Qualcuno conosce la tua password. Google ha impedito l’accesso.

Nulla a che fare con i ransomware, ma interessante dal punto di vista della sicurezza: questo il titolo della mail che in numerosi utenti Google hanno ricevuto in questi giorni di ottobre sulla loro casella di posta Gmail e sugli indirizzi di recupero/sicurezza ad essa legati. Con l’oggetto “Qualcuno conosce la tua password. Google ha impedito l’accesso.” la mail proveniente da Google informa di un “Tentativo di accesso bloccato” legato al fatto che “qualcuno ha appena utilizzato la tua password per tentare di accedere al tuo account xxxxx@gmail.com da un’applicazione, come un client di posta, o un dispositivo mobile”. L’accesso non è riuscito perché, apprendiamo dalla mail, “Google ha bloccato questo tentativo di accesso, ma ti consigliamo di controllare i tuoi dispositivi utilizzati di recente”.

Nei dettagli dell’accesso si rileva come l’indirizzo IP da cui è avvenuto risulta essere un IPv6, tra l’altro intestato a Google stesso. Fra le varie segnalazioni ricevute abbiamo identificato alcuni indirizzi IPv6, tra i quali:

• 2607:f8b0:400d:c0d:0:0:0:206
• 2607:f8b0:4002:c05:0:0:216
• 2607:f8b0:4001:c0b:0:0:223

Ricordiamo che l’elenco degli ultimi 10 accessi al nostro account di posta elettronica Gmail si può visionare cliccando sul link in basso a destra nella homepage Gmail.

Dalla schermata risulta come in tutti i casi, la localizzazione da cui è avvenuto l’accesso è “Stati Uniti” e, osservando il dettaglio della storia degli accessi all’account, si rilevano in corrispondenza del messaggio di notifica degli accessi POP3 da indirizzi come:

2a00:1450:4010:c07:0:0:0:213
2a00:1450:4010:c07:0:0:0:203
2a00:1450:4010:c07:0:0:0:20a
2a00:1450:4010:c07:0:0:0:207
2a00:1450:4010:c07:0:0:0:206
2a00:1450:4010:c07:0:0:0:20e
2a00:1450:4010:c07:0:0:0:225

Si noti che è presenta anche l’indirizzo IP “227.92.36.136”:

L’accesso alla casella di posta elettronica Gmail rilevato dall’indirizzo IP “sconosciuto” 227.92.36.136 è altrettanto anomalo perché tale indirizzo appartiene a una classe di indirizzi IP riservati da IANA, con numeri che iniziano con 224 a 239, per gestire la tecnologia IP multicast, una tecnologia realizzata per “inviare in modo efficiente lo stesso contenuto a multiple destinazioni, comunemente utilizzato per distribuire informazioni finanziarie e streaming video, tra le altre cose“, come si legge direttamente nel whois dell’IP 227.92.36.136:

NetRange: 224.0.0.0 – 239.255.255.255
CIDR: 224.0.0.0/4
NetName: MCAST-NET
NetHandle: NET-224-0-0-0-1
Parent: ()
NetType: IANA Special Use
OriginAS:
Organization: Internet Assigned Numbers Authority (IANA)
RegDate: 1991-05-22
Updated: 2013-08-30
Comment: Addresses starting with a number between 224 and 239 are used for IP multicast. IP multicast is a technology for efficiently sending the same content to multiple destinations. It is commonly used for distributing financial information and video streams, among other things.
Comment:
Comment: A full list of IPv4 multicast assignments can be found at:
Comment:
Comment: http://www.iana.org/assignments/multicast-addresses
Comment:
Comment: A document describing the policies for assigning multicast addresses can be found at:
Comment: http://datatracker.ietf.org/doc/rfc5771
Ref: https://whois.arin.net/rest/net/NET-224-0-0-0-1
OrgName: Internet Assigned Numbers Authority
OrgId: IANA
Address: 12025 Waterfront Drive
Address: Suite 300
City: Los Angeles
StateProv: CA
PostalCode: 90292
Country: US
RegDate:
Updated: 2012-08-31
Ref: https://whois.arin.net/rest/org/IANA
OrgTechHandle: IANA-IP-ARIN
OrgTechName: ICANN
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org
OrgTechRef: https://whois.arin.net/rest/poc/IANA-IP-ARIN

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: ICANN
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org
OrgAbuseRef: https://whois.arin.net/rest/poc/IANA-IP-ARIN

In altre segnalazioni, l’indirizzo IP che si è connesso nei giorni 10, 11 e 12 ottobre è il 255.104.1.140, anch’esso con particolari proprietà di “Internet Assigned Numbers Authority (IANA)” rilevabili dal whois: “Addresses starting with 240 or a higher number have not been allocated and should not be used, apart from 255.255.255.255, which is used for “limited broadcast” on a local network. This block was reserved by the IETF, the organization that develops Internet protocols, in the Standard document and in RFC 1112.”

Accedendo alla pagina contenente l’elenco dei dispositivi utilizzati di recente, si può osservare nelle notifiche e avvisi il “tentativo di accesso impedito da Google” con una cartina geografica che ne mostra la localizzazione negli Stati Uniti, l’Indirizzi IP e il fatto che l’utente abbia contrassegnato l’attività come sua o meno.

 

Dalle prime analisi svolte, sembra che gli episodi riguardino indirizzi – anche poco utilizzati – sui quali è o è stato in passato configurato il servizio d’importazione da indirizzi esterni o inoltro verso caselle di posta esterne, non necessariamente Google. Anche indirizzi Google collegati fra di loro hanno presentato questi segnali di presunto attacco.

Sono ancora in corso approfondimenti ma dalle prime analisi non sembra quindi che gli episodi siano legati ad accesso abusivo o violazione della casella di posta elettronica Google Gmail. Qualunque segnalazione può comunque essere utile per aggregare i dati e ricavare fattori comuni ai diversi casi di tentativi di accesso impediti da Google.

Questo articolo è disponibile anche in: Inglese