Re: [ml] Spam da account email violati

Fri, 20 Jun 2014 09:54:11 -0700 

On 20/06/2014 17:07, Alessio Cecchi wrote:
> Ciao,
>
> negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
> indicano che c'è stato un notevole incremento dell'invio di spam (o
> almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
> parte di account email con password troppo semplici o "rubate" ad
> opera di malware/virus (immagino) presenti cui PC degli utenti.
>
> Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
> caselle email che non eseguivano login da molto tempo (e con password
> non banali), segno che tali furti delle credenziali erano stati
> compiuti molto tempo a dietro ma che solo ora sono entrati in azione.
>
> L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre
> da IP di Asiatici/Est Europei ma in qualche caso ho notato anche
> accessi da IP "nostrani".
>
> In questi casi il nostro sistema blocca l'accesso al servizio
> SMTP-Auth ma gli utenti (esclusivamente aziendali) non sembrano essere
> preoccupati dal fatto che qualcuno abbia le credenziali per accedere
> alla loro casella email (o magari nemmeno lo comprendono).
>
> Avete notato anche voi fenomeni di questo genere?
>
> L'impressione mia è che qualcuno raccolga queste password mediante
> "virus", poi le venda a qualcuno che quando ne ha un buon numero o
> riceve una "commessa" lancia l'invio di spam.
>
> Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?
>
> Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
> DROP) per limitare le connessioni da questi IP, a protezione di un
> SMTP autenticato?
>
> Grazie
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>

Giusto una settimana o due fa e' capitato con un account su un mio
server... quasi certamente malware che ha "sgamato" le credenziali di
un cliente e le ha usate per autenticarsi (SASL) ed inviare email. Io ho
qualche DNSBL in atto ma non avrebbero potuto, ed in effetti non l'hanno
fatto, fermare lo scherzetto...
Sigh...
Saluti

-- 

Everything should be made as simple as possible, but not simpler.
                                             Albert Einstein

Alberto Guglielmo
a.guglielmo<at>tcpsas.com
Key Fingerprint:7EAF 9E34 2838 7C6B EE47  E8F0 FFC5 3CBC 90AA 5EEE
Key ID: 0x90AA5EEE
GPG/PGP keys at:  pgpkeys.mit.edu

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Rispondere a