Имеется сайт компании и почта на домене сайта - юзаем почтовый сервер хостинга.
Месяц назад на один из почтовых ящиков (пусть это будет:
name@domen.ru) пришло письмо следующего содержания:
Тема: [SPAM] Delete Message After Reading!
8Hello!
I'm a member of an international hacker group.
As you could probably have guessed, your account name@domen.ru was
hacked, because I sent message you from your account.
Now I have access to all your accounts!
For example, your password for name@domen.ru: 89_ndb4
Within a period from July 30, 2018 to October 9, 2018, you were infected by
the virus we've created, through an adult website you've visited.
So far, we have access to your messages, social media accounts, and
messengers.
Moreover, we've gotten full damps of these data.
We are aware of your little and big secrets...yeah, you do have them. We saw
and recorded your doings on porn websites. Your tastes are so weird, you
know..
But the key thing is that sometimes we recorded you with your webcam,
syncing the recordings with what you watched!
I think you are not interested show this video to your friends, relatives,
and your intimate one...
Transfer $800 to our Bitcoin wallet: 1GdegtNpYcvoCPsMmyiSkZARDdAmYuXGXU
If you don't know about Bitcoin please input in Google "buy BTC". It's
really easy.
I guarantee that after that, we'll erase all your "data" :)
A timer will start once you read this message. You have 48 hours to pay the
above-mentioned amount.
Your data will be erased once the money are transferred.
If they are not, all your messages and videos recorded will be automatically
sent to all your contacts found on your devices at the moment of infection.
You should always think about your security.
We hope this case will teach you to keep secrets.
Take care of yourself.
Спросили у владельца этого почтового ящика на предмет верности пароля, который указывает злоумышленник в письме: 89_ndb4 - был получен ответ: никогда такого пароля не было, но на всякий случай пароль на ящик поменяли.
Прошло 2 недели и тут понеслось - от имени сотрудника с его почтового ящика стал идти спам на почтовые адреса из его контактов - не всех, но избирательно как-то...
Сотрудник юзает Outlook 2016, установлен свежий антивирусник Doctor. Web, пароль сменили еще раз .
Заголовки одного из письма:
Subject: [SPAM] Casino 300% bonus.Win chance 100%
X-DrWeb-SpamState: Yes
X-DrWeb-SpamDetail: Vade Retro 01.408.60 AS+AV+AP Profile: <none>; Bailout: N/A; ^SuspectDomain (49);^A309-01 (20);^Coastal-F400-19-bis (300);^D380-01 (300);^TextOnly--J392-19 (300);*Casino (300)
X-DrWeb-SpamVersion: 01.408.60
DomainKey-Status: no signature
Return-Path: <dr.neuberger@laurixx.de>
X-Original-To: name@domen.ru
Delivered-To: name@domen.ru
X-No-Auth: unauthenticated sender
DKIM-Filter: OpenDKIM Filter v2.10.3 domen.ru 2EE0B2721B85
Received: from [51.36.197.113] (unknown [51.36.197.113]) by domen.ru (Postfix) with ESMTP id 2EE0B2721B85
for <name@domen.ru>; Wed, 31 Oct 2018 01:39:50 +0300 (MSK)
Message-ID: <DCF2043B2F2ACD103EC8F7E3E601DCF2@PIJ47SPODS>
From: "name@domen.ru" <dr.neuberger@laurixx.de>
To: <name@domen.ru>
Date: 31 Oct 2018 03:25:45 +0200
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3505.912
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3505.912
Проверяю домен наш на
https://mxtoolbox.com/domain/ - ошибок нет, только предупреждения (уведомления):
Что еще проверить? Где посмотреть? На что обратить внимание?
Как думаете это всё-таки взлом компьютера сотрудника или же что-то с почтовым сервером?
Как прекратить это спам-безобразие.