Google ha inviato in questi giorni un messaggio di warning informando diversi suoi utenti che è avvenuto un accesso dagli Stati Uniti alla loro casella di posta, accesso prontamente bloccato dal sistema di sicurezza di Google.
Qualcosa però non torna, in particolare per il fatto che l'accesso proviene dai server di Google stesso, mediante IPv6 e POP3 e persino da indirizzi multicast/broadcast limitati, talvolta indicando chiaramente il coinvolgimento di un indirizzo terzo legato a quello compromesso (es. della stessa persona). Sto approfondendo la questione e ho alcune ipotesi che sembrano reggere di cui parlo in un post dove cerco di analizzare il problema <http://www.ransomware.it/qualcuno-conosce-la-tua-password-google-ha-impedito-laccesso/>. Se è successo anche a voi o vostri conoscenti/clienti e volete condividere qualche dettaglio ovviamente non riservato, potremmo cercare di arrivare a un fattore comune. In particolare ritengo rilevanti i seguenti punti: 1) L'account "compromesso" inoltrava mail a un secondo account? 2) L'account "compromesso" prelevava mail da un secondo account tramite POP3 e la funzione Gmail "Controlla la posta da altri account:"? 3) Un secondo account inviava tramite forward mail all'account compromesso? 4) Uno dei due account "poteva emulare l'altro" l'altro tramite la funzione di Gmail di "Invia messaggio come:" 5) L'account era legato a un altro tramite la funzione "Concedi l'accesso al tuo account"? 6) Avete ricevuto il messaggio di allarme sui due indirizzi? 7) Il secondo indirizzo è sempre @gmail oppure appartiene a provider diverso? Grazie. -- Paolo Dal Checco, Ph.D, Computer Forensics Expert Digital Forensics Bureau (Di.Fo.B.) Studio Associato Tel +390110438192 Fax +390113975327 Mob +393271818431 Strada del Portone 10, 10095 Grugliasco (TORINO) Italy
