On 20/06/14 17:07, Alessio Cecchi wrote: > Ciao, > > negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci > indicano che c'è stato un notevole incremento dell'invio di spam (o > almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da > parte di account email con password troppo semplici o "rubate" ad opera > di malware/virus (immagino) presenti cui PC degli utenti. > > Addirittura abbiano notato l'accesso al servizio SMTP autenticato a > caselle email che non eseguivano login da molto tempo (e con password > non banali), segno che tali furti delle credenziali erano stati compiuti > molto tempo a dietro ma che solo ora sono entrati in azione. > > L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre > da IP di Asiatici/Est Europei ma in qualche caso ho notato anche accessi > da IP "nostrani". > > In questi casi il nostro sistema blocca l'accesso al servizio SMTP-Auth > ma gli utenti (esclusivamente aziendali) non sembrano essere preoccupati > dal fatto che qualcuno abbia le credenziali per accedere alla loro > casella email (o magari nemmeno lo comprendono).
Comincia con il dirgli che quella roba tipicamente gli può svuotare il conto in banca, magari cambiano idea: tra i più solerti a prelevare quelle credenziali ci son le varie varianti di Zeus.... > Avete notato anche voi fenomeni di questo genere? > > L'impressione mia è che qualcuno raccolga queste password mediante > "virus", poi le venda a qualcuno che quando ne ha un buon numero o > riceve una "commessa" lancia l'invio di spam. > > Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"? Cutwail, nel 99.9% dei casi. Di questi giorni perlopiù "droppato" da Zeus, appunto. > > Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus > DROP) per limitare le connessioni da questi IP, a protezione di un SMTP > autenticato? No. Almeno, non DROP, dato che quelli che vedi non sono IP su reti di per sè rogue (che è quanto sta in DROP) ma singole macchine trojanizzate. La DNSBL più adeguata sarebbe quindi XBL. Tuttavia, XBL contiene diversi tipi di bot, alcuni dei quali nemmeno inviano mail (tipo Conficker), e in particolare in presenza di client su Ip dinamici il rate di FP sarebbe abbastanza altino. Se sei utente pagante di Spamhaus prova a chiedere a loro; mi pare di rammentare che esista una "versione speciale" di XBL realizzata a qusto scopo, contenente il solo subset di IP noti pr ospitare bot che eseguono SMTP-AUTH, e che dovrebbe essere pensata proprio per questa tipologia di traffico. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
