capitò una cosa simile ad un mio cliente che riuscivano a bypassare la 2FA tutte le volte senza che tu te ne accorgessi. Sono 99% sicuro che su uno dei suoi dispositivi ci sia una backdoor magari anche FUD che qualsiasi AV non rileva.
Ci sono delle backdoor che possono creare un Hidden VNC e quindi usare il tuo PC senza che tu veda cosa loro fanno (in un desktop secondario invisibile) e praticamente possono aprire qualsiasi sito per esempio come se effettivamente fossero sul suo PC.
Da questo mio cliente continuavano a forzare gli account e i telefoni collegati e li formattavano tutti. Anche Kaspersky Rescue Disk non trovò niente ma mi venne l'illuminazione che in quell'oretta che il PC del titolare stava scansionando (a sistema operativo spento) non era successo niente. Analizzando più a fondo avevo trovato un task che non mi piaceva e vidi che qualcuno (persona conosciuta e successivamente denunciata ai carabinieri) aveva infettato il PC.
Google senza Cookie rubati o backdoor varie non si sfonda.
Grazie per la risposta
Ti assicuro che a parte setacciare stile "old school" ogni singolo processo in doppio cieco quindi controllando anche quelli più sicuri per verificarne attività etc.. non esiste un singolo processo che riporti a una backdoor... ma questo è già na roba vecchiotta esistono backdoor che riescono a nascondersi anche dal task manager attivandosi per pochi secondi per poi richiudersi.
Oltre a questo cito quello che ho scritto sopra: non esiste una singola traccia di log in nessun registro (che per essere cancellati come puoi immaginare avrebbero occupato un bel po di tempo e si parla di alti profili e attacchi mirati su un soggetto che non sta in questo target) e ti assicuro ho la fortuna di poter sperimentare emulando virtual machine "progetti" abbastanza recenti... e i log li lasci e come. è un macello aggirare tutto e soprattutto cambiare 2 mail con relativi vari account collegati e riregistrali in neanche 5 minuti anche avendo un'interfaccia grafica non visibile alla macchina attaccata.
Oltre a questo abbiamo letteralmente fatto una lunghissima diagnostica forense su quel sistema sia dal vivo che da remoto e non c'è una singola cosa fuori posto ne una backdoor al 100%.
Poi che non venga rilevata da vari antivirus ok ma che non esista traccia dobbiamo stare su livelli molto alti e specifici che coinvolgono personalità decisamente sopra la media non le solite lamerate nigeriane etc.
Quindi escludo categoricamente sia stata usata una backdoor. Se gradisci posso farti vedere in 5 minuiti i risultati o puoi verificare da remoto il sistema.
Rimane l'opzione della sessione rubata. Ma anche qua implica attacchi abbastanza professionali come un mitm e tipologie simili. Pishing non è perche la persona che ha subito l'attacco è super diffidente e non vi è traccia. Quindi escluse le ipotesi più banali a me restano:
1) Furto di token/sessione quindi sono entrati lisci come se nulla fosse. Come ben saprai ci sono vari modi per farlo e nessuno di questi è facile a meno che non sia ci sia un bug clamoroso del provider e della macchina attaccata il che implica che venga eseguita da uno o piu persone esperte che hanno uno 0day o un exploit non noto. Ma il primo attacco è stato un circa 20 giorni fa se avessero tra le mani una roba del genere non penso farebbero pesca a strascico su account inutili ma andrebbero su bersagli grossi
2) come è successo qualche giorno fa per epic games dove sono stati rubati 180 gb di dati comprese password e dati bancari qualcuno di poco geniale stia usando uno 0day direttamente sui provider magari che ruba sessioni flash... il resto siamo nella fantascienza.
Concordo con te che google senza backdoor o coockie/token/sessioni rubate non si buca... il problema è che (invece l'han bucata) ci sono altri post del genere e che soprattutto ho visto con i miei occhi che è successo! ed è successo qualcosa che per me dopo aver scansionato quel sistema e averlo blindato non può essere successa ne infettando la macchina ne con un attacco da remoto su di essa. Ma anche secondo altri del settore infatti sembriamo sul paranormale.
Poi magari verremmo a sapere che c'era una megafalla su gmail e ha coinvolto migliaia di utenti.
Ma per ora non sembra esserci quindi non so che dirvi a parte cercare altre risposte illuminanti.
S7