intrusione nel pc

ciux · 29-11-2016, 15:20

Salve a tutti del forum, sono nuovo del forum quindi chiedo scusa in anticipo per eventuali errori di "etichetta" o di "ignoranza"...

Sono il responsabile di un piccolo hotel a gestione familiare. Ieri sera, intorno alle 22, sono tornato nell'ufficio dopo qualche minuto di assenza e ho notato che era aperta una sessione di TeamViewer (controllo remoto). C'era la finestra di TeamViewer, lo sfondo del desktop nero, e l'intruso stava cercando di acquistare un pc portatile con Amazon. Nella concitazione ho chiuso tutto e disinstallato TeamViewer, mentre magari sarebbe stato meglio cercare di capire cosa stesse facendo... Non sono riuscito a capire se fosse entrato col mio account o meno, anche perché la cronologia del browser era stata cancellata. Per qualche minuto dopo che ho chiuso la connessione con TeamViewer il puntatore del mouse ha continuato a "sfarfallare" leggermente, come avviene durante le sessioni di controllo remoto. Insomma, da profano, sembrava che qualcuno abbia avviato una sessione di controllo remoto, con un altro metodo, per poi avviare la sessione di TeamViewer, non so per quale motivo. Facendo dei controlli poi ho visto che l'intruso era andato a frugare tra le varie caselle di posta che abbiamo. Noi usiamo Avast Antivirus, e facendo una scansione non è emerso nulla. Ripensando al passato, l'unica cosa strana che mi è successa nei giorni scorsi è stato che, quando sono andato a controllare dei backup automatici di Windows (uso Windows 7), Windows mi ha segnalato che le impostazioni erano da controllare, dal momento che era stato eseguito un ripristino del sistema da un punto di ripristino, ma né io né colleghi avevamo effettuato questo ripristino.

Fortunatamente nel pc non teniamo carte di credito o dati bancari che in qualche modo possano essere usati per prendere soldi, ma questo episodio mi ha sconvolto, senza esagerare, e vorrei capire cosa possa essere successo e come, e come poter evitare in futuro cose del genere.

Ringrazio in anticipo chiunque volesse e potesse aiutarmi.

Un saluto - Marco

zeMMeMMez · 29-11-2016, 15:54

dipende se avevi teamviewer installato e sempre aperto, con una password banale per collegarti

ciux · 29-11-2016, 16:10

teamviewer era installato ma doveva essere avviato manualmente come un programma qualsiasi

ciux · 01-12-2016, 17:58

Comunque è incredibilmente grossolano violare un pc con TW e poi cercare di fare acquisti su Amazon...

Però davvero non è possibile che qualcuno abbia messo le mani fisicamente sul pc, lo usiamo io e mio padre.

Rimane il fatto che sembra tutto abbastanza assurdo...

Anche perché: se l'intruso stava già controllando il pc, perché mai avrebbe dovuto aprire una sessione di TW per poi andare su Amazon, invece di andare direttamente su Amazon???

Più ci penso più rimango perplesso...

E piuttosto, vi chiedo, disinstallando TW e impedendo a Windows qualsiasi sessione di controllo remoto, posso stare tranquillo o dovrei fare altro secondo voi?

Ryddyck · 01-12-2016, 18:14

Non è comune nel mondo dei malware utilizzare teamviewer.
C'è la possibilità che qualcuno abbia usato teamviewer in passato? Magari per risolvere qualche problema? Qualche tecnico?

ciux · 01-12-2016, 18:35

sì esatto, per l'assistenza remota.

mi sembra assurdo, è una piccola società con cui collaboriamo da sempre, ma magari si tratta di qualcuno che non lavora più lì. sospetto anche di loro a questo punto

Ryddyck · 01-12-2016, 20:13

Beh allora molto probabilmente sarà qualcuno di loro, se vuoi pensarla positivamente magari dovevano fare assistenza remota a qualcuno e tra i loro contatti hanno sbagliando facendo "assistenza" a te (non si capisce poi cosa c'entri amazon... ma vabbè). Nella peggiore delle ipotesi comunque fai delle scansioni con antivirus e antimalware (magari anche un giro di hitmanpro), disinstalla ovviamente teamviewer visto che puoi usarlo anche portable all'evenienza.
Controlla in questi giorni se succede qualcosa di strano, se vuoi toglierti dei dubbi chiama i diretti interessati...

ciux · 01-12-2016, 20:31

boh...

per il momento tengo d'occhio la situazione e continuo a effettuare scansioni con vari strumenti, poi si vedrà... grazie cmq

Ryddyck · 01-12-2016, 20:34

Fammi sapere

ciux · 01-12-2016, 20:51

oki!

Ryddyck · 01-12-2016, 20:55

Comunque stavo anche pensando a un'altra cosa, per risalire all'interlocutore puoi fare riferimento al log (Extra -> Apri log files...), verifica l'ora ed il giorno di questa "intrusione", viene specificato anche l'id di riferimento (a cui poter in teoria risalire a chi ti ha fatto l'assistenza in passato se non ha mai cambiato id).

EDIT: Usualmente l'inizio della sessione di assistenza (in ricezione nel tuo caso) nel file di log viene specificato come "Negotiating session encryption: client hello received from XXXXXXXXX" dove XXXXXXXXX sarà l'id dell'interlocutore, se questo id si trova anche in sessioni passate (da verificare tramite data/ora sempre nel log) allora molto probabilmente fa riferimento a qualcuno della società con cui collaborate (sto ovviamente assumendo che l'id non sia cambiato nel tempo).

ciux · 02-12-2016, 20:46

in realtà ho notato un'altra cosa, che capitava anche ieri ma non gli ho dato peso: windows live mail, mi segnala la presenza di nuova posta, mentre invece non c'è nulla, in nessuna delle caselle collegate. e non si tratta di posta segnata come spam e quindi automaticamente spostata nello spam o nel cestino, e contrassegnata come già letta, ho sempre controllato. non c'è proprio nulla.

magari non c'entra nulla e ho detto una stupidaggine, ma comunque qualcosa non va

29-11-2016, 15:20	#1
ciux Junior Member Iscritto dal: Nov 2016 Messaggi: 25	intrusione nel pc Salve a tutti del forum, sono nuovo del forum quindi chiedo scusa in anticipo per eventuali errori di "etichetta" o di "ignoranza"... Sono il responsabile di un piccolo hotel a gestione familiare. Ieri sera, intorno alle 22, sono tornato nell'ufficio dopo qualche minuto di assenza e ho notato che era aperta una sessione di TeamViewer (controllo remoto). C'era la finestra di TeamViewer, lo sfondo del desktop nero, e l'intruso stava cercando di acquistare un pc portatile con Amazon. Nella concitazione ho chiuso tutto e disinstallato TeamViewer, mentre magari sarebbe stato meglio cercare di capire cosa stesse facendo... Non sono riuscito a capire se fosse entrato col mio account o meno, anche perché la cronologia del browser era stata cancellata. Per qualche minuto dopo che ho chiuso la connessione con TeamViewer il puntatore del mouse ha continuato a "sfarfallare" leggermente, come avviene durante le sessioni di controllo remoto. Insomma, da profano, sembrava che qualcuno abbia avviato una sessione di controllo remoto, con un altro metodo, per poi avviare la sessione di TeamViewer, non so per quale motivo. Facendo dei controlli poi ho visto che l'intruso era andato a frugare tra le varie caselle di posta che abbiamo. Noi usiamo Avast Antivirus, e facendo una scansione non è emerso nulla. Ripensando al passato, l'unica cosa strana che mi è successa nei giorni scorsi è stato che, quando sono andato a controllare dei backup automatici di Windows (uso Windows 7), Windows mi ha segnalato che le impostazioni erano da controllare, dal momento che era stato eseguito un ripristino del sistema da un punto di ripristino, ma né io né colleghi avevamo effettuato questo ripristino. Fortunatamente nel pc non teniamo carte di credito o dati bancari che in qualche modo possano essere usati per prendere soldi, ma questo episodio mi ha sconvolto, senza esagerare, e vorrei capire cosa possa essere successo e come, e come poter evitare in futuro cose del genere. Ringrazio in anticipo chiunque volesse e potesse aiutarmi. Un saluto - Marco

01-12-2016, 20:55	#11
Ryddyck Senior Member Iscritto dal: Apr 2015 Messaggi: 10200	Comunque stavo anche pensando a un'altra cosa, per risalire all'interlocutore puoi fare riferimento al log (Extra -> Apri log files...), verifica l'ora ed il giorno di questa "intrusione", viene specificato anche l'id di riferimento (a cui poter in teoria risalire a chi ti ha fatto l'assistenza in passato se non ha mai cambiato id). EDIT: Usualmente l'inizio della sessione di assistenza (in ricezione nel tuo caso) nel file di log viene specificato come "Negotiating session encryption: client hello received from XXXXXXXXX" dove XXXXXXXXX sarà l'id dell'interlocutore, se questo id si trova anche in sessioni passate (da verificare tramite data/ora sempre nel log) allora molto probabilmente fa riferimento a qualcuno della società con cui collaborate (sto ovviamente assumendo che l'id non sia cambiato nel tempo). Ultima modifica di Ryddyck : 01-12-2016 alle 21:06.

29-11-2016, 15:54	#2
zeMMeMMez Bannato Iscritto dal: Aug 2016 Messaggi: 871	dipende se avevi teamviewer installato e sempre aperto, con una password banale per collegarti

29-11-2016, 16:10	#3
ciux Junior Member Iscritto dal: Nov 2016 Messaggi: 25	teamviewer era installato ma doveva essere avviato manualmente come un programma qualsiasi

01-12-2016, 17:58	#4
ciux Junior Member Iscritto dal: Nov 2016 Messaggi: 25	Comunque è incredibilmente grossolano violare un pc con TW e poi cercare di fare acquisti su Amazon... Però davvero non è possibile che qualcuno abbia messo le mani fisicamente sul pc, lo usiamo io e mio padre. Rimane il fatto che sembra tutto abbastanza assurdo... Anche perché: se l'intruso stava già controllando il pc, perché mai avrebbe dovuto aprire una sessione di TW per poi andare su Amazon, invece di andare direttamente su Amazon??? Più ci penso più rimango perplesso... E piuttosto, vi chiedo, disinstallando TW e impedendo a Windows qualsiasi sessione di controllo remoto, posso stare tranquillo o dovrei fare altro secondo voi?

01-12-2016, 18:14	#5
Ryddyck Senior Member Iscritto dal: Apr 2015 Messaggi: 10200	Non è comune nel mondo dei malware utilizzare teamviewer. C'è la possibilità che qualcuno abbia usato teamviewer in passato? Magari per risolvere qualche problema? Qualche tecnico?

01-12-2016, 18:35	#6
ciux Junior Member Iscritto dal: Nov 2016 Messaggi: 25	sì esatto, per l'assistenza remota. mi sembra assurdo, è una piccola società con cui collaboriamo da sempre, ma magari si tratta di qualcuno che non lavora più lì. sospetto anche di loro a questo punto

01-12-2016, 20:13	#7
Ryddyck Senior Member Iscritto dal: Apr 2015 Messaggi: 10200	Beh allora molto probabilmente sarà qualcuno di loro, se vuoi pensarla positivamente magari dovevano fare assistenza remota a qualcuno e tra i loro contatti hanno sbagliando facendo "assistenza" a te (non si capisce poi cosa c'entri amazon... ma vabbè). Nella peggiore delle ipotesi comunque fai delle scansioni con antivirus e antimalware (magari anche un giro di hitmanpro), disinstalla ovviamente teamviewer visto che puoi usarlo anche portable all'evenienza. Controlla in questi giorni se succede qualcosa di strano, se vuoi toglierti dei dubbi chiama i diretti interessati...

01-12-2016, 20:31	#8
ciux Junior Member Iscritto dal: Nov 2016 Messaggi: 25	boh... per il momento tengo d'occhio la situazione e continuo a effettuare scansioni con vari strumenti, poi si vedrà... grazie cmq

01-12-2016, 20:34	#9
Ryddyck Senior Member Iscritto dal: Apr 2015 Messaggi: 10200	Fammi sapere

01-12-2016, 20:51	#10
ciux Junior Member Iscritto dal: Nov 2016 Messaggi: 25	oki!

02-12-2016, 20:46	#12
ciux Junior Member Iscritto dal: Nov 2016 Messaggi: 25	in realtà ho notato un'altra cosa, che capitava anche ieri ma non gli ho dato peso: windows live mail, mi segnala la presenza di nuova posta, mentre invece non c'è nulla, in nessuna delle caselle collegate. e non si tratta di posta segnata come spam e quindi automaticamente spostata nello spam o nel cestino, e contrassegnata come già letta, ho sempre controllato. non c'è proprio nulla. magari non c'entra nulla e ho detto una stupidaggine, ma comunque qualcosa non va

Strumenti
Mostra una versione stampabile Invia questa pagina per email