Ataques ao Mail

[passarito 57]

Bom dia a todos,

Estou a ser atacado nos meus mails da yahoo e gmail.

No Yahoo recebi uma série de retorno de mails que não mandei.

No GMail, recebi uma notificação um pouco estranha:

Pedro Exxxx Olá Pedro,

Alguém tentou utilizar recentemente uma aplicação para iniciar sessão na sua Conta do Google - pedro.exxxxx@gmail.com.

Impedimos a tentativa de início de sessão caso se tratasse de um pirata informático a tentar aceder à sua conta. Consulte os detalhes da tentativa de início de sessão:

Quinta-feira, 28 de Março de 2013 16H33m UTC

Endereço IP: 190.5.124.10

Localização: Puerto Cortes, Honduras

Se não reconhecer esta tentativa de início de sessão, alguém pode estar a tentar aceder à sua conta. Deve iniciar sessão na sua conta e repor a sua palavra-passe de imediato.

Repor palavra-passe

Se se trata de si e está a ter problemas em aceder à sua conta, conclua os passos de resolução de problemas listados em http://support.google.com/mail?p=client_login

Atenciosamente,

A equipa das Contas do Google Este email não pode receber respostas. Para mais informações, aceda ao Centro de Ajuda de Contas do Google. Recebeu este anúncio de serviço obrigatório por email para o atualizar sobre alterações importantes ao seu produto ou à sua conta do Google.

© 2013 Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Além de ter alguns dos meus dados eu desconfio deste mail, pois onde está o sitio do ataque, já recebi outros com outras localizações, tal como:

Quinta-feira, 28 de Março de 2013 16H33m UTC

Endereço IP: 46.36.67.125

Localização: Mažeikiai, Lithuania

Li no blog aqui do p@p acerca dos maiores ataques DDos entre 2 empresas. Terá alguma coisa a haver?

Alguém sabe de alguma coisa?

Obrigado

[Rui Carlos 346]

Li no blog aqui do p@p acerca dos maiores ataques DDos entre 2 empresas. Terá alguma coisa a haver?

Alguém sabe de alguma coisa?

Isto não está relacionado com ataques DDoS. Em todo o caso, parece-me que o que tens a fazer é simples: mudar as tuas passwords. Eventualmente também será boa ideia verificar se não tens nenhum problema de segurança na tua máquina.

[passarito 57]

Peço desculpa por não ter dito nada antes.

Depois de avaliar o mail como deve de ser cheguei à conclusão que realmente tinha sido atacado, não só nesse mas em todos os mails de todos os utilizadores configurados no mail do windows 7, assim, já mudei as passwords de todas as minhas contas e de toda a família através do browser e entrando directamente na conta, sem links enviados por mail!

A minha desconfiança passa pelo facto de me ter ligado a um ponto de rede wireless desprotegido, mas o que eu acho estranho é que tenho a minha máquina protegida (pelo menos, penso eu!) e não me avisou de nada.

Editado 5 de Abril de 2013 por passarito

[Rui Carlos 346]

Certifica-te que não tens nenhuma infecção na tua máquina.

Assumo que tenhas o email configurado para usar SSL, e nesse caso não era por teres usado uma rede wireless aberta que as tuas passwords eram comprometidas. Por isso, suspeitava de uma infecção da máquina. Tem especial cuidado caso uses serviços como home banking (ou outros que envolvam dinheiro). Até pode ser que não seja nada, mas o melhor é prevenir.

(Não sou especialista em segurança no windows, pelo que não qual ser o melhor mode de verificares a tua máquina, mas parece que anti-vírus em LiveCD, que devem ser um método mais fiável de verificar se está tudo bem.)

[apocsantos 220]

Bom dia,

Acabei de ler a thread toda. Bem, se usas gmail começa pelo 1º passo (autenticação a dois passos), em que te é enviado um SMS para o telemóvel, para autenticares.

Uma vez que foram "comprometidos" todos os users da tua maquina, e mesmo estando protegido, nada melhor como sugeriu o @Rui Carlos, do que correr um anti-virus Live on CD, mas de preferência um anti-virus decente. Se puderes, experimenta a trial do Kaspersky, (eu tenho a versão paga e não me arrependo), ele realmente limpa tudo.

Atenção às redes "Zon Fon" e afins... Tenho conhecimento de várias maquinas comprometidas quando usaram esse tipo de redes... Pessoalmente evito usar e quando uso tenho cuidados triplicados! Para mim qualquer rede wireless é "um ponto de potênciais problemas", logo evito! Não podendo evitar, tomo medidas adicionais.

Na tua maquina e isto sendo um windows, vê o eventviewer (ele tem sempre algo interessante a dizer) e aproveita tambem para veres se encontras mais alguma coisa "estranha" ao executar um netstat -na na linha de comandos

Cordiais cumprimentos,

Apocsantos

[passarito 57]

Obrigado pelos comentários.

Ainda bem que também gostam do Kaspersky, é que eu também o tenho como o meu preferido.

A primeira coisa que fiz foi fazer 1 CD com o Kaspersky Rescue Disk 10. Nem sabia que isto existia! Também tem a possibilidade de fazer uma boot-pen, mas aí já tive um pouco mais de dificuldade, pois não sei se era do windows 7 ou da pen de 4GB mas não estava a conseguir fazer a boot-pen. Depois testei com outra pen de 2GB num Windows XP e já ficou a funcionar. pessoalmente prefiro a pen ao CD!

O mais estranho é que não apanhou nada. Já alguém o experimentou que tenha outro feedback do produto?

No dito portatil não tenho o Kaspersky instalado, acho que vou ter de o instalar e corrê-lo a partir da máquina!

[apocsantos 220]

Bom dia,

Já experimentei e na altura detectou e limpou um worm. Usas-te uma versão completamente actualizada ? O "malware" aparece a um ritmo "alucinante".

Vê o eventvwr, deves ter lá alguma informação. Se por acaso tens as passwords memorizadas no browser, então é possivel que não tenhas nada instalado e elas tenham apenas sido comprometidas usando algum script de javascript no browser.

Cordiais cumprimentos,

Apocsantos