登录尝试被阻止
********@gmail.com [被我删除]
有人刚刚使用您的密码尝试登录您的帐户。 Google阻止了它们,但是您应该检查发生了什么。
我登录了该帐户并查看了该活动(当然,不是通过单击消息中的链接),并且确实存在
我试图阻止从菲律宾的登录尝试。
我认为这意味着攻击者为我的帐户输入了正确的用户名和密码,但由于无法通过MFA挑战而被阻止了。或者,也许Google的欺诈检测确实很不错,并且知道我从未去过菲律宾吗?无论哪种方式,我都立即更改了密码,并且(据我所知)攻击者无法控制该帐户。
但是,从那时起的两周内,我收到了几封电子邮件验证来自我从未注册过的各种在线服务的请求-Spotify,OKCupid,宾夕法尼亚州的日产经销店(很有趣),以及一些我以前从未听说过的其他服务。外面有人积极使用我的GMail地址来注册这些服务。
有问题的帐户不是我的主帐户,虽然该帐户的密码虽然很弱,但还是唯一的(我从来没有用在其他任何东西上)。我将其更改为现在更强的密码。
我应该担心这个问题吗?
此外,如果攻击者无法控制该帐户,为什么要使用要注册所有这些服务吗?
#1 楼
我应该担心吗?
是的。
这应该引起您的注意,因为攻击者能够获得有效的密码您的Gmail帐户。从您提供的警告的详细信息来看,它看起来像是来自欺诈检测而不是OTP故障。如果是OTP失败,则在尝试登录时会收到OTP(除非您的OTP传递机制不是基于电子邮件或SMS的)。
您应该探索密码泄漏的可能性。在HaveIBeenPwned上进行搜索,以查看您使用该电子邮件的网站是否遭到破坏。您可能使用了相同的密码来注册一个琐碎的服务,而忘记了所有。
攻击者的意图不是使用您的电子邮件来注册这些服务,而是看起来像是尝试验证您是否是其中任何一项服务的用户。如果您拥有现有帐户,大多数注册选项将要求您登录而不是注册。从外观上看,攻击者想要确定您已经通过该电子邮件注册的服务,并希望尝试使用相同的密码。
再总结一下,是的,您应该关注。您应该探索为什么首先要成为目标,以及最初的密码泄露可能是如何发生的。
评论
评论不作进一步讨论;此对话已移至聊天。
– schroeder♦
20年1月8日在7:35
FWIW我倾向于同意用户应该担心有人发现了他/她的唯一密码。可能在其他地方存在一些妥协,但我怀疑密码只是容易猜到的更多。调查折衷向量通常非常“值得”,即使您一无所获。
– Steve Sether
20年1月8日在17:01
我还建议用户除了电子邮件地址之外,还将其受感染的密码输入到hasIBeenPwned中,以查看其是否受到破坏。
– Steve Sether
20年1月8日在17:09
#2 楼
使用您的电子邮件注册服务可能是偶然的,并非登录帐户的一方完成。由于我的通用电子邮件帐户,每周我都会收到来自世界各地的十几种此类“错误”信息。因此,这组事件可能与登录的人无关。但是,我看到两种情况,两个事件之间是否存在某种关联:
情况1: Innocent Intent
登录的用户试图登录他/她认为是他们帐户的帐户才能访问该电子邮件,并使用您的弱密码(如您所承认的那样)很幸运地登录。一直在使用电子邮件进行注册,认为这确实是他们的事情。
除了收到的数十封错误电子邮件之外,我还收到了很多“密码重置”尝试。尽管其中一些可能是黑客试图入侵,但数量和它们大量涌入的事实表明,这些人是试图进入他们认为自己账户的人。
这种情况下的风险因为参与的每个人都没有恶意,而且事情都是错误地做的,所以这个比率很低。他们可能会因无法访问自己认为的权限而感到沮丧。
场景2:电子邮件收集机器人
那里有自动脚本试图暴力破解各种帐户,以出售访问权限这些帐户。我经营自己的蜜罐,而且一直都得到这些。模式是该机器人尝试登录,然后登录成功后就停止了。它的工作只是注册正确的凭据。然后将其暴露或出售给想要使用它的人。以我的经验,我看到成功的自动暴力突然停止了,然后几天后,我让人们从世界各地登录并手动运行恶意脚本。 (我在演示中展示了黑客一旦获得访问权,便按命令进行工作。有时候这很有趣。)
使用您的弱密码,这些漫游器之一可能会找到正确的凭据,将其停止,将其注册到数据库中,然后继续运行。它甚至可能不知道Google阻止了它进一步发展。现在人们将来自该数据库的电子邮件用作已知的“黑客帐户”来注册服务,却不知道该机器人的活动已被发现并且您更改了密码。
为什么看似随机的服务?要绕过其主要帐户的禁令,启动论坛僵尸程序,垃圾邮件僵尸程序,声誉或类似僵尸程序,或一整套自动不友好行为。
这里的风险是,您的电子邮件现在已被恶意参与者众所周知,他们知道关于它,因为他们想利用它。一段时间后,他们应该停止使用您的电子邮件,然后继续使用其他数千种电子邮件。但是您现在就在列表中。
关注事项
您是否应该担心?是。但是仅在需要加强密码的情况下(更长的密码,2FA,更多的监视等)。看来您的风险和威胁是有限的,并且您已做出适当的响应。
评论
我的“无辜的意图”部分令我感到震惊。来自另一个国家/地区的人会认为他们注册了相同的电子邮件地址,并且意外地猜到了密码的可能性对我来说太过巧合了。
–迈克尔
20年1月8日在16:03
支持证据:菲律宾有多少人需要在宾夕法尼亚州的日产经销商处注册帐户?
–迈克尔
20年1月8日在16:55
@Michael取决于密码的真实程度。提出不同的国家观点是一个奇怪的观点。您不知道OP来自哪个国家,或者他们的电子邮件帐户与菲律宾之间是否有文化联系。我让人们使用我的电子邮件地址注册全世界的东西。这就是Gmail,它是全球性的。
– schroeder♦
20年1月8日在17:02
关于您的可能性,一旦我们消除了种族和民族假设,可能性就归结为密码的弱点。密码越弱,则越有可能成为密码。我也认为该机器人更有可能,但是仍然需要考虑无辜的解释。只关注恶意软件会使情况视而不见。
– schroeder♦
20年1月8日在17:06
@Michael我曾经无数次无辜地使用我的电子邮件帐户注册服务,这是最严重的违法行为,涉及到有人使用我在法国的电子邮件地址注册了贝宝帐户。显然,很多人认为我的电子邮件地址是他们的电子邮件地址。如果我也碰巧使用了弱密码并且没有启用2FA,那么我肯定会遇到schroeder所描述的确切情况。在所有情况下(甚至是在这种情况下),可能并非都是最可能的情况,但仍然值得讨论。
– Conor Mancone
20年1月8日在17:43
#3 楼
您不必担心。就像您自己说的那样,攻击者被阻止了并且您更改了密码。但是,您应该采取一些措施:
验证所发现的密码没有暗示您可能在其他任何地方使用过的任何其他密码。
其他用户的哈登密码您拥有的帐户,表明攻击者可能从被攻击者的地址推导出来。
在攻击者为您注册的网站上尝试“重置密码”功能。这样,您可以验证他们实际上没有获得对您电子邮件的访问权限(通过验证他们没有完成注册过程)。
关于您的最后一个问题,这是一个长期的尝试,但可能是一个自动系统,发现了您的密码,攻击者未能注意到多因素身份验证(?)。
评论
通过重置,您已经预谋了该事件。优先设置具有Google身份验证的OTP / 2FA,再也不用担心。然后对您关心的所有帐户进行处理,即使A.Hacker要求很好,也不要将其借给A.Hacker。
–user2505690
20年1月6日在6:59
为了更好地解释对OP的攻击,我还建议在几次数据泄漏之一之后就可以发现明文密码。 Haveibeenpwned提供了一种检查明文密码是否已知的服务。例如。我的旧Linkedin密码已被伪造,已广为人知,并且已不再使用。
–usr-local-ΕΨΗΕΛΩΝ
20年1月7日,11:23
#4 楼
据我所知,MFA仅保护您对GMail网络邮件服务的登录。如果攻击者可以成功猜出您的密码,并且您在GMail帐户上启用了IMAP客户端访问权限,那么在更改密码之前,他仍然可以访问您的电子邮件。您绝对应该检查那些访问设置,检查垃圾箱和发送的文件夹中是否有攻击者可能留下的任何东西,并根据发现的结果决定进一步的操作。评论
Google的帮助中心意味着,通过IMAP访问将需要一个应用密码:support.google.com/mail/answer/7126229(详细信息在故障排除中)。我尝试通过IMAP连接我的Gmail帐户,如果没有2FA,该功能将无法使用(Thunderbird似乎特别支持Gmail)。
– joshhendo
20年1月7日在14:51
@joshhendo感谢您的澄清。我已经有很多年没有使用GMail了,但是那时它只使用帐户密码。此后似乎已得到加强。
– WooShell
20年1月7日14:56
@joshhendo顺便说一句,如果一个人不使用Google的2FA,则一个人仍可以使用邮件密码进行IMAP访问,尽管gmail建议您“禁用不安全的应用程序访问”并改用应用程序密码(至少两个月前就这样工作了) 。
– Matija Nalis
20年1月7日在21:48
#5 楼
另外,如果攻击者无法控制该帐户,为什么要使用它
来注册所有这些服务?
首先,其中一些
第二个原因,也许是最明显的原因:由于所有这些登录尝试都会生成安全通知,因此黑客显然希望在大量垃圾邮件中“淹没”这些通知。实际上,您更有可能将这些通知视为垃圾邮件。
评论
“所有这些登录尝试”-什么尝试?
– schroeder♦
20年1月8日在20:31
评论
我已经拥有多年了-电子邮件收据,行程,“确认您刚刚建立的帐户”链接,“非垃圾邮件”(已订阅/您拥有一个有我们的帐户)广告,社交网络更新,曾经是文字法律文件的图片以及其他垃圾。全部到我的主要电子邮件地址。多年。似乎没有人真正侵害过我的电子邮件,也从未尝试过。但是,多年来,我想,一个或多个实体偶尔在建立帐户或列出联系信息时会使用我的电子邮件地址。想知道和你一样的事情,但到目前为止我的生活还好吗?@ Hand-E-Food来自Google的电子邮件说,他们使用了OP的密码,这意味着他们为该帐户使用了正确的密码。
您是否绝对确定没有在其他任何地方重复使用密码?那么非常相似的密码呢?如果是这样,我将担心他们如何获得密码。
@Wes Sayeed Gmail通过电子邮件地址中的句号来完成有趣的事情。例如,如果您的电子邮件为wes.sayeed@gmail.com,则您还将收到发送至wessay.eed@gmail.com的电子邮件。我本人有一个字典字样的gmail帐户,并且收到了许多来自外部系统的误导电子邮件,这些电子邮件不兑现/处理句号。 support.google.com/mail/answer/7436150?hl=zh-CN
没有人提到转发。可能是在Google阻止他们之前,攻击者能够将您的Gmail配置为将电子邮件转发到他们自己的电子邮件地址。这将使他们将来能够接收验证电子邮件的副本,并且通常是攻击者在破坏了电子邮件帐户之后的第一件事。