Jump to content

Piratage de compte email ?


Recommended Posts

Bonjour à tous,

 

Depuis environ 3 semaines des personnes reçoivent des spams qui semblent être envoyés par mon adresse email. Bien entendu ce n'est pas moi qui les envoie.

Les destinataires sont les adresses emails présentes dans les emails de ma boite de réception IMAP. Il y a donc quelqu'un qui parvient à voir mes emails, ce ne sont pas des adresses emails au hazard.

Je n'arrête pas de changer de mot de passe (avec des majuscules, minuscules, chiffres et ponctuations) mais quelques jours après de nouveaux emails sont envoyés.

 

1and1 me répond qu'il s'agit d'une usurpation d'adresse email mais que personne n'a accédé à mes emails. J'ai du mal à le croire car les destinataires sont bien des personnes à qui j'ai écrit depuis 3 ou 4 ans.

 

Je souhaiterais savoir ce que vous en pensez ?

 

Merci d'avance.


PS : Je ne parviens pas à changer ce super pseudo sur les forums NextImpact :-(

Link to comment
Share on other sites

Salut;

Faudrait récupérer un mail envoyé a tes contacts et analyser l 'header du mail : serveur SMTP, IP et méthode authentification sont précisés.

 

Oui, c'est la meilleure manière de savoir si c'est un hack ou simplement que ton adresse à été mis dans l'en-tête "From:".

Fais tout de même une analyse anti-malware la plus complète possible.

Link to comment
Share on other sites

Bonjour 0df09735b5bf47919273c6586 :D et bienvenue sur le forum !

hypothèses :

- ils ont accédé une première fois à ton compte et pompé tous tes contacts, et ensuite n'ont plus besoin d'avoir accès à ton compte pour envoyer un email à tes contacts avec comme information d'entête ton adresse email (comme le disent lord.inut et Skywa)

- ils ont accédé au compte d'un de tes proches et ont pompé ses contacts (équivalents aux tiens), et ils ont juste utilisé la dernière adresse email active dans cette messagerie (donc la tienne), et ils appliquent le même procédé de modification d'entête (pour que le compte piraté ne sache pas qu'il l'est).

Tu n'as pas une information d'activité de compte comme dans Gmail ?

https://support.google.com/mail/answer/45938?hl=fr

Link to comment
Share on other sites

Merci à tous pour vos réponses.

Je n'ai pas de double authentification (à ma connaissance) car ce n'est pas une adresse Gmail, Yahoo... c'est une adresse avec mon propre nom de domaine hébergé chez 1and1.

Je ne pense pas que cela vienne d'un malware sur mon poste car je n'ai que des Mac et iPhone (Sorry), même si, je le sais, je ne suis pas 100% à l'abri.

J'ai changé plusieurs fois de mot de passe et depuis quelques jours cette usurpation ne se produit plus. Si cela reviens je me pencherai sur la question avec plus de sérieux. Je vous ferai part des en-têtes d'emails.

Encore merci.

 

0df09735b5bf47919273c6586​ :-)

Link to comment
Share on other sites

  • 3 weeks later...

Oui mais il semble que ce soit une usurpation d'identité.

Le "pirate" a du se connecter à mon compte IMAP un jour ou l'autre car il a récupéré la liste de mes destinataires, mais désormais il continue d'envoyer des spams alors que j'ai supprimer l'adresse email (j'ai supprimer l'adresse et fait une redirection vers une autre adresse). Il mets mon adresse en expéditeur et en "Response to".

Je ne parviens pas à voir l'adresse IP et le smtp.

Je ne sais vraiment pas comment faire face à cette usurpation d'adresse email.

Link to comment
Share on other sites

Salut,

Je ne parviens pas à voir l'adresse IP et le smtp.

Comment ça ?

As-tu récupéré comme demandé en post #4 pour la 2e fois l'email complet reçu d'un contact ?

http://help.1and1.com/e-mail-and-office-c37589/1and1-mail-basic-c37590/getting-started-c85087/view-e-mail-message-headers-a648375.html

https://toolbox.googleapps.com/apps/messageheader/

Link to comment
Share on other sites

Oui bien sur, désolé, et tu as raison il y a l'IP (qui vient de Malaisie dans l'exemple ci-dessous).

J'ai aussi reçu des "Mail delivery failed" des messages qui n'ont pas pu être remis aux destinataires.

L'en-tête est la suivante (par exemple) :

 

Received: from WIN-NPPN1JPV75J ([60.49.50.234]) by mrelay.perfora.net

(mreueus002) with ESMTPSA (Nemesis) id 0M2v8i-1adRmp3hPa-00shmP; Sun, 11 Oct

2015 02:32:04 +0200

From: MON NOM <MON EMAIL>

To: "NOM DESTINATAIRE" <EMAIL DESTINATAIRE>

 

J'ai remplacer ci-dessus mon vrai nom par MON NOM, mon adresse email par MON EMAIL, et le correspondant par NOM DESTINATAIRE et EMAIL DESTINATAIRE.

 

L'adresse IP n'est jamais la même. J'ai par exemple 187.149.27.129 qui vient du Mexique, 201.184.36.111 de Colombie...

 

Que puis-je faire avec ces infos ? 

Link to comment
Share on other sites

Je comprends pourquoi tu as fait une redirection, mais c'est un placébo sur une jambe de bois.

Supprimes ce compte e-mail et sa redirection et crées en un nouveau que tu transmettra par tel à tes interlocuteurs favoris et de confiance (ils sont peut-être eux aussi dans la ligne de mire via un "réponse à tous").

Et ne plus e-mailer qu'en CCC avec AR à partir de la nouvelle adresse.

 

Pas sûr du résultat, mais ça coûte rien sinon un peu de temps.

Link to comment
Share on other sites

Salut,

 

Merci pour le retour d'info concernant les headers. D’après ce que je vois il s'agit d'un envoi de mail authentifié chez 1&1.

Il y a de fortes chances que ton compte soit en effet compromis.

 

Il faudrait tester depuis un livecd ( ubuntu live par exemple ) de changer le mot de passe de ton compte email et ne plus y accéder et voir si ça revient.

Si le même genre de mail revient alors il y a de fortes chances que le serveur soit compromis sinon c'est surement un keylogger sur ta machine ou un mot de passe déjà utilisé ailleurs ( scan malwarebytes en mode sans échec peut éventuellement le trouver).

 

Bon courage.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...