi una persona legalmente predisposta, e io mi occupo solo di delineare e chiarire le generalità.
- Stato
DISCUSSIONI SIMILI
- Chiuso
-
- 0
-
- 291