Grazie Alex, sembra però sia diverso dal caso che ho indicato, forse si tratta di qualche uso di dati prelevati da leak vari: niente IPv6 o Multicast che non dovrebbero neanche essere nella lista degli IP che hanno aceduto con successo ai profili Google...
Grazie cmq per il feedback! :-) Paolo -- Paolo Dal Checco, Ph.D, Computer Forensics Expert Digital Forensics Bureau (Di.Fo.B.) Studio Associato Tel +390110438192 Fax +390113975327 Mob +393271818431 Strada del Portone 10, 10095 Grugliasco (TORINO) Italy On 19/10/16 16:26, Alex Torre wrote: > Ciao Paolo, si qualche giorno fa è successo ad alcuni miei amici. > Avviso di più tentativi da parte di un'app proveniente dall'India, non > meglio precisata. Avviso inviato due o tre volte e poi tutto fermo. > > Rispondo ai tuoi punti per aiutarti a raccogliere meglio i dati: > 1) no > 2) no > 3) no > 4) no > 5) no > 6) no > 7) nessun secondo indirizzo > > Risposte monotone ;) > > A presto > Alex > > > Alex Torre > http://it.linkedin.com/in/alextorre > Expoitalyweb > 0350279770 > > Il giorno 14 ottobre 2016 10:19, Paolo Dal Checco <[email protected] > <mailto:[email protected]>> ha scritto: > > Google ha inviato in questi giorni un messaggio di warning > informando diversi suoi utenti che è avvenuto un accesso dagli > Stati Uniti alla loro casella di posta, accesso prontamente > bloccato dal sistema di sicurezza di Google. > > Qualcosa però non torna, in particolare per il fatto che l'accesso > proviene dai server di Google stesso, mediante IPv6 e POP3 e > persino da indirizzi multicast/broadcast limitati, talvolta > indicando chiaramente il coinvolgimento di un indirizzo terzo > legato a quello compromesso (es. della stessa persona). > > Sto approfondendo la questione e ho alcune ipotesi che sembrano > reggere di cui parlo in un post dove cerco di analizzare il > problema > > <http://www.ransomware.it/qualcuno-conosce-la-tua-password-google-ha-impedito-laccesso/>. > > Se è successo anche a voi o vostri conoscenti/clienti e volete > condividere qualche dettaglio ovviamente non riservato, potremmo > cercare di arrivare a un fattore comune. In particolare ritengo > rilevanti i seguenti punti: > > 1) L'account "compromesso" inoltrava mail a un secondo account? > 2) L'account "compromesso" prelevava mail da un secondo account > tramite POP3 e la funzione Gmail "Controlla la posta da altri > account:"? > 3) Un secondo account inviava tramite forward mail all'account > compromesso? > 4) Uno dei due account "poteva emulare l'altro" l'altro tramite la > funzione di Gmail di "Invia messaggio come:" > 5) L'account era legato a un altro tramite la funzione "Concedi > l'accesso al tuo account"? > 6) Avete ricevuto il messaggio di allarme sui due indirizzi? > 7) Il secondo indirizzo è sempre @gmail oppure appartiene a > provider diverso? > > Grazie. > > -- > Paolo Dal Checco, Ph.D, Computer Forensics Expert > Digital Forensics Bureau (Di.Fo.B.) Studio Associato > Tel +390110438192 <tel:%2B390110438192> Fax +390113975327 > <tel:%2B390113975327> Mob +393271818431 <tel:%2B393271818431> > Strada del Portone 10, 10095 Grugliasco (TORINO) Italy > >
