Hỏi về việc giả danh Mail trên hệ thống

zero123

W-------
19/08/2016
1
10 bài viết
Hỏi về việc giả danh Mail trên hệ thống
Tiêu đề có thể bị sai nên mong Mod bỏ qua.
Em có một trường hợp như thế này. Sáng nay, em kiểm tra hệ thống mail của công ty phát hiện 1 email được gửi đi từ hệ thống, nhưng với phần đuôi giả mạo 1 công ty X khác. Mục đích là gửi virus cho công ty X đó. Khi viewsource thì nó được thông qua hệ thống mail bằng tài khoản của 1 nhân viên bên em, và mail được gửi từ 1 tài khoản email ở Nga của hacker (Em thấy được IP nên đã tra trên Google). Em không rõ là hacker đã làm như thế nào? Và ý định "mượn" bên em là để làm gì? Mong mọi người giải đáp giúp.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Có thể là mail của nhân viên đã bị tracking từ một nguồn nào đó. Kẻ tấn công có thể lợi dụng để tấn công phishing hoặc ApT tùy trường hợp Virus.l, cũng có thể chỉ mượn client để build bơtnet. Rất nhiều thứ....
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny and zero123
Comment
Có thể là mail của nhân viên đã bị tracking từ một nguồn nào đó. Kẻ tấn công có thể lợi dụng để tấn công phishing hoặc ApT tùy trường hợp Virus.l, cũng có thể chỉ mượn client để build bơtnet. Rất nhiều thứ....

Nhưng em không hiểu mục đích của hacker là gì? Khi viewsource thì mình dễ dàng nhìn thấy email này được gửi từ một mail server ở Nga, sau đó mới dùng id của nhân viên bên em để vượt qua antispam của em ra ngoài. Em nghĩ nếu để che dấu thì rõ ràng không cần làm vậy. Có thể dùng Gmail hay một webmail gì đó chẳng hạn. Còn để phishing thì hacker đã đổi lại phần domain thành domain của đối tượng, ko dùng domain bên công ty em.
Nhân tiện anh cho em hỏi về phần tracking email với ah. Em vẫn thỉnh thoảng gặp phải trường hợp như thế này. Trên hệ thống chỉ ghi lại một số tài khoản email bên em (Nhưng cái tài khoản email này không tồn tại.) đang gửi về cùng một địa chỉ email bên ngoài. Anh cho hỏi đây có phải là một dạng tracking email đúng không ah?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phần tại vì sao hacker sử dụng domain bên bạn cụ thể thì mình cũng không nắm rõ lắm :). Có thể suy đoán dựa vào action của mail hoặc các file gửi đến tác động như nào thôi.

Thường thì mình thấy các mail không tồn tại sao có thể pass qua System để gửi mail ra ngoài được bạn nhỉ ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên