web-dev-qa-db-ja.com

ウェブメールアカウントが侵害された後の次のステップ

ジョン・ドゥーは私に次の話をしました:

いい友達からメールが来ました。リンクが1つだけ含まれています。奇妙に思えましたが、あまり考えませんでした。リンクをクリックすると、私の仕事をしている会社のウェブサイトが開きました。ひどく面白くなかったので閉じました。

数日後、昔の友達から「こんにちは、よろしくお願いします」というメールが届き始め、昨日は自分からメールが届きました。送信したことのないメール。

Doe氏はコンピューターの専門家ではないので、次に何をすべきですか?

私が提案しました:

  1. [〜#〜] std [〜#〜] のようなブート可能なCDでさえ、最新のウイルススキャナーを入手し、ウイルス/トロイの木馬をチェックします
  2. 彼の個人データをバックアップする
  3. 会社に連絡してください-彼らのウェブサイトは危険にさらされている可能性があります
  4. 念のため、Webメールのパスワードを変更します。
  5. ウェブメールプロバイダーに連絡し、セキュリティ違反について知らせます
  6. デフォルトのWebブラウザの代わりにFirefoxをインストールする

それは良いアドバイスでしたか?何か足りないものはありますか?

incident-responseemailspam
8
Aaron Digulla

「偏執的なダイヤルを11に向ける」アプローチについては、次のことをお勧めします。

システム上:

  • すべての重要なデータをバックアップします。
  • 再構築。
  • 常駐のウイルス対策/マルウェア対策/ファイアウォール保護をインストールします。
  • 選択した安全なブラウザをインストールするか、既存のブラウザを最新バージョンに更新します。
  • 安全なブラウジングとOSプラグイン、および選択した構成をインストールします。
  • OSとすべてのアプリケーションが最新の状態に保たれていることを確認します。

すべてのユーザーアカウントについて、次のことを繰り返し行います。*

  • 侵害されたWebメールアカウントのパスワードを変更します。
  • ウェブメールアカウントと同じパスワードを使用しているアカウントのパスワードを変更します。
  • ウェブメールアカウントに関連付けられているアカウントのパスワードを変更します。

* (例:GMailアカウントが侵害されました。FacebookとHotmailのアカウントは同じパスワードを使用しています。FacebookとHotmailのパスワードを変更してください。LinkedInアカウントはHotmailアカウントに関連付けられています。LinkedInのパスワードを変更してください。)

また、メールを送信したアカウントの所有者に連絡して、何が起こったかを知らせてください。

これは、回復プロセスの非常に高レベルのビューです。結局、侵害された可能性のあるデータまたはアカウント、あるいはその両方にどのような値を設定するかに基づいて、特定の保護対策を適用する必要がある深さを判断するのはあなた次第です。

9
Iszi

この素人の説明で最も可能性の高い説明は、「親友からのメール」に、ブラウザのバグを悪用してマルウェアをインストールするサイトへのリンクが含まれていたことです。

これが標的型攻撃ではない場合、マルウェアが標準のウイルス対策ソフトウェアが検出してクリーンアップできる有名なものである可能性が高くなります。その後、マルウェアは友人のアドレス帳をローカルで読み取るか、メールサーバーへの接続に便乗して、そこで友人のアドレス帳を読み取る可能性があります。偏執狂ではなく、マルウェアを特定できた場合は、クリーンアップを実行します。マルウェアがパスワードを収集することがわかっている場合は、 Isziの説明 のように、侵害された可能性のあるすべてのパスワードとアカウントを確認します。

これが標的型攻撃である可能性がある場合(Doe氏が銀行のマネージャーまたは政治活動家であり、ランダムなDoe氏がいる可能性が低い場合)、想定を立てることはできません。アンチウイルスが認識したマルウェアを見つけたとしても、これはよく知られたマルウェアを装った非標準のマルウェアである可能性があります(しかし、なぜその存在を発表するのですか?)。

マルウェアがDoe氏に関連する会社にあったという事実は、必ずしも標的型攻撃を示すものではありません。それは単にマルウェアの拡散方法である可能性があり、信頼できるチャネルを介して人々に到達しようとします。

マルウェアの送信元と思われる会社のサイトを確認します。 (もちろん、脆弱なブラウザを使用しないでください。または、VMでのみ使用してください。)疑わしいページを見つけたら、報告してください。

Doe氏にパスワードをリセットさせる以外は、ウェブメールプロバイダーができることは多くありません。 Webメールのセキュリティに問題があるとは考えられません。クライアントマシンで侵害が発生しました。

言及していないもう1つのことは、リンク付きのメールの送信元を確認することです。親友からのものである場合、親友もマルウェアに感染しています。 Doe氏がなりすましメールを伝えたり、概念を理解したりすることを期待しないでください。

再発を防ぐには、少なくとも、最新のウイルス対策ソフトウェアをインストールし(Doe氏がWindowsを実行している場合)、Firefoxの最新バージョンまたはChrome toウェブを閲覧。

5
Gilles 'SO- stop being evil'

イッツィの答えに追加:

  • 妥協のないマシンから最初にアカウントのパスワードを変更します。
  • また、パスワードのニーモニックまたは自己検証の回答を変更します
  • 送信されたメールを確認する-ハッカーが面倒な場合、送信していない自分の送信メールが表示されることがあります。 「あなた」が感染したメールを送って問題を知らせたとあなたが信じる理由がある、アドレスリストの誰かまたはアドレスリストの誰かに更新を送信します。
4
bethlakshmi