Man in the Mail

[RiccaVannu]

A me viene da ridere ! Non pensavo "utenti" potesse generare una tale confusione....
Comunque il resto che hai detto è coretto(una ridondante sintesi di quanto ho già espresso, ma è corretto.)
Per l'analisi di quanto accaduto non è importante, dal mio modesto punto di vista, che vi dia maggiori info(domini esatti, header dei messaggi etc.). Quello che cercavo erano solo spunti(sniffing della rete, e-mail craccata) e stop. Se poi non vi piace quello che scrivo, come lo scrivo e pensate che non capisca niente potreste anche andare a fare altro invece di rispondermi :)

Post unito automaticamente: 25 Novembre 2021

Io credo che il problema sia stato qui.

anche io sono di questa opinione, cercavo qualcuno che avesse avuto esperienza di questo tipo(cioè tipo nome del malware, come funziona etc..), grazie

 

[ArthurMorgan]

Non capisco come mai troviate così difficile seguire una discussione del genere. Mi pare sia stato abbastanza chiaro RiccaVannu, sia con i dettagli forniti che con i test effettuati, che da messaggio privato mi ha garantito esser stati effettuati mediante l'analisi degli header di posta, quindi davvero non comprendo perché non contribuiate in maniera costruttiva alla discussione piuttosto che dibattere su minuzie quali l'uso di terminologie affatto inerenti alla questione.
Per tornare nel merito, @RiccaVannu ,non è mai risultato niente dalle scansioni sui PC? Da quel che ho capito non c'è stata alcuna violazione di server di posta, dato il check che hai effettuato sui log, né sono stati effettuati accessi illegittimi agli account compromessi da indirizzi IP che non fossero quelli aspettati...quindi è come se avessero avuto una "soffiata" o un monitoraggio del fatto che quel tipo di conversazione tra la tua collega e i clienti fosse in atto in quel momento, e si sono intromessi con un indirizzo creato pochi giorni prima appositamente per fare spear phishing diretto...

 

[RiccaVannu]

Non capisco come mai troviate così difficile seguire una discussione del genere. Mi pare sia stato abbastanza chiaro RiccaVannu, sia con i dettagli forniti che con i test effettuati, che da messaggio privato mi ha garantito esser stati effettuati mediante l'analisi degli header di posta, quindi davvero non comprendo perché non contribuiate in maniera costruttiva alla discussione piuttosto che dibattere su minuzie quali l'uso di terminologie affatto inerenti alla questione.
Per tornare nel merito, @RiccaVannu ,non è mai risultato niente dalle scansioni sui PC? Da quel che ho capito non c'è stata alcuna violazione di server di posta, dato il check che hai effettuato sui log, né sono stati effettuati accessi illegittimi agli account compromessi da indirizzi IP che non fossero quelli aspettati...quindi è come se avessero avuto una "soffiata" o un monitoraggio del fatto che quel tipo di conversazione tra la tua collega e i clienti fosse in atto in quel momento, e si sono intromessi con un indirizzo creato pochi giorni prima appositamente per fare spear phishing diretto...

Sul pc, ho utilizzato Malware Bytes, non ho trovato niente. Possibile che l'eventuale malware si sia disinstallato in autonomia secondo te? Mi fido abbastanza di Malware Bytes

 

[ArthurMorgan]

Sul pc, ho utilizzato Malware Bytes, non ho trovato niente. Possibile che l'eventuale malware si sia disinstallato in autonomia secondo te? Mi fido abbastanza di Malware Bytes

Non ne ho idea, è l'ipotesi più plausibile, ma il virus dovrebbe essersi disinstallato da sé dopo aver agito, altrimenti non si spiega il fatto che non è rintracciabile da scansione Malwarebytes.

 

[Andretti60]

Ho chiesti chiarimenti, (come è normali nelle discussioni in un forum) ho espresso la mia idea cercando di dare un aiuto e tu ti lamenti?
Ok.

 

[Mursey]

ma il virus dovrebbe essersi disinstallato da sé dopo aver agito

Manda una sola e-mail e poi si cancella?
Poco probabile.

Per quello che ne sappiamo potrebbe essere stata anche la collega a tentare la truffa, senza offesa eh... è per considerare tutto.

In sezione abbiamo https://forum.tomshw.it/threads/procedura-scansioni-preliminari.736474/ che permette un controllo approfondito sul pc.
Andrebbe fatta questa verifica ma non so quanto è fattibile ormai...

 

[ArthurMorgan]

Manda una sola e-mail e poi si cancella?
Poco probabile.

Per quello che ne sappiamo potrebbe essere stata anche la collega a tentare la truffa, senza offesa eh... è per considerare tutto.

In sezione abbiamo https://forum.tomshw.it/threads/procedura-scansioni-preliminari.736474/ che permette un controllo approfondito sul pc.
Andrebbe fatta questa verifica ma non so quanto è fattibile ormai...

Il punto è che la e-mail è stata inviata da un indirizzo esterno al dominio, il virus potrebbe semplicemente aver fatto da vettore per monitorare silentemente gli scambi sulla casella di posta e riferirli al criminale informatico in attesa di una buona discussione in cui inserirsi, ma mi pare un po' articolata come cosa...non so.

 

[RiccaVannu]

Manda una sola e-mail e poi si cancella?
Poco probabile.

Per quello che ne sappiamo potrebbe essere stata anche la collega a tentare la truffa, senza offesa eh... è per considerare tutto.

In sezione abbiamo https://forum.tomshw.it/threads/procedura-scansioni-preliminari.736474/ che permette un controllo approfondito sul pc.
Andrebbe fatta questa verifica ma non so quanto è fattibile ormai...

Grazie mille Mursey. Ha mandato e-mail a due clienti differenti, e questo mi sembra di averlo scritto, aggiungo inoltre che gli scambi e-mail sono durati 2/3 giorni quindi non si è trattato di una sola e-mail

 

[Andretti60]

Manda una sola e-mail e poi si cancella?
...

Concordo.
Personalmente appena ho capito la situazione ho pensato subito a Eavesdropping (non so come si dica in italiano, scusate), che è una tattica estremamente efficace perché non lascia traccia alcuna.

 

[Mursey]

Grazie mille Mursey. Ha mandato e-mail a due clienti differenti, e questo mi sembra di averlo scritto, aggiungo inoltre che gli scambi e-mail sono durati 2/3 giorni quindi non si è trattato di una sola e-mail

Va bene, difficile dire cosa sia successo.

Qui sul Forum abbiamo Utenti e Staff molto preparati ma la possibilità di azione puoi capire che è limitata tramite Forum, inoltre reagire in modo aggressivo non aiuta il dialogo.
Stiamo tentando di capire insieme ?

 

[RiccaVannu]

Va bene, difficile dire cosa sia successo.

Qui sul Forum abbiamo Utenti e Staff molto preparati ma la possibilità di azione puoi capire che è limitata tramite Forum, inoltre reagire in modo aggressivo non aiuta il dialogo.
Stiamo tentando di capire insieme ?

Io aggressivo? Mi sono posto in maniera educata però mi infastidisco se mi viene detto, senza alcun motivo, che non capisco niente oppure che non posso chiamare i miei colleghi "utenti"( 1) si capisce leggendo lo scambio che mi riferisco ai miei colleghi 2) non è importante ai fini di quello che stiamo discutendo)

Post unito automaticamente: 25 Novembre 2021

Concordo.
Personalmente appena ho capito la situazione ho pensato subito a Eavesdropping (non so come si dica in italiano, scusate), che è una tattica estremamente efficace perché non lascia traccia alcuna.

Scusa, ma è un po’ difficile seguirti, cerca di essere consistente nel linkare la voce corretta invece che "origliare" generico su Wikipedia.

 

[Andretti60]

Scusa, ma come faccio a capire che tu per “utenti” intendi colleghi che lavorano nella stessa azienda? Anche io lavoro in una corporazione, per me gli “utenti” sono quelli che usano i nostri servizi aziendali, non certo i miei colleghi. Per questo ho chiesto chiarimenti e mi sembra di averlo chiesto educatamente. Infatti anche tu all’inizio hai usato il termine “collega”. Da nessuna parte ho mai detto che tu non sappia niente (anche perché io sono il primo a dire che io stesso non sappia niente, il chè e vero)

Secondo, leggi bene la pagina web che ti ho linkato. C’è una sezione dedicata agli attacchi a reti informatiche, che ti linka Questa pagina.

 

[ArthurMorgan]

Scusa, ma come faccio a capire che tu per “utenti” intendi colleghi che lavorano nella stessa azienda? Anche io lavoro in una corporazione, per me gli “utenti” sono quelli che usano i nostri servizi aziendali, non certo i miei colleghi. Per questo ho chiesto chiarimenti e mi sembra di averlo chiesto educatamente. Infatti anche tu all’inizio hai usato il termine “collega”. Da nessuna parte ho mai detto che tu non sappia niente (anche perché io sono il primo a dire che io stesso non sappia niente, il chè e vero)

Secondo, leggi bene la pagina web che ti ho linkato. C’è una sezione dedicata agli attacchi a reti informatiche, che ti linka Questa pagina.

Potevi postare direttamente la pagina interessata invece di fare i sistemi a matrioska.

 

[Andretti60]

Potevi postare direttamente la pagina interessata invece di fare i sistemi a matrioska.

Perché pensavo di avere a che fare con persone adulte che sappiano usare internet?
Ok, vedo che in questa discussione non sono apprezzato. Mi ritiro.

 

[Skills07]

io semplicemente cerco di dare idea di quanto successo.
Comunque se non riscontri accessi strani sulla email della tua collega dai log.
Se non riscontri virus o altro sul pc della tua collega è molto piu' probabile che abbiano bucato la mail del cliente per leggere le sue email e hanno cercato di rimpiazzare l'account con cui spesso messaggiava (tanto se usi outlook quando scrivi pippo.pluto@mail.it) outlook scrive pippo pluto come mittente.
Tutto semplice, di questi attacchi ne ho visti spesso, e succedono laddove non si attiva la multiauth quando i sistemisti interni si tengono da parte le password dei colleghi (occorrerebbe sempre attivare i protocolli piu alti di sicurezza)