Задать вопрос
J_o_k_e_R
@J_o_k_e_R

Рассылка спама через веб-интерфейс gmail. С чего бы?

Сегодня в районе 11:00 (MSK) с одного их моих аккаунтов на gmail (пусть будет myemail@gmail.com) стал массово рассылаться спам с ссылкой вида http://<разные домены>/<разные пути>/ugoogle.html. По ссылке ничего особо криминального просто редирект с рефералкой на сайт в стиле «заработай в интернете».



Казалось бы все просто и понятно, поймал я, лох, вирус, который увел мой пароль\куки и гадит. Но меня смущает, то, что я старался всегда жить «правильной» айтишной жизнью, а именно:



Скрытый текст1. В большинстве случаев использую linux (вдумчивого собранная и через BINHOST распространяемая gentoo) и последний версии FF ESR (noscript, requestpolicy, adblock, флеш включен в отдельном профиле, который только для флеша) и chromium (ScriptNo, adblock, flashblock). Для imap — последний же thunderbird ESR. Телефон — nokia n900 с maemo.

1.1 Оставшийся случай — комп на работе с Windows 7 x64, регулярно обновляемый, DrWeb 6.0 (лицензия) со свежими, каждые три часа обновляемыми, базами и FF с разделенными профилями: профиль с рабочей информация (все те же плагины, что и под linux), отдельный профиль под почту и платежные операции с голым браузером, так как многие платежные сайты дуреют от плагинов безопасности. Да я понимаю, что это самое «узкое» место, но я вроде бы принял все возможные под виндой меры для безопасности (например, отключил службу «Сервер»), да и интернет на работе через йоту, раздаваемую выделенным компом с Kerio Control. Да и логин с этого компа был несколько дней назад.

2. Пароль с энтропией аналогичной паролю «dbvuyGcxPy%». Да, я знаю про двухфакторную аутентификацию, но не хочу сообщаться свой мобильнику гуглу. Емейл для восстановления на собственном серваке, левых заходов на который не было.

3. Никогда не заходил на почту нигде, кроме вышеперечисленного. Незачем, так как с собой телефон с вбитыми настройками ящика.

4. Галочку «Запомнить меня» меня в вебе не использовал никогда. Так же как и функцию сохранения паролей в браузере. Пароль сохраняется только в настройках thunderbird, защищенный мастер-паролем (с аналогичной энтропией).





Заголовки рассылаемого спама следующие (* — вырезанные приватные данные):

Скрытый текстDelivered-to: *gmail.com

Received: by 10.58.207.20 with SMTP id ls20csp410753vec; Mon, 5 Nov 2012

23:27:43 -0800 (PST)

Received: by 10.180.87.230 with SMTP id

bb6mr17041767wib.6.1352186863636; Mon, 05 Nov 2012 23:27:43 -0800 (PST)

Return-path: <myemail@gmail.com>

Received: from mail-we0-f195.google.com (mail-we0-f195.google.com

[74.125.82.195]) by mx.google.com with ESMTPS id

fp2si8850840wib.6.2012.11.05.23.27.43 (version=TLSv1/SSLv3

cipher=OTHER); Mon, 05 Nov 2012 23:27:43 -0800 (PST)

Received-spf: pass (google.com: domain of myemail@gmail.com designates

74.125.82.195 as permitted sender) client-ip=74.125.82.195;

Authentication-results: mx.google.com; spf=pass (google.com: domain of

myemail@gmail.com designates 74.125.82.195 as permitted sender)

smtp.mail=myemail@gmail.com; dkim=pass header.i=gmail.com

Received: by mail-we0-f195.google.com with SMTP id z53so12199wey.2 for

<*gmail.com>; Mon, 05 Nov 2012 23:27:43 -0800 (PST)

Return-path: <cybpsy@gmail.com>

Received-spf: pass (google.com: domain of *gmail.com designates

10.180.87.230 as permitted sender) client-ip=10.180.87.230

Received: from mr.google.com ([10.180.87.230]) by 10.180.87.230 with

SMTP id bb6mr19781532wib.6.1352186862711 (num_hops = 1); Mon, 05 Nov

2012 23:27:42 -0800 (PST)

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com;

s=20120113; h=mime-version:date:message-id:subject:from:to:content-type;

bh=FmodzDaoDrD+RsAH3/ViG/fUMeJRfJ+FiO766qwYo10=;

b=FxOEcPZh695P6Klc/QerSSLfiU3dV4PMEOFFcUcRAHDp1cMGKhh3ZAMBtnbe9PHxVy

zY8rgtiSonshdq1/yk16fZEnarN5i7+MOP9UEv5mmB3M0i3v+VX4B6owVdB4x06hk8Sg

fZaCID85UG2cFqBno95FvmnEnBEvleesRbQdF0KbYTHDt+7RsYMczKVokLGjKQcDz5VZ

pKL3lpPrXcgYgUwtdn24otYhj8hewsWwcFr3g/YD3+cNiHl7LlUOk2V+k/yzn5UR7aRq

MgvsHwydUPra604NfVpGSLxn/ZXMBAOuDjCwP7yL1BbGiaQn5jLpo63puNjnE/P1/fxi

0S9A==

Mime-version: 1.0

Received: by 10.180.87.230 with SMTP id

bb6mr17023834wib.6.1352186560963; Mon, 05 Nov 2012 23:22:40 -0800 (PST)

Received: by 10.216.114.7 with HTTP; Mon, 5 Nov 2012 23:22:40 -0800

(PST)

Date: Tue, 6 Nov 2012 11:22:40 +0400 (06. nov. 2012 kl. 08.22 +0100)

Message-id:

<CAPvRhhQDA=f3CGHfuWNq-fh5s*mail.gmail.com>

Subject:

From: * <myemail@gmail.com>

To: *gmail.com, *mail.ru,

*yandex.ru, *yandex.ru, *mail.ru

Content-type: text/plain; charset=ISO-8859-1



http://*/zoiwipqueio/ugoogle.html





Разошелся спам по всем адресам, фигурирующим в ящике: тем кто писал мне, тем кому писал я, а так же по все jid'ам в гуглотолке, но по емейлу (т.е. были попытки послать спам на адрес вида pupkin@jabber.ru) за 20 минут.



Потом мне стали писать разгневанные контакты, минут через 40 я добрался до компа (к сожалению я не нашел как поменять пароль через гугловский мобильный интерфейс), сменил пароль (мой пароль на ящике никто не менял), и отключил всех посторонних. Из подозрительной активности в списке «Последние действия» замечен IP 66.18.115.126 (США), зашедший с браузера в момент рассылки спама.



Теперь у меня вопросы:

1) Что это все-таки было? Все-таки банальный троянец залез на рабочую винду вопреки всем мерам? Или может моя паранойя, связывающая недавнее обновления веб-интерфейса гмыла и произошедший инцидент не так уж и беспочвенна и у кого-то такое уже было?

2) Что мне теперь делать? Писать ли куда-нибудь в гугл? Если да, то куда? Наслышан про игнор от саппорта гугла, так что ответ на вопрос для меня не очевиден.
  • Вопрос задан
  • 6023 просмотра
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@egorinsk
Подуймайте над такими вариантами получения вашего пароля:

1) Ваш пароль теоретически могли сфишить, например, когда вы с какого-нибудь айфона сидели через вайфай.
2) Или вы ввели свой пароль на фальшивой якобы гуглостранице, например, размещенной на sites.google.com (вызывающий доверие домен).
3) Или все же троян, который, например, прятался в пиратской программе. скачанной с торрента.
4) Или злое расширение браузера, ворующее пароли и куки.
5) Или какое-нибудь андроид-приложение, которому вы дали доступ к гуглоаккаунту.
6) Или вы используете Java/Adobe Acrobat (но зачем???) и ходите по интернету с этими бекдорами, широко распахивающими уже лет десять двери всем хакерам мира.
7) Фальшывй DNS, который переадресовывал запросы к gmail на другой домен.

А двойная авторизация — это же хорошо, при попытке зайти с другого IP сразу у Гугла включается паранойя.

Антивирус помогает только от старых троянов. Сейчас даже школьники-ботоводы проверяют свои связки эксплойтов на необнаруживаемость антивирусами прежде чем запускать их в сеть, и у них есть несколько дней, прежде чем те попадут в руки вирусных аналитиков. По этой причине надеяться на антивирус довольно-таки глупо.
Ответ написан
vsespb
@vsespb
Я бы глянул в винде самое просто что можно — список процессов, автозагрузка, подозрительный трафик + логи + всё что можно самому посмотреть + проверил другим антивирусом.
Ответ написан
Если был вход с чужого IP — значит увели пароль. Если бы проблема была именно в интерфейсе, например для рассылки спама использовался бы CSRF или XSS в веб-интерфейсе гугла, то в рассылке фигурировал бы ваш IP, т.к. действия тогда производились бы через браузер.

Другой вопрос, что не обязательно использовался троянец. Могла использоваться или опять же уязвимость в гугловом интерфейсе или уязвимость в браузере, чтобы подменить форму с ввода пароля. Повспоминайте не было ли такого, что пароль был запрошен в необычный момент, например, на чтении письма.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы