Intento de conexión desde China (correo hackeado?)

¿Han entrado en el correo, o han intentado acceder al correo?

Esas cosas las hacen de forma externa, no tiene nada que ver si se tiene antivirus o no.

Ñomo escribió:¿Han entrado en el correo, o han intentado acceder al correo?

Esas cosas las hacen de forma externa, no tiene nada que ver si se tiene antivirus o no.

Me enviaron un sms diciendo que "Otra persona podría haber accedido a tu cuenta" y luego dentro del correo me pone:
Hemos detectado algo inusual sobre un reciente inicio de sesión de la cuenta Microsoft *******@hotmail.com. Por ejemplo, podrías haber iniciado sesión en un nuevo dispositivo, ubicación o aplicación

Por lo que si parece haberse iniciado sesión desde otro lugar.

Digo virus por si es un keylogger y han cogido la contraseña.

Ser ultrax escribió:

Ñomo escribió:¿Han entrado en el correo, o han intentado acceder al correo?

Esas cosas las hacen de forma externa, no tiene nada que ver si se tiene antivirus o no.

Me enviaron un sms diciendo que "Otra persona podría haber accedido a tu cuenta" y luego dentro del correo me pone:
Hemos detectado algo inusual sobre un reciente inicio de sesión de la cuenta Microsoft *******@hotmail.com. Por ejemplo, podrías haber iniciado sesión en un nuevo dispositivo, ubicación o aplicación

Por lo que si parece haberse iniciado sesión desde otro lugar.

Digo virus por si es un keylogger y han cogido la contraseña.

Antes de llevarte las manos a la cabeza, ten en cuenta que las IPs IPv4 cambian de mano día sí, día también.

En tu cuenta de Live/Outlook/Hotmail revista la sección de seguridad y ahí tendrás los últimos accesos e intentos de acceso. Hora, IP, pseudo-lugar (la geolocalización es sólo orientativa, nunca exacta y menos con lo dicho antes).

Bien podría ser que has sido tú con una IP que pertenecía a otro operador y que ahora ha comprado tu operador. Los operadores pequeños (Digi, MasMovil y submarcas) es lo que hacen.

Usa una web de whois para ver a qué operador pertenece actualmente (si es que hace consultas directas o no usa una base de datos antigua) o pon por aquí los primeros 3 bytes de la IP de ese acceso (aaa.bbb.ccc.ddd) para que te digamos si es realmente de China o no.


Comprueba también si por un casual tu dirección o password anterior estaban en alguna base de datos a través de
https://haveibeenpwned.com/
y
https://haveibeenpwned.com/Passwords

Asumiendo que un hackeo realmente sucedió, veo mas probable que hubiera ocurrido desde tu teléfono (has accedido a tu cuenta desde el? ) ya que el ecosistema esta inundado de apps roba-datos. Y una vez con los datos en una base de datos, pues daría igual el dispositivo desde donde se accede a la cuenta ya que los datos no necesariamente se obtuvieron desde ahí.

JohnH escribió:

Ser ultrax escribió:

Ñomo escribió:¿Han entrado en el correo, o han intentado acceder al correo?

Esas cosas las hacen de forma externa, no tiene nada que ver si se tiene antivirus o no.

Me enviaron un sms diciendo que "Otra persona podría haber accedido a tu cuenta" y luego dentro del correo me pone:
Hemos detectado algo inusual sobre un reciente inicio de sesión de la cuenta Microsoft *******@hotmail.com. Por ejemplo, podrías haber iniciado sesión en un nuevo dispositivo, ubicación o aplicación

Por lo que si parece haberse iniciado sesión desde otro lugar.

Digo virus por si es un keylogger y han cogido la contraseña.

Antes de llevarte las manos a la cabeza, ten en cuenta que las IPs IPv4 cambian de mano día sí, día también.

En tu cuenta de Live/Outlook/Hotmail revista la sección de seguridad y ahí tendrás los últimos accesos e intentos de acceso. Hora, IP, pseudo-lugar (la geolocalización es sólo orientativa, nunca exacta y menos con lo dicho antes).

Bien podría ser que has sido tú con una IP que pertenecía a otro operador y que ahora ha comprado tu operador. Los operadores pequeños (Digi, MasMovil y submarcas) es lo que hacen.

Usa una web de whois para ver a qué operador pertenece actualmente (si es que hace consultas directas o no usa una base de datos antigua) o pon por aquí los primeros 3 bytes de la IP de ese acceso (aaa.bbb.ccc.ddd) para que te digamos si es realmente de China o no.


Comprueba también si por un casual tu dirección o password anterior estaban en alguna base de datos a través de
https://haveibeenpwned.com/
y
https://haveibeenpwned.com/Passwords

Lo primero de todo muchísimas gracias por la respuesta tan elaborada, dicho esto vayamos por partes.
Si que mi ISP es una de estas submarcas, la ip comienza por 182.91.xxx

He comprobado el correo y "Pwned on 9 breached sites and found 1 paste" sin embargo la contraseña no estaba comprometida.

fbpr85 escribió:Asumiendo que un hackeo realmente sucedió, veo mas probable que hubiera ocurrido desde tu teléfono (has accedido a tu cuenta desde el? ) ya que el ecosistema esta inundado de apps roba-datos. Y una vez con los datos en una base de datos, pues daría igual el dispositivo desde donde se accede a la cuenta ya que los datos no necesariamente se obtuvieron desde ahí.

Si, si que tengo acceso desde el móvil obviamente junto con otras cuentas de correo , sin embargo no se qué app podría haber robado esa información, no acostumbro a instalar apps extrañas más allá de las de mensajería , redes sociales, el "brawl" y poco más.

Gracias! Un saludo.

Ser ultrax escribió:Lo primero de todo muchísimas gracias por la respuesta tan elaborada, dicho esto vayamos por partes.
Si que mi ISP es una de estas submarcas, la ip comienza por 182.91.xxx

He comprobado el correo y "Pwned on 9 breached sites and found 1 paste" sin embargo la contraseña no estaba comprometida.

Aunque te pedía los 3 primeros bytes, no sólo 2 (porque se está mercadeando con rangos de IPv4 de sólo 256 IPs), sí que el rango de esa IP está asignada a un ISP chino.

De todas formas, ¿has confirmado que en el área de seguridad de la cuenta de Microsoft fuera un login efectivo y no sólo un intento? En una mía siempre hay intentos, pero nunca entran. Es una dirección de correo que también está filtrada por ahí y supongo que dirán, por probar...

Si efectivamente han entrado, aparte del password asegúrate también que no hayan metido en la cuenta algún correo de recuperación o algo. En principio con Microsoft no se puede porque pide verificación en el correo secundario, o teléfono, para cambiar datos, pero asegúrate.

Y si la usas para registros, lo mismo. Si efectivamente tenían una contraseña correcta los correos se los pueden bajar en un momento con acceso IMAP/POP3 y ya tendrían la copia de todos. Aunque Microsoft bloqueaba estos accesos en según qué ocasiones, pero no recuerdo en qué casos específicos lo hace.

La verdad es que Microsoft da bastante información sobre la seguridad, así que con verificar que sólo fuera un intento, ya te puedes quedar más tranquilo. E incluso aún así, lo que te he puesto antes.

JohnH escribió:

Ser ultrax escribió:Lo primero de todo muchísimas gracias por la respuesta tan elaborada, dicho esto vayamos por partes.
Si que mi ISP es una de estas submarcas, la ip comienza por 182.91.xxx

He comprobado el correo y "Pwned on 9 breached sites and found 1 paste" sin embargo la contraseña no estaba comprometida.

Aunque te pedía los 3 primeros bytes, no sólo 2 (porque se está mercadeando con rangos de IPv4 de sólo 256 IPs), sí que el rango de esa IP está asignada a un ISP chino.

De todas formas, ¿has confirmado que en el área de seguridad de la cuenta de Microsoft fuera un login efectivo y no sólo un intento? En una mía siempre hay intentos, pero nunca entran. Es una dirección de correo que también está filtrada por ahí y supongo que dirán, por probar...

Si efectivamente han entrado, aparte del password asegúrate también que no hayan metido en la cuenta algún correo de recuperación o algo. En principio con Microsoft no se puede porque pide verificación en el correo secundario, o teléfono, para cambiar datos, pero asegúrate.

Y si la usas para registros, lo mismo. Si efectivamente tenían una contraseña correcta los correos se los pueden bajar en un momento con acceso IMAP/POP3 y ya tendrían la copia de todos. Aunque Microsoft bloqueaba estos accesos en según qué ocasiones, pero no recuerdo en qué casos específicos lo hace.

La verdad es que Microsoft da bastante información sobre la seguridad, así que con verificar que sólo fuera un intento, ya te puedes quedar más tranquilo. E incluso aún así, lo que te he puesto antes.

He buscado en seguridad y no pone que fuera un inicio de sesión sino una "Sincronización automática" de la que dice que "Al conectar su cuenta Microsoft con una aplicación o un servicio de administración correo electrónico , es necesario iniciar sesión con su usuario . Es habitual ver la misma actividad de sincronización automática de forma regular"

¿Entiendo por lo subrayado que si que realizaron un inicio de sesión?
En cuanto a lo otro no tengo correo alternativo puesto sino número de teléfono (me parece más seguro)

Ser ultrax escribió:He buscado en seguridad y no pone que fuera un inicio de sesión sino una "Sincronización automática" de la que dice que "Al conectar su cuenta Microsoft con una aplicación o un servicio de administración correo electrónico , es necesario iniciar sesión con su usuario . Es habitual ver la misma actividad de sincronización automática de forma regular"

¿Entiendo por lo subrayado que si que realizaron un inicio de sesión?
En cuanto a lo otro no tengo correo alternativo puesto sino número de teléfono (me parece más seguro)

Si pone lo de sincronización automática correcta es un acceso (lo de automático (me da palo volver a entrar) creo que es el título de la columna). A mí me sale siempre porque no suelo acceder por web (que en ese caso pone inicio de sesión correcto), sino con cliente de correo.

Uniendo cabos sería que si no usas un cliente de correo que use IMAP o POP3 y salvo que lo que te decía de la IP que tu ISP no hubiera comprado una china, que te hubieran entrado con un cliente de correo.

Protocolo: debería aparecer IMAP o POP3 o POP (dependerá también de si usas una app en un móvil y esa app es un cliente de correo o usa acceso web; lo mejor es hacer la prueba y ver el log de seguridad de la web)
IP: no es la tuya
Alias de la cuenta: tu correo
Hora: no concuerda con las horas normales de acceso
Ubicación aproximada: tampoco, aunque esto ya te digo que es relativo a la IP
Tipo:Sincronización correcta (ha usado un cliente de correo)


Si visto eso te queda claro, ya sabes qué ha pasado.