Вопрос или проблема
Предпосылка:
Некоторое время назад мой друг создал учетную запись на основе Microsoft (Live Id/Microsoft Account. Ему просто нужна была почта) для получения некоторых сообщений. Учетная запись была создана и оставлена без использования на несколько дней. Позже, когда он снова попытался получить доступ к учетной записи через неделю, система сообщила, что учетная запись была приостановлена из-за обнаруженных подозрительных действий. Страница безопасности учетной записи сообщила о “успешной попытке входа” с незнакомого IP-адреса примерно через 10 минут после первоначального создания учетной записи. Пароль к учетной записи был довольно сильным и не использовался с какой-либо другой учетной записью, имя учетной записи было выбрано в момент создания и не могло разумно быть известно другим людям, так что единственный способ, которым третья сторона могла узнать учетные данные учетной записи менее чем через 10 минут после ее создания, который я мог придумать, – это клавиатурный шпион или подобный шпионский вредоносный софт на компьютере.
На этом этапе мой друг обратился ко мне за помощью. Я немедленно начал искать следы заражения или других компрометаций системы, но не смог найти никаких признаков заражения на машине – им был iMac/Osx. Никаких видимых вредоносных приложений, конфигурация роутера кажется нормальной (я также пробовал некоторые онлайн-инструменты, такие как F-Secure Router Checker, чтобы проверить, есть ли следы захвата DNS на уровне роутера). Затем я заметил, что reported “unknown ip”, который якобы получил доступ к почте, был 65.55.52.40 – IP-адрес, принадлежащий Microsoft. Связаться с поддержкой не дало результатов (что и следовало ожидать): некоторые сотрудники, казалось, намекали на то, что система действительно может иногда вызывать ложные срабатывания, исходящие от внутренних скриптов обслуживания, но официальной документации по этой проблеме не было найдено.
Итак, коротко: Microsoft сообщает, что кто-то использовал правильные учетные данные для доступа к учетной записи, доступ был зафиксирован через <10 минут после создания учетной записи, поэтому не было времени для перебора пароля. Либо я предполагаю, что на машине моего друга есть какой-то шпионский софт и предлагаю полное форматирование, ЛИБО я говорю ему, что это, вероятно, было ложное срабатывание (IP-адрес, принадлежащий Microsoft, похоже, указывает на это) и что ему, вероятно, стоит игнорировать это.
Теперь я размышляю о том, какие будут лучшие действия в таком случае.
ПРИМЕЧАНИЕ:
Технически, хакер, получивший доступ к учетной записи, мог очень легко подделать свой IP, чтобы выглядеть как принадлежащий Microsoft, чтобы попытаться скрыть свою активность. Но мне интересно, может ли такая техника действительно сработать: на мой взгляд, такое поведение было бы эквивалентом попытки обмануть банк, чтобы получить доступ к чужой учетной записи, представляя им фальшивую удостоверение личности с именем работника, напечатанным на нем…. Я надеюсь, что Microsoft по крайней мере будет немного подозревать, получая запрос через интернет от удаленного ПК, claiming to be компьютер в их собственной сети…
Поскольку был представлен доказательство успешной компрометации, моим предложением было бы изолировать компьютер от сети и наблюдать за его поведением (т.е. сетевым трафиком). Информация, полученная из этого, может пролить свет на то, как была осуществлена компрометация, и, таким образом, как избежать этого в будущем.
После этого шага компьютер должен быть стертый, выполнены обновления, и все пароли и учетные данные для пользовательских учетных записей должны быть изменены.
Чтобы подчеркнуть предыдущие предположения: Не имеет значения, непосредственно или косвенно Microsoft участвует в компрометации; система Microsoft могла быть взломана, а прокси или программное обеспечение VPN могли быть установлены на ней, чтобы скрыть следы… В конце концов, никто в Microsoft не хотел бы признать такой позорный атака; они покрыли бы это.
Теперь я размышляю о том, какие будут лучшие действия в таком случае
По крайней мере, цитируя то, что я писал ранее, “компьютер должен быть стертый, выполнены обновления, и все пароли и учетные данные для пользовательских учетных записей должны быть изменены.” Это не прояснит, как была осуществлена компрометация, но такой анализ может не быть необходимым. Я склонен интересоваться такими вещами, так что, вероятно, я проведу некоторые расследования перед этой восстановление системы фазой, и по моему опыту обычно есть ботнет для наблюдения и лидер, повторяющий ту же атаку на нескольких людей далеко в будущее.
ИЗМЕНЕНИЕ: Следующее было результатом неверной интерпретации вопроса и не отвечает на вопрос, но представляет некоторые хорошие советы, так что я оставлю это, с недействительными частями, вычеркнутыми таким образом.
Хорошей практикой является изменение пароля каждые несколько месяцев. Учетная запись была только что создана, и нет разумных оснований подозревать, что пароль известен.
Некоторое время назад мой друг создал учетную запись на основе Microsoft (Live Id/Microsoft Account. Ему просто нужна была почта) для получения некоторых сообщений. … Все, кажется, указывает на клавиатурный шпион или подобное заражение на клиенте, использованном для создания учетной записи.
Было бы безумно предполагать, что единственным человеком, который знал об адресе электронной почты, был клиент, не так ли? В конце концов, клиент “получал некоторые сообщения”.
Кроме того, если клиент записывается с помощью клавиатурного шпиона, было бы безумно предполагать, что хакеры должны проводить перебор; если они имеют ваши нажатия клавиш, они могут… воспроизвести ваш пароль.
Возможно, отправитель хотел взломать учетную запись, но не хочет, чтобы были какие-либо доказательства, и поэтому, чтобы скрыть следы, использовал неуместную систему Microsoft (упомянутый вами IP-адрес).
Также есть эмоции, которые нужно учитывать. Предположим, отправитель думает, что получатель станет параноидальным, и чтобы вызвать паранойю, просто вставляет электронную почту на фишинговую страницу с поддельным паролем. Да, люди часто чрезвычайно уязвимы для эмоционального хакерства.
Является ли отправитель/хакер/кто угодно внутренним в Microsoft или нет, этот аспект не имеет значения для вопроса. Тем не менее, возможно, что система Microsoft была инфильтрована сотрудником Microsoft, выдающим себя за русского хакера через Tor, который затем использовался для размещения фишингового сайта, позже использованного отправителем для вызова тревоги, что означает, что вина разделяется между двумя (изменение: несколькими) атакующими, и сотрудники службы, с которыми вы говорили, не желая попасть в беду за такую глупую (изменение: позорную) атаку, по сути, будучи третьим; насколько глубоко может уходить кроличья нора? Это не важно.
Нет, компьютер не должен быть стерт, если нет неопровержимых доказательств того, что он был скомпрометирован. В этом случае, похоже, нет таких неопровержимых доказательств (или даже легко намекающих доказательств), поэтому даже изменение пароля для почтового ящика кажется ненужным.
Теперь я размышляю о том, какие будут лучшие действия в таком случае
(изменение: см. предложение в начале поста)
Тем не менее, менять пароль каждые несколько месяцев является хорошей практикой безопасности. Возможно, составление заметки о смене пароля через несколько месяцев является наиболее подходящим курсом действий в данном случае 🙂
Ответ или решение
Реальная проверка: что делать, если попытка хакерской атаки кажется ложным срабатыванием?
Фон ситуации
Недавно ваш друг создал учетную запись Microsoft (Live ID) и заметил, что через неделю после создания аккаунт был приостановлен из-за подозрительной активности. Учетная запись, защищенная надежным паролем, была вновь попыткой доступа с неизвестного IP-адреса, который оказался принадлежащим Microsoft. Обсуждая ситуацию, нам следует учитывать несколько ключевых аспектов, прежде чем делать выводы о том, произошла ли реальная компрометация учетной записи.
Основные шаги
-
Изучение журнала активности: Прежде всего, стоит обратить внимание на детали сообщения о приостановке учетной записи. Возможно, есть дополнительные данные о времени, дате, и конкретных действиях, которые выполнялись на учетной записи.
-
Проверка активности IP-адреса: Исследуйте IP-адрес, с которого был осуществлён доступ. Независимо от того, принадлежит ли он Microsoft, важно проанализировать, есть ли информация о подобных IP-адресах с сообщениями о подобных инцидентах. Это может подтвердить или опровергнуть возможность ложного срабатывания.
-
Анализ системы: Проведите полное сканирование системы на наличие вредоносного ПО. Важно использовать обновленные антивирусные программы и инструменты. Рекомендуется включить в анализ:
- Полное сканирование на вредоносное ПО.
- Используйте инструменты для проверки наличия шпионского ПО и других угроз (например, Malwarebytes).
- Проверьте настройки брандмауэра и антивируса для возможных изменений без ведома пользователя.
-
Изоляция устройства: Если есть хоть малейшие сомнения в безопасности устройства, имеет смысл временно отключить его от сети, чтобы исключить возможность дальнейших утечек данных или удаленных атак.
-
Смена паролей: В случае, если было решено восстановить учетную запись, срочно смените все пароли. Это включает в себя не только учетную запись Microsoft, но и другие важные онлайн-сервисы. Используйте комбинацию букв, цифр и специальных символов.
-
Настройка многофакторной аутентификации (MFA): Это дополнительная мера безопасности, которая значительно усложняет несанкционированный доступ к учётной записи. Настройка MFA должна быть выполнена для всех важных учётных записей.
-
Обращение в службу поддержки: Если есть сомнения в том, что информация, предоставленная Microsoft, является окончательной, имеет смысл повторно обратиться в службу поддержки. Подробно изложите факты, включая временные рамки и дополнительные детали о подозрительной активности.
-
Обучение и осведомленность: Убедитесь, что ваш друг осведомлён о современных методах интернет-безопасности, распознавании фишинга и защите личной информации. Это поможет избежать дальнейших инцидентов в будущем.
Заключение
Ситуация с предполагаемой попыткой взлома может быть как реальной угрозой, так и ложным срабатыванием. Важно действовать системно, исследуя все возможные аспекты проблемы, от проверки системной безопасности до анализа IP-адресов. В итоге, если все предпринятые меры не укажут на явную компрометацию, стоит обсудить и принять решения о дальнейшем использовании учетной записи, ставя во главу угла безопасность личных данных. В любом случае, проактивный подход к безопасности всегда лучше, чем реактивный.