outlook:侵害されたアカウントのメールダウンロード

GregBri 受付中最終更新日:2020-09-25 08:55

攻撃者がユーザーの資格情報をフィッシングに成功すると、それらを頻繁に使用します.これにより、ログとアラートがトリガーされる前の短いwindows が攻撃者に提供されます.ハッカーがサインオンしたときにどのようなデータ損失が発生するかを知りたい
アカウントが最初に侵害された最初の時間帯にさまざまなメールプロトコルを使用する.

IMAPとSMTPを使用する攻撃者は、メールボックス内のすべての電子メールのコピーをダウンロードできると思います.しかし、mapi、owa、exchange clientなどの他のプロトコルを使用した場合、攻撃者が自動的にダウンロードするデータの種類/量はどれくらいですか.

また、攻撃者が侵害されたメールから読んだり、ダウンロードしたり、転送したりした可能性のあるメールを特定する方法もあります.

返信リスト(回答:7)

1 #

Jimmy 2019-10-08 18:21

こんにちは、GregBristowです.私はTimonです.あなたを助けることができてうれしいです.
セキュリティが侵害されたメールアカウントは大きな問題なので、できるだけ簡潔にするように努めます.
電子メールアカウントが侵害されると、攻撃者は使用されているプロトコル(POP、IMAP、Exchange)に関係なく、メールボックス全体をダウンロードできる可能性があります.
他のプロトコルがメールボックス全体へのアクセスを許可する場合、POPプロトコルは受信トレイフォルダへのアクセスのみを許可します.
これは、攻撃者とメールサーバー間の帯域幅に応じて、数分で完了します.
攻撃者がどのメールを読んだか(アイテムを読んで「未読」に設定しない限り)または転送された(「送信済みアイテム」フォルダに残していない限り！)」という方法はありません.
攻撃者は、「reset passWord」リクエストを送信することにより、認証情報を使用してサードパーティのWebサイト(Amazonなど)のアカウントにアクセスすることもできます.
ベストプラクティスは、SMSまたはGoogle認証システムのようなアプリを使用して、2要素認証(2FA)を設定することです.

応答1# ->にスキップ
2 #
GregBri 2019-10-08 19:14
ジミー、返信ありがとうございます.MAPI、古いメールクライアント、Exchangeオンラインが接続時にメールの自動一括ダウンロードをトリガーするかどうかを知っていますか.各プロトコルに基づく潜在的なデータ損失を理解しようとしています.

3 #

Jimmy 2019-10-08 19:39

グレッグ、
あなたの質問をよく理解しているとは思いませんが、接続すると、使用しているプロトコルが何であれ、すべての利用可能なデータが「ダウンロード可能」になります.
データは、新しいものから最も古いものへ、フォルダごとにダウンロードされます.
結局のところ、使用するプロトコルは、資格情報を持っている限り、重要ではありません.

応答3# ->にスキップ
4 #
GregBri 2019-10-09 06:33
ジミー、

時間の経過とともに、いくつかのユーザーのアカウントが侵害されました.ハッカーは、さまざまな種類のクライアントを使用して、ユーザーのpassWordを検証し、アカウントにサインオンしました.私が理解しようとしているのは、失われたデータの量と、何を証明できるかです.
失われた、またはデフォルトのデータ損失であると想定しています.つまり、IMAP、SMTP、POP3を介して接続しているユーザーが、すべてのユーザーの電子メールのコピーを持っていると想定しています.Exchange ActiveSyncについても同様です.

MAPI接続を行うと、古いMicrosoftメールクライアントまたはExchange Onlineがすべてのユーザーのメールを自動的にダウンロードしようとします.クライアントがすべての電子メールを自動的にダウンロードしない場合、攻撃者が試みたかどうかを判断する方法はありますか
imap、pop3、smtpをブロックしている可能性があるため、ユーザーのメールの一部またはすべてをダウンロードする.

オーストラリアにはデータ損失の報告義務があるため、何が失われたか、何が失われていないかを理解することは比較的重要です.

5 #

Jimmy 2019-10-09 17:25

こんにちはグレッグ、
あなたの懸念をよく理解しています.
デフォルトでは、MAPI接続はすべてのデータを自動的にダウンロードします.
これは仕様によるもので、Outlookが接続されると、すべてのデータが取得されます.
かなりダウンロードされたかどうかを正確に知るのは難しいか、おそらく不可能です.
つまり、イベントログ(セキュリティセクション)とIISログ(デフォルトではC:\inetpub\logs\LogFiles\W3SVC1にあります)の両方を分析することで、日付などの興味深い情報を復元できます./時間、クライアントIP、ユーザー名、バイト送信、所要時間など

応答5# ->にスキップ
6 #
GregBri 2019-10-09 18:41
ティモン、

あなたの回答を感謝します.これはある程度明確にします.REイベントログとIISはこれらのExchangeサーバーまたはクラウドサーバーからのものですか?

クラウド交換サーバーがアップロードおよびダウンロードされたデータに関する一種のメトリックがあることを願っていた.

歓声

Greg

7 #

Jimmy 2019-10-09 19:00

Greg、
イベントとIISログは実際にExchangeサーバーからのものです.