Domanda:
Un'agenzia governativa ha inviato un'e-mail all'amministratore del nostro sito Web che il nostro sito Web era stato deturpato
Grantly
2017-01-21 01:36:41 UTC
view on stackexchange narkive permalink

Abbiamo ricevuto un'email ufficiale che diceva che il nostro sito web è stato violato. Hanno citato l'URL da utilizzare per vedere il nuovo file sospetto che era stato rilasciato nella nostra cartella principale web ( s.htm ). Solo del testo su un "hacker di fabbricazione marocchina - sono tornato" nel file HTML. Nient'altro sembrava danneggiato anche se stiamo indagando.

Il link incluso nell'email era esattamente hXXp: //example.com [.] Au / s.htm in testo normale, il che è anche un po 'strano, sebbene ci abbia aiutato a trovare il file.

L'indicazione della data sul file è di sole 7 ore e 3 minuti diversa dalla data di invio sull'email. 7 ore potrebbero facilmente essere una deviazione del fuso orario.

La mia domanda è: come faceva l'agenzia governativa ( CERT) a sapere che il nostro sito web è stato violato? È un sito Web ospitato in Australia, per un'attività legittima e l'agenzia governativa è legittima.

Sei proprio sicuro che fosse davvero dal governo?Mi sa un po 'di phishy.
L'e-mail non mi è arrivata, quindi non ho potuto esaminare le intestazioni ... Ma di certo "sembrava" autentica.Con l'e-mail e il testo del mittente appropriati, ecc ... Voglio dire, questo è l'ufficio del procuratore generale, quindi se è una truffa, penso che manderebbero i federali abbastanza velocemente :)
Ma sono d'accordo JimmyJames ... L'intera cosa sembra sospetta.Tranne che l'email era accurata ... Perché invogliarci a contattare un ente governativo dedicato alla sicurezza online?Molto strano....
Ho deciso di pubblicare una risposta invece di dare una risposta lunga nei commenti.
Se qualcuno pensa che dovrei aggiungere il corpo dell'e-mail alla Domanda, per favore fatemelo sapere
Sembra che varrebbe la pena chiamare l'ufficio del procuratore generale (ottenendo il numero da una fonte * diversa * dall'e-mail) e confermarlo.
Questo * così tanto * suona come un attacco di phishing.
Il corpo dell'email non è così importante quanto gli _header_.
L'e-mail è stata firmata digitalmente dal mittente (che afferma di essere CERT AU?) [La pagina CERT AU] (https://www.cert.gov.au/faq) menziona che scrivono ai proprietari del sito ma il testo è unun po 'deludente.Nessuna parola sulle firme digitali e, peggio, una dichiarazione che la posta contiene informazioni di contatto per confermare la legittimità del mittente ....... farò cadere loro una nota di Brad Pitt con il suo numero di cellulare nel piè di pagina in modo chepuò assicurarsi che questo sia il Brad giusto.
@Grantly Se non altro, pubblica invece l'intestazione.
Per favore leggi la mia risposta.Il file sul tuo server dovrebbe essere una chiara indicazione che un attacco ha avuto successo.La lettera potrebbe essere sospetta, ma il server è stato violato indipendentemente dall'e-mail.
Sette risposte:
JimmyJames
2017-01-21 03:18:18 UTC
view on stackexchange narkive permalink

È estremamente facile falsificare le email. Se qualcuno ha falsificato questo, non vedo come l'agenzia lo saprebbe. La preoccupazione è che il collegamento che ti hanno inviato fosse l'attacco stesso. Ad esempio, potrebbe trattarsi di un attacco CSRF:

Con un piccolo aiuto di ingegneria sociale ( come l'invio di un collegamento tramite e-mail o chat), un utente malintenzionato può indurre gli utenti di un'applicazione web a eseguire azioni di sua scelta.

Un suggerimento è contattare l'ufficio e scoprire se è qualcosa che fa. Solo perché la lingua sembra corretta e dice che proviene dal mittente giusto non significa nulla. Questo è un approccio comune utilizzato nelle email di phishing.

Grazie - un buon suggerimento, risponderemo al CERT per chiedere.È improbabile che sia un'e-mail dannosa in quanto è stata aperta dal "proprietario" che non ha alcuna credenziale per modificare il sito Web (Questo è intenzionale, per sicurezza) ... Io e un altro lo facciamo.Mi ha inoltrato l'email.(Ed è in vacanza, quindi non voglio ancora rompergli le palle lol)
@Grantly È possibile.Se hanno cercato su Google la stringa e questo ha mostrato il tuo sito, può succedere.È strano che ti informino che sei stato violato, però ... a meno che il tuo sito web non faccia parte di un sito governativo?
Grazie Mark Buffalo, no - totalmente estraneo al governo.Sebbene vendiamo dati e ci occupiamo di rispettare le leggi sulla privacy del governo ... Quindi forse questo significa che siamo monitorati più da vicino ...?Prima ne ho sentito parlare.E non conserviamo i dati sul server web ...
Quindi, te l'ha inoltrato e poi hai fatto clic sul collegamento?È piuttosto improbabile che un utente malintenzionato in una situazione del genere sappia esattamente chi ha accesso e chi no.È proprio come nella pesca non sappiamo se avremo un morso su un dato cast.Continuiamo a provare e speriamo di essere fortunati.Se il destinatario non dispone dei diritti, è piuttosto prevedibile che possa essere inoltrato a qualcuno che ne ha.
Ciao JimmyJames, No, non ho fatto clic sul collegamento, poiché il corpo dell'email era tutto solo di testo, sebbene l'intestazione contenga un'immagine ... L'email del proprietario probabilmente rimuove un po 'di html, ma sceglie di mantenere alcune immagini dopo l'inoltro dell'email (Eè nella boscaglia, quindi usa una qualche tipo di Webmail) ... Non posso esserne sicuro finché non vedo l'originale.Ma no, non sono stato io a fare clic su lol :) Ma avrebbe potuto essere il proprietario, come suggerisci
Non capisco davvero perché la gente presuma che questa sia un'e-mail di phishing.I CERT inviano questo tipo di email.I phisher non utilizzerebbero il testo in chiaro per il collegamento, né sarebbe autentico, non avresti effettivamente trovato una voce compromessa nel tuo file dichiarata se fosse solo un phishing casuale. So che evitare il phishing è importante ma ... logicamente non c'è nulla da guadagnare per un phisher da questa email, dato quello che sappiamo.Preoccupati del fatto che il tuo server web sia chiaramente compromesso e contatta il CERT direttamente tramite i loro canali.
@Rushyo Non è un presupposto che si tratti di un'e-mail di phishing.Il problema è presumere che non sia solo perché sembra OK."né sarebbe autentico": come fai a sapere che l'email è autentica?"ha trovato una voce compromessa nel file che indicava se si trattava solo di un phishing casuale" Chi ha parlato di "casuale"?La persona che ha inserito il file potrebbe essere il mittente dell'email.Fare clic sul collegamento nell'e-mail potrebbe effettivamente posizionare il file lì.Vedere [spear-phishing] (https://usa.kaspersky.com/internet-security-center/definitions/spear-phishing#.WIYYSlUrKUk)
@Rushyo Il punto qui è che questo può benissimo essere autentico, ma è pericoloso partire dal presupposto che lo sia.Lo scopo del phishing e di altri tipi di ingegneria sociale è ingannarti.È importante prima verificare e poi agire.
Solo una nota NON RISPONDERE, prendi l'e-mail corretta da Internet
Queste dichiarazioni sulle e-mail si applicano a TUTTE le e-mail.Non sono unici per questo caso.Un buon comportamento anti-phishing si applica a tutte le sollecitazioni;non significa che ogni domanda su un'e-mail necessiti di una lezione sul phishing 101. Questa è un'e-mail di testo semplice che chiede a qualcuno di verificare in modo indipendente qualcosa - non è un ovvio candidato di phishing.non più di qualsiasi altra email presumibilmente da un'entità fidata.Questa è una domanda sul CERT, non su "come faccio a decidere se fidarmi delle e-mail?".Non un chiodo;non ha bisogno di un martello.
@Rushyo Parte della domanda era "come facevano a saperlo" e una possibile risposta è che il mittente dell'e-mail l'ha inserita lì.
@Ryusho Forse il mittente dell'e-mail ha inserito il file lì e ora sta cercando di sfruttare un semplice exploit del sito Web per un attacco più profondo all'azienda.Forse è un comune attacco drive-by posizionare questo file e il phisher lo cerca?Molte e-mail di phishing tentano di invocare un senso di paura e urgenza per eludere un giudizio migliore ... e sfruttare la conoscenza di un attacco reale avrebbe sicuramente quell'effetto.
Ángel
2017-01-21 06:38:36 UTC
view on stackexchange narkive permalink

Un compito del CERT ( Computer Emergency Response Team) è precisamente quello di sorvegliare i problemi di sicurezza degli attivi nella loro circoscrizione.

Nel caso di CERT nazionali come CERT- AU, spesso si preoccupano di tutto ciò che è ospitato nel loro paese e, se vengono informati di qualsiasi problema, il loro compito sarebbe contattare il proprietario interessato in modo che possa risolvere il problema (come hanno fatto in questo caso). Potrebbero anche averti fornito qualche consiglio nel caso ne avessi avuto bisogno per trovare il problema.

Questi servizi sono gratuiti per le persone (sono un'agenzia governativa) e non ti chiederanno alcun tipo di pagamento per averti notificato.

Un elenco completo dei servizi CERT-AU è disponibile su https://cert.gov.au/services

Il modo di fornire l'URL come hXXp: //domain.com [.] Au / s.htm è abbastanza comune per condividere URL dannosi. L'obiettivo è che tu riceva l'URL (che ti servirà per scoprire dove si trova il contenuto dannoso) ma allo stesso tempo minimizzi il rischio che tu possa inavvertitamente aprirlo nell'ambiente sbagliato o prima di leggere l'email per intero ( inoltre, aiuta anche a evitare filtri e-mail che eliminano e-mail contenenti URL dannosi¹).

Ci sono molte fonti da cui potrebbero essere venuti a conoscenza di questo incidente:

  • Un individuo li ha notificati
  • Un altro CERT o una società di sicurezza li ha notificati
  • È apparso in un elenco di siti compromessi a cui si sono iscritti
  • È apparso su alcuni forum di deturpazione che stavano guardando (come zone-h)
  • L'hanno trovato durante qualche altra indagine

Tra i vantaggi dell'invio le notifiche tramite il CERT sono:

  • Quando ci sono più siti compromessi, è molto più facile notificare una singola entità per paese rispetto a ciascun operatore di sito web¹
  • Il CERT avrà spesso alcune procedure per riprovare nel caso in cui fosse ignorato dall'amministratore. Una terza parte probabilmente tenterebbe una sola volta.
  • Il CERT potrebbe avere contatti migliori a cui inviare la notifica.
  • In quanto parte neutrale, è più probabile che il CERT riceva attenzione a²
  • Nessuna barriera linguistica: il CERT dovrebbe essere in grado di contattare il proprietario del sito web nella sua lingua madre.
  • Il CERT avrà personale tecnico in grado di comprendere facilmente il problema e in grado di spiegarlo, se necessario, al proprietario del sito web (che potrebbe non avere alcuna conoscenza in sé).

È disponibile un elenco di CERT mondiali (sia pubblici che privati) all'inizio: https://first.org/members/teams

Un database di CERT europei e team di sicurezza è disponibile anche su Trusted Introducer.

¹ Ad esempio, Google trova ogni giorno un sacco di URL dannosi che rileva tramite la scansione, invece di tentare di segnalarli direttamente al proprietario, li condivide con il pertinente CERT nazionale in modo che possa occuparsi della notifica.

² Immagina che questa domanda sia «un tipo a caso da un indirizzo hotmail ha inviato al nostro amministratore…»

In realtà, Google in particolare avvisa i proprietari del sito direttamente, tramite gli strumenti per i webmaster di Google e contattando alcuni indirizzi generici per il dominio.In generale, però, la tua dichiarazione vale.
@JackW, Sono a conoscenza degli Strumenti per i Webmaster di Google, ma questa è un'attivazione.Il webmaster deve essersi registrato.Tuttavia, non sapevo che utilizzassero in modo proattivo anche indirizzi di dominio generici.
John Deters
2017-01-21 01:53:45 UTC
view on stackexchange narkive permalink

A meno che non ve lo dicessero nella lettera, non c'è modo di sapere come sono stati informati dell'hacking. È probabile che qualcuno abbia segnalato un problema, un attacco o un'indagine di qualche tipo al CERT e che sia stato quindi in grado di risalire all'indirizzo IP del tuo server.

Ti consiglio almeno di continuare la tua indagine; ma considera di assumere una società di sicurezza. C'è molto da fare in questa fase di un attacco oltre a capire cosa è successo. Potrebbe essere necessario conservare le prove, sarà necessario ripristinare i sistemi, potrebbe essere necessario fornire notifiche di violazione, potrebbe essere necessario che la clientela modifichi le proprie password; tutti i tipi di attività possono derivare da una violazione e un professionista ti aiuterà a guidarti in tutto ciò.

Grazie John.È una strada moooolto vero ... Protezione di un sito web :(
Hai le mie simpatie.Pulire dopo un hack non è mai piacevole.
JesseM
2017-01-21 04:02:42 UTC
view on stackexchange narkive permalink

Senza vedere le intestazioni delle email, non c'è modo per noi di esserne sicuri, ma sembra più probabile che l'avviso di posta elettronica fosse il phishing, come dice Jimmy James sopra. Molto più facile per l'attaccante che ha inserito il file lì, conoscerlo e "segnalarlo" a te "ufficialmente" per farti fare clic su di esso. CSRF sembra il tentativo più probabile in corso. L'autore dell'attacco non ha modo di sapere che la persona a cui l'ha inviato non aveva credenziali sul sito, ma come hai sottolineato, ha utilmente inoltrato l'email a te, chi le ha. Non sto dicendo che ha avuto successo, ma la risposta a "Come facevano a saperlo" sembra molto probabilmente "Non l'hanno fatto e la notifica è stata falsificata".

Si, grazie.Ho chiesto al proprietario di rispondere e chiamare il CERT per scoprirlo.Probabilmente potrò presto entrare in possesso delle intestazioni delle e-mail, solo non oggi ... (Ora è nella giungla neozelandese lol)
Bill K
2017-01-21 04:57:34 UTC
view on stackexchange narkive permalink

Questo sarebbe un buon modo per fare Phishing a qualcuno quando potresti hackerare "un po '" il suo sito.

Basta scrivere un file benigno sul suo server, quindi contattarlo e avviare una conversazione con il governo "Tech". A quel punto, se non fossi sospettoso, probabilmente potrebbero chiederti di fare qualsiasi cosa e tu lo faresti e basta.

Mi rendo conto che non hai detto che ti hanno chiesto di contattarli o altro, quindi forse no, ma mi piace sempre sbagliare dalla parte della paranoia.

STW
2017-01-21 14:12:07 UTC
view on stackexchange narkive permalink

Cosa fa questo sito web? Ospita account o accetta carte di credito?

Il file dovrebbe essere considerato un chiaro segno che sei stato effettivamente compromesso. Non conosci l'estensione o il vettore dell'attacco, ma il file potrebbe essere un "flag" che un bot cerca per determinare che il server è ancora compromesso.

Quindi assicurati di mantenere i backup e conserva i timbri di data / ora, i log del server web e i backup stessi. Torna al tuo primo backup e controlla se il file è presente, confronta anche i contenuti del sito con i contenuti previsti.

Cerca anche nei tuoi log le richieste al file s.htm . Di tanto in tanto potresti trovare una rete bot che effettua il check-in per vedere che le luci sono accese. C'è la strana possibilità che tu possa usare le informazioni IP che trovi lì per cercare altro traffico, il che potrebbe scoprire le orme dell'attacco.

Nel frattempo contatta il mittente dell'email - be assicurati di cercare le loro informazioni di contatto da una fonte ufficiale e non dall'email stessa. Ho ricevuto notifiche simili da provider di hosting, che potrebbero anche cercare il file se è noto che indica una macchina compromessa.

No, ospitiamo una manciata di account, per niente traffico elevato.Niente carte di credito, ecc. Ottimo consiglio STW ... Seguito ora.Grazie
Jefrey Sobreira Santos
2017-01-21 09:54:04 UTC
view on stackexchange narkive permalink

Penso davvero che sia un attacco di phishing.

Tuttavia, è anche possibile per le agenzie CERT ottenere un elenco di siti compromessi tramite i mirror di deturpazione, come Zone-H. Ma non vedo perché lo avrebbero fatto.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...