¿Dónde obtienen los piratas informáticos la información de facturación para maximizar los beneficios de la seguridad social?

Déjeme saber qué ayuda necesitará para procesar las facturas adjuntas. Este mensaje se envió a mi contacto en el cliente. En este mensaje, mi nombre y mi dirección de correo electrónico son correctos, el teléfono y el fax son falsos. El remitente real del mensaje es tinyiko@mutavhatsindi.co.za. El mensaje tiene un archivo adjunto .doc infectado que fue puesto en cuarentena por SpamAssassin en el servidor de correo electrónico del cliente.

Esta no es la primera vez que esto sucede. Hay cómo solicitar la seguridad social han habido bastantes falsos "facturas" enviado en mi nombre Mi pregunta es, ¿cómo obtienen esta información los actores como tinyiko@mutavhatsindi.co.za? Envío facturas por correo electrónico. Mi servidor de correo electrónico es auto hospedado usando sendmail y el servidor de correo electrónico del cliente también es auto hospedado usando sendmail. Ambos servidores son Linux, puedo cobrar la discapacidad y la seguridad social. Por lo tanto, el correo electrónico no realiza paradas intermedias, por ejemplo, en gmail Creo que la conexión de correo electrónico es a través de TLS, aunque creo que mi certificado ha caducado (¿pero aún no se envía cifrado?). Ambos de nuestros clientes de correo electrónico son Thunderbird que se ejecutan en estaciones de trabajo con Linux, pero mi contacto, también los cambios de seguridad social, está ejecutando una máquina virtual Windows 7, también utilizando Thunderbird. Ella puede estar usando el Windows Thunderbird para procesar el correo electrónico.

Entonces, mi pregunta es, ¿cómo están obteniendo esta información específica estos malos actores? ¿No solo el hecho de la correspondencia por correo electrónico entre mi cliente y yo, sino también el conocimiento de la sustancia de ese contacto como facturación / facturación? Parece que de alguna manera necesitan tener acceso o interceptar correos electrónicos. ¿Cuáles son las posibilidades? Me gustaría ver acerca de cerrar ese acceso.

Bueno, solo pensando en esto, estoy tratando de desglosar cada uno de los temas de seguridad social para ver qué se pudo haber comprometido. Un mal actor que obtiene su dirección de correo electrónico y la dirección de correo electrónico de su cliente es trivial: estos pueden comprarse o eliminarse de los sitios web en los que ha utilizado la dirección de correo electrónico. Esto les permitiría falsificar los correos electrónicos. Parece que estoy "yo" pero realmente soy "chico malo". Ya sabes qué correo electrónico está usando el mal actor.

En cuanto a los datos EN tus correos electrónicos, eso es diferente. Si de hecho está utilizando TLS para enviar el correo electrónico, eso significa que el túnel está cifrado, pero los correos electrónicos en sí no son impuestos sobre la discapacidad de la seguridad social. Su certificado caducado no debe afectar el cifrado, la fecha de caducidad tiene que ver con la relación de confianza entre las personas que se conectan con usted: "Hey, el certificado de este chico ha caducado, ¿podemos confiar en él / ella?".

Podría ser algo como "hombre en el medio" donde tal vez uno de sus servidores o el de su cliente, esté enviando un correo electrónico a lo que ellos piensan que es el otro de ustedes, pero realmente es el mal actor. El mal actor a su vez envía en el correo electrónico y ninguno de ustedes es el más sabio.

Bueno, sí, también estoy sospechando de la VM de Windows. Este usuario se convirtió a Linux con una máquina virtual de Windows no hace un año (enero de 2018). Como se suponía que esto no era un miembro de dominio, sin correo electrónico (originalmente) y no se suponía que usara un navegador, no se instaló ningún programa antivirus en la VM. Sin embargo, a finales de ese mes, los abogados de discapacidad de seguridad social, Thunderbird se instaló en la máquina virtual a petición del usuario. Anti-virus no fue instalado

A mediados de febrero, este usuario recibió un correo electrónico falso enmascarado como proveniente de otro de sus proveedores. En el momento en que me pregunté cómo este perpetrador sabía que hacían negocios con la forma de ganar la discapacidad de la seguridad social de esa empresa. Al día siguiente, el usuario recibió el primero de los correos electrónicos falsos de mi parte.

Según su sugerencia, instalé y ejecuté un análisis completo del sistema de Norton en esta máquina virtual y descubrí dos troyanos: Pidief https://www.symantec.com/security-ce…121708-1022-99 (explota el lector de Adobe y vulnerabilidades de acrobat), y Mdropper https://www.symantec.com/security-ce…031911-0600-99 (explota MS Word o Excel).

Este malware se debe haber descargado desde la creación de la máquina virtual, ya que se trataba de una instalación desde cero de Windows 7 a principios de enero de 2018. A pesar del acceso limitado de la máquina virtual al correo electrónico y la navegación, y probablemente no utilice Adobe (esta oficina utiliza Foxit), ¿quizás estos malware se cargaron en el sistema VM a mediados de marzo?

Otro dato interesante es que la seguridad social y la discapacidad en realidad nunca envié mis correos electrónicos de factura a este usuario. Las facturas se envían a un alias de grupo en el servidor del sitio del sistema de seguridad social del cliente que distribuye el mensaje a 3 destinatarios diferentes. Sin embargo, ninguno de los otros dos destinatarios ha sido atacado de esta manera.

Hmmm, no estoy seguro de cómo podría pasar eso. Mi servidor parece estar enviando un correo electrónico al FQDN del servidor del cliente y viceversa. A menos que tal vez el cliente (o yo) respondiera a un correo electrónico falso una vez a la vez, permitiendo al mal actor enganchar cosas.

En realidad, para configurar un intermediario con una conexión encriptada, el mal actor tendría que tener su clave privada (si usted es el servidor), o (creo) que su servidor confíe en él. Nunca he configurado un ataque de hombre en medio, por lo que solo conozco conceptualmente el formulario de solicitud de discapacidad de la seguridad social cómo funcionan. Si el mal actor tenía su clave privada, sin embargo, son esencialmente "tú" y su servidor / cliente no sería el más sabio. Los registros pueden indicarle si esta es la situación, ya que puede verificar si el servidor al que se está conectando tiene exactamente el mismo nombre (FQDN) del que se está conectando. Esto significaría un compromiso. ¿Cómo solicito la configuración de discapacidad de seguridad social en el servidor que originalmente tenía la clave privada? Los certificados de servidor deben tener el FQDN en el nombre común del certificado para que su navegador no vea una falta de coincidencia y le advierta que el sitio tiene un nombre diferente al que tiene el certificado. Por supuesto, si el atacante tuviera su clave privada, no necesitarían estar en el medio, simplemente podrían ser "tú". Lo siento si eso divagó …