我的 IT 同事注意到我们工作网络中的(非 IT)用户在她的邮箱中发生了一些奇怪的事情。
在用户的已发送文件夹中,我们注意到一堆全是中文字符的电子邮件,它们被发送到中文电子邮件地址。她没有发送,一分钟内发送了 30-40-50 封电子邮件。其中一些电子邮件未送达,但很多已送达。
我们已经更改了她的密码,但这种情况仍在发生。我们有 ESET Endpoint Security,我们确实对计算机进行了检查,但没有发现任何东西。
它只是一个用户,看起来她的计算机上的某些东西会同时发送 30-50 封电子邮件,周期性地(不是定期,而是每周一次或每两周一次)。
收件人的电子邮件地址大多是随机字符串,提供者包括 126.com 或 yahoo.cn 等。
有谁知道这可能是什么,或者对下一步尝试什么或如何调查有任何建议?
编辑(在 davidgo 回复后):谢谢你的回复,这听起来不太好。
主要是因为几周前我们刚刚为她提供了一台新电脑,她说这“已经持续了一段时间,我只是每天都在删除这些”。她还将她的电子邮件帐户与她的智能手机同步,因此我们怀疑这可能是她在手机上所做的。
我们将一些电子邮件主题放入 Google 翻译中,它们确实看起来像带有广告的普通垃圾邮件。
更大的问题是,机器和邮箱账号更是这里的重要角色……与“官方当事人”的重要通信都在上面完成,所以隔离机器99.99%都不可能,更不用说改变了电子邮件地址,或任何类似的东西——除非我能出示明确的证据证明发生了违规和/或数据被盗。
在我最初的帖子发布 2 个月后 - 在更改一些密码等之后 - 这些电子邮件的数量有所下降,但问题似乎仍然存在,至少对于 2 个用户(而不是之前的 5 个)。
垃圾邮件 说:
发送 IP (xxxxxx) 被列为字典攻击源。
这意味着与合法投递相比,我们发现来自您的 IP 的不存在邮箱的流量很大。这是自动的,而不是由垃圾邮件报告引起的。
我拍下了我在 EAC 中看到的内容的屏幕截图。这是针对一个用户的,底部的 7 封电子邮件在一分钟内“发送”,顶部的 2 封在几小时后发送。(主题中的“Olvasatlan”在我的母语中仅表示“未读”。)
我也不确定我的域是字典攻击的来源是什么意思。TO 字段中的地址确实看起来像不存在的邮箱,就像 spamrl 消息所暗示的那样,但我不知道从这里开始我的调查。
还值得注意的是,有时其中一些会在主题中显示“阅读”。
任何帮助、提示和建议将不胜感激。
