我们将 GMail 用于我们的商务电子邮件,我们是一家小公司。我为我们的域进行邮件管理,最近我收到一封来自 Google 的电子邮件提醒我同事的帐户有一些可疑的登录并被暂停。
查看此帐户的登录审核报告,我可以看到在过去大约 27 次可疑登录。3 个月,第一次是 2015 年 7 月 28 日。
在此期间,他在不知不觉中继续使用该帐户,直到谷歌昨天暂停了该帐户。我们更改了密码并启用了 2 因素身份验证(事实上,我们已经为所有员工制定了公司政策)。然后,我们遵循了 Google 的管理员清单: https ://support.google.com/a/answer/2984349?hl=en
我一直在对 GMail 记录的可疑登录的源 IP 进行反向查找(ping -a),并且我得到了各种相当相关的顶级域返回,例如 .ru、.pl、.ly、 .kg、.kz、.mx、.ar、.eg、.br、.tr。
在我看来,他们大多是使用 DSL 或类似的动态 IP 的住宅 ISP 用户。
他记得在第一次可疑登录时接收电子邮件时遇到了一些临时问题,但我们注意到从那时起他的电子邮件或他的任何在线服务中没有其他明显的可疑活动。他使用笔记本电脑上的 Outlook 通过 POP3 访问 GMail。我们不确定在这个阶段使用了什么载体。刚开始时,他确实在南非境内进行了一些旅行,使用酒店 Wi-Fi,但他从未去过其他任何国家。
我想确定的是:
鉴于可疑访问的模式,可能的机制是什么?例如,是来自共享我同事登录凭据的个人黑客的未经授权登录,还是源 IP 可能是用户不知道他们的机器上有恶意软件发送垃圾邮件或类似信息?
鉴于我们是一家编写和管理网站的软件公司,但没有理由相信我们的任何生产托管基础设施已受到损害,如果有的话,我们应该采取什么进一步的行动?