web-dev-qa-db-ja.com

私の電子メールアドレスは、オンラインサービスの登録に使用されています。心配する必要がありますか?

クリスマス直前に、GMailアカウントの1つで次のメッセージを受け取りました。

ログイン試行がブロックされました
******** @ gmail.com [私が編集]

誰かがあなたのパスワードを使用してアカウントにサインインしようとしました。 Googleはそれらをブロックしましたが、何が起こったかを確認する必要があります。

私はそのアカウントにサインインし、アクティビティを確認しました(もちろん、メッセージのリンクをクリックしたのではありません)。実際、フィリピンからのサインインの試みはブロックされていました。

これは、攻撃者が私のアカウントに正しいユーザー名とパスワードを入力したが、MFAチャレンジに合格できなかったためにブロックされた可能性があることを意味します。それとも、Googleの不正検出は実際にはまともで、私がフィリピンに行ったことがないことを知っているのでしょうか?いずれにしても、私はすぐにパスワードを変更しましたが、(私の知る限り)攻撃者はアカウントを制御できませんでした。

しかし、それから2週間で、私がサインアップしたことのないさまざまなオンラインサービスから、Spotify、OKCupid、ペンシルベニア州の日産販売店(興味深い)、その他いくつかのメール確認リクエストを受け取りました。これまで聞いたことがない。これらのサービスに登録するために、誰かが私のGmailアドレスを積極的に使用しています。

問題のアカウントは私のメインアカウントではありません。そのアカウントのパスワードは明らかに弱いものでしたが、それもユニークでした(私は他のアカウントで使用したことはありません)。今はもっと強力なパスワードに変更しました。

これについて心配する必要がありますか?

また、攻撃者がアカウントを制御できなかった場合、なぜそれを使用してこれらすべてのサービスに登録するのですか?

authenticationpasswordsmalwareemailattacks
65
Wes Sayeed

これについて心配する必要がありますか?

はい。

攻撃者があなたのGmailアカウントの有効なパスワードを入手することができたので、これはあなたにとって心配であるはずです。あなたが提供した警告の詳細から、それはOTP障害ではなく詐欺検出によるもののようです。それがOTP障害であった場合、そのログイン試行が行われたときにOTPを受け取ります(OTP配信メカニズムが電子メールまたはSMSに基づいていない場合を除く)。

パスワードが漏洩した可能性を探ってください。 HaveIBeenPwned を検索して、そのメールを使用したWebサイトのいずれかが侵害されていないかどうかを確認します。簡単なサービスへのサインアップに同じパスワードを使用していて、そのすべてを忘れている可能性があります。

攻撃者の意図は、これらのサービスの登録にメールを使用することではなく、これらのサービスのユーザーであるかどうかを確認する試みのように見えます。ほとんどのサインアップオプションでは、既存のアカウントを持っている場合は、サインアップの代わりにログインを求められます。その見た目から、攻撃者はあなたがそのメールですでに登録しているサービスを特定したいと思っており、それらに対して同じパスワードを試したいと思っていました。

もう一度まとめると、はい、心配する必要があります。そもそもなぜ標的にされているのか、その最初のパスワード侵害がどのように行われたのかを探る必要があります。

96
hax

サービスにサインアップするためのメールの使用可能性があるは偶然であり、ログインした当事者によって行われていないアカウント。私はかなり一般的なメールアカウントを使用しているため、世界中から週に数十種類のこれらの「間違い」を受け取っています。したがって、この一連のイベントは、ログインしたユーザーとは関係がない場合があります。

ただし、2つのイベントの間に何らかの相関関係があるかどうかを確認するシナリオがいくつかあります。

シナリオ1:無実の意図

ログインしている当事者が、自分のアカウントだと思っていたメールにアクセスするためにログインしようとしましたが、弱いパスワード(認めたとおり)を使用してログインできました。彼らはメールを使い続けています。本当に自分のものだと思っているものにサインアップする。

間違った電子メールを何十通も受け取るとともに、「パスワードのリセット」を何度も試みます。それらのいくつかは侵入しようとするハッカーである可能性がありますが、その量、およびそれらが急増するという事実は、これらが自分のアカウントであると考えていることに侵入しようとしている人々であることを示唆しています。

このシナリオのリスクは、関係者全員が悪い意図を持たず、物事が誤って行われたため、非常に低くなっています。彼らは彼らが彼らのものであると思ったものへのアクセスを失ったことに苛立ちを感じるかもしれません。

シナリオ2:メール収集ボット

それらのアカウントへのアクセスを販売する目的であらゆる種類のアカウントをブルートフォース化しようとする自動化されたスクリプトが世の中に出ています。私は自分のハニーポットを経営していて、いつもそれを手に入れています。そのパターンは、ボットがログインを試み、ログインが成功すると停止するというものです。その仕事は、正しい資格情報を登録することだけです。次に、それを使用したい人に公開または売却します。私の経験では、成功した自動ブルートフォースが突然停止し、数日後、世界中から人々がログインして悪意のあるスクリプトを手動で実行するようになりました。 (私は、ハッカーがアクセス権を得た後、コマンドごとにどのように機能するかを示すプレゼンテーションを行います。時々、それは非常に陽気になります。)

弱いパスワードを使用すると、これらのボットの1つが正しい資格情報を発見し、停止して、データベースに登録し、次に進む可能性があります。グーグルがそれを先に進めるのをブロックしたことさえ知らないかもしれない。今、人々はそのデータベースからのあなたのメールを既知の「ハッキングされたアカウント」として使用し、ボットの活動が発見され、あなたがパスワードを変更したことを知らずにサービスにサインアップしています。

なぜ一見ランダムなサービスか?メインアカウントの禁止をバイパスし、フォーラムボット、スパムボット、レピュテーションなどのボット、または自動化された不親切なホスト全体を起動する。

ここでのリスクは、電子メールを悪用しようとする悪意のある行為者に知られてしまうことです。しばらくすると、彼らはあなたの電子メールの使用をやめて、数千の利用可能な別のものに移るべきです。しかし、あなたは今リストに入っています。

懸念

あなたは心配すべきですか?はい。ただし、パスワードを強化する必要がある限り(長いパスワード、2FA、より多くの監視など)。リスクと脅威は限定的で、適切に対応しているようです。

6
schroeder

心配する必要はありません。

あなたが言ったように、攻撃者はブロックされ、パスワードを変更しました。ただし、実行する必要があるいくつかのアクションがあります。

  1. 検出されたパスワードが、他の場所で使用した可能性のある他のパスワードを示唆していないことを確認します。
  2. 攻撃者が攻撃したアドレスから推測できる、保持している他のアカウントのパスワードを強化します。
  3. 攻撃者があなたを登録したサイトで「パスワードのリセット」機能を試してください。このようにして、実際に彼らがあなたのメールにアクセスできなかったことを確認できます(彼らがサインアッププロセスを完了していないことを確認することによって)。

あなたの最後の質問に関しては、これは長い目で見たものですが、それはあなたのパスワードを見つけた自動システムであるかもしれません、そして、攻撃者は多要素認証(?)に気づかなかった。

3
MiaoHatola

私の知る限り、MFAはGMail Webメールサービスへのログインのみを保護します。攻撃者がパスワードの推測に成功した場合and GmailアカウントでIMAPクライアントアクセスが有効になっている場合でも、パスワードを変更したときまでメールにアクセスできたままです。これらのアクセス設定を必ず確認し、ごみ箱と送信フォルダを確認して、攻撃者が残したものがないかどうかを確認し、その結果に基づいてさらにアクションを決定する必要があります。

2
WooShell