Question:
Mon adresse e-mail est utilisée pour m'inscrire aux services en ligne. Dois-je m'inquiéter?
Wes Sayeed
2020-01-06 10:23:13 UTC
view on stackexchange narkive permalink

Juste avant Noël, j'ai reçu le message suivant dans l'un de mes comptes GMail:

La tentative de connexion a été bloquée
********@gmail.com [ rédigé par moi]

Quelqu'un vient d'utiliser votre mot de passe pour essayer de se connecter à votre compte. Google les a bloqués, mais vous devriez vérifier ce qui s'est passé.

Je me suis connecté à ce compte et j'ai regardé l'activité (pas en cliquant sur le lien dans le message, bien sûr) et effectivement il y avait un tentative de connexion bloquée depuis les Philippines.

Je suppose que cela signifie qu'un attaquant a saisi le nom d'utilisateur et le mot de passe corrects pour mon compte, mais a probablement été bloqué car il n'a pas pu réussir le défi MFA. Ou peut-être que la détection des fraudes de Google est vraiment décente et qu'il sait que je ne suis jamais allé aux Philippines? Quoi qu'il en soit, j'ai immédiatement changé le mot de passe et (pour autant que je sache) l'attaquant n'a pas pris le contrôle du compte.

Cependant, au cours des 2 semaines qui ont suivi, j'ai reçu plusieurs demandes de vérification par e-mail à partir de divers services en ligne auxquels je ne me suis jamais inscrit - Spotify, OKCupid, un concessionnaire Nissan en Pennsylvanie (celui-là est intéressant), et quelques autres dont je n'ai jamais entendu parler auparavant. Quelqu'un utilise activement mon adresse GMail pour s'inscrire à ces services.

Le compte en question n'est pas mon compte principal, et bien que le mot de passe dessus était certes faible, il était également unique (je n'ai jamais utilisé sur autre chose). Je l'ai changé pour un mot de passe beaucoup plus fort maintenant.

Dois-je m'inquiéter à ce sujet?

De plus, si l'attaquant n'a pas pris le contrôle du compte, pourquoi l'utiliser pour s'inscrire à tous ces services?

Qu'est-ce qui vous fait penser qu'ils connaissent le mot de passe?Auraient-ils pu simplement essayer votre adresse e-mail et n'importe quel mot de passe (peut-être d'un autre site piraté?) Quoi qu'il en soit, c'est bien que vous vous soyez protégé en changeant le mot de passe.
Je reçois cela depuis des années - des reçus par e-mail, des itinéraires, des liens "confirmez le compte que vous venez de créer", des publicités "non-spam" (abonné / vous avez un compte avec nous), des mises à jour sur les réseaux sociaux, une fois l'image d'un document juridique littéral, et d'autres ordures.Tout à mon adresse e-mail principale.Pendant des années.Personne ne semble avoir jamais compromis mon courrier électronique, ni tenté de le faire.Et pourtant, pendant des années, une ou plusieurs entités * occasionnellement * utilisent mon adresse e-mail pour créer des comptes ou répertorier des informations de contact quelque part, je suppose.Vous vous demandez la même chose que vous, mais ma vie semble bien jusqu'à présent?
@Hand-E-Food l'e-mail de Google indique qu'ils ont utilisé le mot de passe de l'OP, ce qui implique qu'ils ont utilisé le mot de passe correct pour le compte.
Êtes-vous absolument sûr de ne pas avoir réutilisé le mot de passe ailleurs?Qu'en est-il des mots de passe très similaires?Si c'est vrai, je me demanderais comment ils ont obtenu votre mot de passe pour commencer.
@Wes Sayeed Gmail fait des choses amusantes avec des arrêts complets dans les adresses e-mail.Par exemple, si votre e-mail était wes.sayeed@gmail.com, vous recevrez également un e-mail envoyé à wessay.eed@gmail.com.J'ai moi-même un compte gmail de mots-dictionnaire et j'ai reçu de nombreux e-mails mal dirigés de systèmes externes qui n'honorent / ne gèrent pas le point.https://support.google.com/mail/answer/7436150?hl=en
@Wes Sayeed Je dois souligner que mon commentaire porte davantage sur le suivi du phishing et non sur l'accès à votre compte en premier lieu.Voir ce Q pour plus: https://security.stackexchange.com/questions/210045/why-would-someone-open-a-netflix-account-using-my-gmail-address?rq=1
Voici l'autre question: l'e-mail "tentative de connexion" est-il encore légitime?https://www.techjunkie.com/gmail-login-history/ Les méchants et faux tout le reste.De plus, ce n'est pas parce qu'ils ont récupéré votre e-mail qu'ils ont votre mot de passe.J'ai reçu des centaines de faux reçus de pomme pour les iPhones, etc. et là TOUS faux.
@cybernard "tentative de connexion bloquée depuis les Philippines"
Vous avez dit que le mot de passe est unique mais pas fort.Est-il possible que vous ayez choisi un mot de passe qui aurait pu être utilisé par d'autres?Cela ne ferait pas de mal de le mettre dans [HIBP] (https://haveibeenpwned.com/Passwords) pour voir s'ils ont vu le mot de passe utilisé à d'autres endroits - cela pourrait expliquer comment quelqu'un l'a deviné.Quoi qu'il en soit, j'ai vu votre commentaire sur la façon dont vous pensez que votre question n'est toujours pas vraiment répondue, donc si rien ne se présente dans un jour ou deux, je vais commencer une prime et voir si nous pouvons obtenir une réponse plus directe.
Personne d'autre n'a mentionné le transfert.Il est possible qu'avant que Google les bloque, l'attaquant ait pu configurer votre Gmail pour transférer les e-mails vers sa propre adresse e-mail.Cela leur permettrait de recevoir des copies des e-mails de vérification à l'avenir, et c'est généralement l'une des premières choses que les attaquants font après avoir compromis un compte de messagerie.
En outre, une autre façon dont ils auraient pu obtenir votre mot de passe est de compromettre votre ordinateur.Vous devriez rechercher les logiciels malveillants au cas où.
@jdgregson Ceci.Un de mes collègues s'est fait pirater son compte de messagerie l'année dernière et je lui ai conseillé de vérifier s'il y avait une nouvelle configuration de transfert.Vous savez quoi?Il y en avait un.
Je sais pertinemment qu'une fuite inconnue s'est produite quelque part.J'ai réussi à me connecter à mes comptes de messagerie que j'utilise pour recevoir du spam.Il a partagé un mot de passe avec beaucoup de choses que je n'ai utilisées qu'une seule fois (ces forums où vous devez vous inscrire pour télécharger quelque chose) et je ne suis toujours pas préoccupé par cette fuite.Mais je sais que l'un de ces services a en quelque sorte compromis ce mot de passe.
Cinq réponses:
hax
2020-01-06 12:39:54 UTC
view on stackexchange narkive permalink

Dois-je m'inquiéter à ce sujet?

Oui.

Cela devrait vous préoccuper car un attaquant a pu obtenir le mot de passe valide pour votre compte Gmail. D'après les détails de l'avertissement que vous avez fourni, il semble que cela provienne d'une détection de fraude plutôt que d'une défaillance OTP. S'il s'agissait d'un échec OTP, vous auriez reçu un OTP lors de cette tentative de connexion (à moins que votre mécanisme de livraison OTP ne soit pas basé sur un e-mail ou un SMS).

Vous devriez explorer la possibilité que votre mot de passe ait fuité. Effectuez une recherche sur HaveIBeenPwned pour voir si l'un des sites Web sur lesquels vous avez utilisé cet e-mail a été compromis. Il est probable que vous ayez utilisé le même mot de passe pour vous inscrire à un service trivial et que vous ayez tout oublié.

L'intention de l'attaquant n'était pas d'utiliser votre adresse e-mail pour inscrire ces services, mais cela semble comme une tentative de vérifier si vous êtes un utilisateur de l'un de ces services. La plupart des options d'inscription vous demanderaient de vous connecter au lieu de vous inscrire si vous avez un compte existant avec eux. À première vue, l'attaquant voulait identifier les services auxquels vous êtes déjà inscrit avec cet e-mail et voulait essayer le même mot de passe sur eux.

Pour résumer encore une fois, oui, vous devriez vous inquiéter. Vous devriez explorer pourquoi vous êtes ciblé en premier lieu et comment cette compromission initiale du mot de passe a pu se produire.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/103015/discussion-on-answer-by-hax-my-email-address-is-being-used-to-enroll-pour-en ligne).
FWIW J'ai tendance à convenir que l'utilisateur doit être préoccupé par le fait que quelqu'un a découvert son mot de passe unique.Il est possible qu'il y ait un compromis ailleurs, mais je soupçonne que c'est plutôt que le mot de passe était facilement devinable.L'étude des vecteurs de compromis vaut souvent la peine, même si vous ne trouvez rien.
Je suggère également à l'utilisateur de taper son mot de passe compromis dans haveIBeenPwned en plus de l'adresse e-mail pour voir s'il s'agit d'une violation.
schroeder
2020-01-08 21:10:09 UTC
view on stackexchange narkive permalink

L'utilisation de votre adresse e-mail pour vous inscrire à des services pourrait être une coïncidence et ne pas être effectuée par la partie qui s'est connectée à votre compte. Je reçois une douzaine de ces types d '"erreurs" par semaine du monde entier en raison de mon compte de messagerie assez générique. Donc, cet ensemble d'événements peut ne pas être lié à la personne qui s'est connectée.

Cependant, il y a quelques scénarios que je vois s'il y a une sorte de corrélation entre les deux événements:

Scénario 1: Intention innocente

La partie connectée a tenté de se connecter à ce qu'elle pensait être son compte pour accéder à l'e-mail et, en utilisant votre mot de passe faible (comme vous l'avez admis) , a eu la chance de se connecter. Ils ont continué à utiliser l'e-mail pour s'inscrire, pensant que c'était vraiment le leur.

En plus des dizaines de mauvais e-mails que je reçois, je reçois aussi beaucoup des tentatives de "réinitialisation du mot de passe". Bien que certains d'entre eux puissent être des pirates essayant d'entrer, le volume et le fait qu'ils arrivent par rafales suggèrent que ce sont des gens qui essaient d'entrer dans ce qu'ils pensent être leurs propres comptes.

Le risque dans ce scénario est très faible car toutes les personnes impliquées n'ont aucune mauvaise intention et les choses ont été faites par erreur. Ils pourraient être frustrés d'avoir perdu l'accès à ce qu'ils pensaient être le leur.

Scénario 2: Bot de collecte d'e-mails

Il existe des scripts automatisés qui tentent de forcer brutalement tous les types de comptes dans le but de vendre l'accès à ces comptes. Je gère mes propres pots de miel et je les reçois tout le temps. Le modèle est que le bot essaie de se connecter, puis une fois la connexion réussie, il s'arrête simplement. Son travail consiste uniquement à enregistrer les informations d'identification correctes. Il est ensuite exposé ou vendu à ceux qui souhaitent l'utiliser. D'après mon expérience, je vois le succès de la force brute automatisée qui s'arrête soudainement, puis des jours plus tard, des gens se connectent du monde entier et exécutent manuellement des scripts malveillants. (Je fais des présentations où je montre comment les pirates fonctionnent commande par commande une fois qu'ils y ont accès. Parfois, cela devient assez hilarant.)

Avec votre mot de passe faible, l'un de ces robots aurait pu découvrir les informations d'identification correctes, arrêté , l'a enregistré dans une base de données, puis est passé à autre chose. Il ne sait peut-être même pas que Google l'a empêché d'aller plus loin. Maintenant, les gens utilisent votre e-mail de cette base de données comme un "compte piraté" connu pour s'inscrire aux services, sans savoir que l'activité du bot a été découverte et que vous avez changé le mot de passe.

Pourquoi des services apparemment aléatoires? Pour contourner les interdictions sur leurs comptes principaux, pour lancer des robots de forum, des robots de spam, des robots de réputation ou similaires, ou toute une foule de méchancetés automatisées.

Le risque ici est que votre e-mail soit désormais bien connu pour être malveillant des acteurs qui le savent parce qu'ils veulent l'exploiter. Après un certain temps, ils devraient cesser d'utiliser votre e-mail et passer à un autre des milliers disponibles. Mais vous êtes maintenant sur une liste.

Inquiétude

Devez-vous vous inquiéter? Oui. Mais seulement dans la mesure où la nécessité de renforcer votre mot de passe (mot de passe plus long, 2FA, plus de surveillance, etc.). Il semble que vos risques et menaces sont limités et que vous avez réagi de manière appropriée.

La section "intention innocente" me paraît peu probable.Les chances que quelqu'un d'un autre pays croie avoir enregistré la même adresse e-mail ** et ** ont deviné accidentellement le mot de passe sont tout simplement une trop grande coïncidence pour moi.
Preuve à l'appui: combien de personnes aux Philippines ont besoin pour ouvrir un compte chez un concessionnaire Nissan en Pennsylvanie?
@Michael cela dépend de la faiblesse de ce mot de passe.Le point de pays différent est étrange à évoquer.Vous n'avez aucune idée de quel pays le PO est originaire ou si son compte de messagerie a un lien culturel avec les Philippines.Des gens s'inscrivent partout dans le monde à l'aide de mon adresse e-mail.Et c'est Gmail, c'est mondial.
@Michael beaucoup de Philippins en Pennsylvanie ...
Quant à votre argument sur la probabilité, une fois que nous avons éliminé les hypothèses ethniques et nationales, la probabilité se résume à la faiblesse du mot de passe.Plus le mot de passe est faible, plus cela devient probable.Moi aussi, je pense que le bot est plus probable, mais l'explication innocente doit encore être considérée.Se concentrer uniquement sur le malveillant met des œillères sur la situation.
@Michael J'ai eu des gens qui s'inscrivent innocemment à des services en utilisant mon compte de messagerie * plusieurs * fois, la pire infraction impliquant quelqu'un qui s'est enregistré pour un compte paypal en utilisant mon adresse e-mail en France.Apparemment, beaucoup de gens pensent que mon adresse e-mail est leur adresse e-mail.Si j'utilisais également un mot de passe faible et que 2FA n'était pas activé, je pourrais certainement me retrouver exactement dans la situation décrite par schroeder.Ce ne sont peut-être pas les circonstances les plus probables dans tous les cas (ou même celui-ci), mais cela vaut toujours la peine d'en discuter.
@schroeder C'est vrai que je n'ai aucune idée d'où vient OP, mais l'implication est probablement «pas les Philippines» et peut-être «pas Penn».Certes, il peut y avoir beaucoup de Philippins en Pennsylvanie, mais les différents scénarios qui correspondent à une adresse IP philippine pour GMail, puis dans les 2 semaines à une inscription Nissan à Penn sont encore un étirement mental supplémentaire (par exemple, VPN, déménagé aux États-Unis dans ces 2 semaines, acheter une voiture au nom de quelqu'un d'autre, ...)
@ConorMancone (et schroeder): Je comprends absolument que les gens s'inscrivent par erreur pour des choses avec l'adresse e-mail de quelqu'un d'autre.Il y a même [un XKCD] (https://xkcd.com/1279/) à ce sujet.Mais les chances que quelqu'un l'ait fait, pour un tas de sites, dans les deux semaines suivant une supposition de mot de passe réussie et suspecte, sont extrêmement faibles.Je suppose que OP l'aurait mentionné si les inscriptions erronées se produisaient tout le temps avant le message de GMail.
@ConorMancone oh wow- merci!
MiaoHatola
2020-01-06 12:23:41 UTC
view on stackexchange narkive permalink

Vous ne devriez pas vous inquiéter.

Comme vous l'avez dit vous-même, l'attaquant a été bloqué et vous avez changé le mot de passe. Cependant, vous devez prendre certaines mesures:

  1. Vérifiez que le mot de passe découvert n'indique aucun autre mot de passe que vous pourriez avoir utilisé ailleurs.
  2. Renforcez les mots de passe de les autres comptes que vous détenez que l'attaquant peut déduire de l'adresse attaquée.
  3. Essayez la fonction «réinitialiser le mot de passe» sur les sites où l'attaquant vous a inscrit. De cette façon, vous pouvez vérifier qu'ils n'ont en fait pas eu accès à votre e-mail (en vérifiant qu'ils n'ont pas terminé le processus d'inscription).

Quant à votre dernière question, c'est une longue -shot mais c'est peut-être un système automatisé qui a découvert votre mot de passe et l'attaquant n'a pas remarqué l'authentification multifacteur (?).

En réinitialisant, vous avez prémédité l'incident.En priorité, configurez OTP / 2FA avec l'authentification Google, et ne vous inquiétez plus jamais.Ensuite, faites-le sur tous les comptes qui vous intéressent et ne le prêtez jamais à A.Hacker même si elle le demande gentiment.
Afin de mieux expliquer l'attaque à l'OP, je suggérerais également que le mot de passe en clair aurait pu être découvert après l'une des nombreuses fuites de données.Haveibeenpwned fournit un service pour vérifier si un mot de passe en clair est connu ou non.Par exemple.mon ancien mot de passe Linkedin était * pwned *, est publiquement connu et n'est plus utilisé.
WooShell
2020-01-07 18:15:30 UTC
view on stackexchange narkive permalink

Autant que je sache, MFA ne protège que votre connexion au service de messagerie Web GMail. Si l'attaquant parvenait à deviner votre mot de passe et vous avez activé l'accès client IMAP sur votre compte GMail, il aurait toujours eu accès à vos e-mails jusqu'au moment où vous avez changé le mot de passe. Vous devez absolument revoir ces paramètres d'accès, vérifier la corbeille et les dossiers envoyés pour tout ce qui aurait pu être laissé par l'attaquant, et décider d'autres actions en fonction des résultats.

Le centre d'aide de Google implique que l'accès via IMAP nécessitera un mot de passe d'application: https://support.google.com/mail/answer/7126229 (détails sous Dépannage).J'ai essayé de connecter mon compte Gmail via IMAP et je ne fonctionnerais pas sans 2FA (Thunderbird semble prendre en charge cela pour Gmail en particulier).
Merci @joshhendo pour cette clarification.Je n'ai pas utilisé GMail depuis de nombreuses années maintenant, mais il fonctionnait uniquement avec le mot de passe du compte à l'époque.Il semble que cela ait été fortifié depuis.
@joshhendo BTW si on n'utilise pas 2FA pour google, on peut toujours utiliser le mot de passe de messagerie pour l'accès IMAP, bien que gmail recommandera de "désactiver l'accès non sécurisé aux applications" et d'utiliser des mots de passe d'application à la place (au moins cela fonctionnait comme il y a deux mois).
Anonymous
2020-01-09 02:26:01 UTC
view on stackexchange narkive permalink

De plus, si l'attaquant n'a pas pris le contrôle du compte, pourquoi l'utiliser pour s'inscrire à tous ces services?

Tout d'abord, une partie du spam que vous sont peut-être en fait des tentatives de phishing pour vous inciter à révéler votre mot de passe.

Deuxième raison, et peut-être la plus évidente: puisque toutes ces tentatives de connexion génèrent des notifications de sécurité, le pirate veut évidemment «se noyer» ces notifications dans un déluge de spam. En effet, vous êtes plus susceptible de rejeter les notifications comme spam.

"toutes ces tentatives de connexion" - quelles tentatives?


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...