Warnung: Abgelaufene Domains sind eine einfache Auswahl für Hacker
Ich habe diese Woche eine schwere Lektion gelernt. Kurz gesagt, ein Spammer aus Vietnam hat mein Google Apps for Domains-Konto (jetzt Google Apps for Business) gekapert und sendet derzeit E-Mails von meiner alten E-Mail-Adresse (jack@anthrocopy.com) mit meiner Unterschrift, Telefonnummer undName und alles darauf. Anthrocopy.com war ein informeller dba-Name, den ich vor Jahren für mein freiberufliches Schreibgeschäft verwendet habe, aber ich habe ihn langsam eingestellt und die Domain ablaufen lassen. Jetzt ist jemand anderes in den Ort gezogen, im Einsiedlerkrebs-Stil, und wendet sich wahrscheinlich wegen billigem Viagra an alle meine alten Geschäftskontakte.
Ich habe Google darüber informiert und die offizielle Antwort lautete: "Es tut mir leid, dass wir Ihnen bei diesem Problem nicht weiterhelfen können, da Sie diese Domain nicht mehr besitzen."
Meinetwegen. Immerhin lasse ich die Domain ablaufen, so dass andere Nutzer sie kaufen können. Dabei lasse ich sie mein altes Google Mail-Konto, Google Text & Tabellen-Konto und jeden anderen Webdienst von Drittanbietern, bei dem ich mich möglicherweise mit der Google-Authentifizierung angemeldet habe, übernehmen . Der technische Support von Google empfahl mir, mich an die Strafverfolgung zu wenden, aber ich denke, das FBI hat größere Fische zu braten als ein vietnamesischer Spammer, der vorgibt, ein sanfter, freiberuflicher Schriftsteller zu sein.
Es scheint mir also der einzige Ausweg zu seinwar, die Nachricht zu verbreiten, dass ich entführt worden war, und dabei möglicherweise eine öffentliche Bekanntmachung darüber abzugeben, dass Ihre Domain-Registrierungen ungültig werden, ohne dass alle anderen damit verbundenen Dienste außer Kraft gesetzt werden. Die Details dieser beiden Bemühungen folgen.
Warum erhalte ich Benachrichtigungen über fehlgeschlagene Zustellungen für E-Mails, die ich nicht gesendet habe?
Ich bin mir nicht sicher, warum mir das passiert ist, aber in letzter ZeitIch habe viele Benachrichtigungen über fehlgeschlagene Zustellungen oder automatische Abwesenheitsantworten für E-Mails erhalten, die ich nie gesendet habe. Eine dieser E-Mails hat mich auf die Tatsache aufmerksam gemacht, dass etwas Ungutes mit meiner Online-Identität passiert ist.
E-Mail-Spoofing vs. kompromittiertes E-Mail-Konto
Die ersten paar, die ich erhielt, waren ein einfacher Fall von E-Mail-Spoofing. Das heißt, jemand hat E-Mails gesendet Sprichwort dass sie von mir waren, aber die Überschriften derDie E-Mail hat bewiesen, dass sie wirklich nicht von meinem Konto gesendet wurden. E-Mail-Spoofing ist ein häufiger, oft automatisierter Angriff und meist harmlos, da die meisten Mailserver wissen, wie man gefälschte E-Mails erkennt. SPF-Datensätze können dabei helfen.
Hier ist ein Beispiel für eine einfache gefälschte E-Mail:
Die Zustellung an diese Empfänger oder Gruppen ist fehlgeschlagen:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Die eingegebene E-Mail-Adresse wurde nicht gefunden. Bitte überprüfen Sie die E-Mail-Adresse des Empfängers und versuchen Sie, die Nachricht erneut zu senden. Wenn das Problem weiterhin besteht, wenden Sie sich an Ihren Helpdesk.
Diagnoseinformation für Administratoren:
Server wird generiert: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nicht gefunden ##
Ursprüngliche Nachrichtenköpfe:
Eingegangen von ecsdel01.appriver.com (72.32.253.39) über mail.higginbotham.net
(10.5.2.56) mit Microsoft SMTP Server ID 14.1.218.12; Dienstag, 29. April 2014
00:41:57 -0500
Eingegangen von [10.238.8.145] (HELO inbound.appriver.com) durch
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) mit der ESMTP-ID 401638471
für teddy-metsseuk@gammoninsurance.com; Di, 29 Apr 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29.04.2014 00:41:56
X-Policy: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-Hinweis: Diese E-Mail wurde von AppRiver SecureTide gescannt
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-Analyse: 0, 97,67,222,18, hässlich c = 0,425302 p = 0,483871 Quelle normal
X-Signatur-Verstöße: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Fail: 0 Chk: 1342 von 1342 insgesamt
X-Hinweis: SCH-CT / SI: 0-1342 / SG: 1 29.04.2014 00:41:55
X-Warn: BOUNCETRACKER Bounce User Tracking gefunden
X-Warn: OPTOUT
X-Warn: REVDNS Kein Reverse-DNS-Eintrag für 97.67.222.18
X-Warn: HELOBOGUS HELO-Befehl ohne Domäne ausgegeben.
X-Warn: BULKMAILER
X-Warn: GEWICHT10
X-Warn: GEWICHT15
X-Note: Spam-Tests fehlgeschlagen: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: VEREINIGTE STAATEN-> VEREINIGTE STAATEN
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Note: Benutzerregel Zugriffe:
X-Note: Globale Regel Zugriffe: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Regelzugriffe verschlüsseln:
X-Hinweis: Mail-Klasse: GÜLTIG
X-Hinweis: Header injiziert
Erhalten: von [97.67.222.18] (HELO [97.67.222.18]) von inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) mit der ESMTP-ID 191929257 für
teddy-metsseuk@gammoninsurance.com; Di, 29. April 2014 00:41:56 -0500
Von: DrOZNetwork Newsletter <teddy-metsseuk@anthrocopy.com>
An: <teddy-metsseuk@gammoninsurance.com>
Betreff: Sie verlieren alle zwei Wochen mindestens eine Größe
Datum: Di, 29. April 2014 01:41:57 -0400
Liste abbestellen: <mailto: Leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
MIME-Version: 1.0
Antwort an: "DrOZNetwork Newsletter" <reply-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
Nachrichten-ID: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Inhaltstyp: mehrteilig / alternativ; border = ”MeDnwMAYvTCJ = _?:”
Rückweg: teddy-metsseuk@anthrocopy.com
Aber dann erhielt ich eine fehlgeschlagene LieferungBenachrichtigung, die die ursprüngliche Nachricht enthielt. Und ich bemerkte, dass es eine tatsächliche E-Mail-Adresse hatte, die ich einmal verwendet hatte (jack@anthrocopy.com), und auch meine E-Mail-Signatur. Dies war ein Beweis dafür, dass nicht nur jemand sagte, er sei ich, sondern tatsächlich legitime E-Mails von meiner alten Adresse aus verschickte. Es wurde tatsächlich über Google Mail gesendet.

Wie konnte das sein? In meinem alten Google Apps for Domains-Konto befanden sich anscheinend die Anmeldeinformationen für meine noch aktive Haupt-E-Mail-Adresse. Nicht gut.
Erstens war ich besorgt, dass ein Computer, den ich hattevor kurzem an einen Freund gegeben wurde missbraucht. Ich habe jedoch die IP-Adresse (1.54.46.59) im Header des Absenders nachgeschlagen und festgestellt, dass die E-Mail von jemandem in Vietnam gesendet wurde. Ich habe mein StatCounter-Protokoll überprüft und festgestellt, dass der Hacker meine Webseite besucht hat:

Es scheint, dass jemand spezifisch ist undbeharrlich versuchen, meine Identität zu stehlen. Ich habe keine Idee warum. Durch den Diebstahl von Anthrocopy.com von mir und meinem zugehörigen Google Apps for Domains-Konto scheinen sie jedoch einige Fortschritte erzielt zu haben.
Wie Hacker durch den Kauf einer abgelaufenen Domain auf Google Mail zugreifen können
Google Apps for Domains unterscheidet sich von anormales Google Mail- oder Google Text & Tabellen- oder Google Drive-Konto, da es einer Domain zugeordnet ist, die Sie möglicherweise bei einem anderen Unternehmen als Google registriert haben. Im Jahr 2010 habe ich Anthrocopy.com bei Namecheap.com registriert. Nachdem ich meine freiberufliche Karriere als hauptberuflicher technischer Redakteur beendet hatte, ließ ich die Domain ablaufen. Irgendwie fand der Hacker heraus, dass ich ein Google Apps for Domain-Konto hatte, obwohl ich die Domain nicht mehr besaß. Laut Whois hat es am 20. Juni 2014 jemand über moniker.com gekauft.

Das ist faires Spiel.Wenn ich keinen Domainnamen mehr möchte, kann ihn jemand anderes kaufen. Sie gingen jedoch noch einen Schritt weiter und hackten sich in mein Google Apps for Domains-Konto. Dazu haben sie das Wiederherstellungsformular für Google Apps for Business-Konten verwendet, mit dem Sie auf jedes Google Apps-Konto zugreifen können, wenn Sie nachweisen können, dass Sie einen Domainnamen besitzen. Anstatt ein Zurücksetzen des Kennworts oder einen Kennworthinweis zu verwenden, können Sie einfach einen CNAME-Eintrag für die Domäne erstellen, der belegt, dass Sie Eigentümer der Domäne sind. Anschließend gibt Google Ihnen die Schlüssel für das Konto. Für 10 US-Dollar hat jemand in Vietnam gerade Zugriff auf alle meine alten Google Mail-Einstellungen, den Verlauf und die gespeicherten Anmeldeinformationen erhalten.
Wiederherstellen eines entführten Google Apps for Business-Kontos
Spoiler Alarm:Es gibt keine Möglichkeit, ein gefährdetes Google Apps for Business-Konto wiederherzustellen. Wenn jemand die Domain besitzt, besitzt er das zugehörige Google Apps for Business-Konto. Das ist die Position von Google, und ich bin anderer Meinung, aber ich habe sie noch nicht davon überzeugt, etwas dagegen zu unternehmen.
Als ich erfuhr, was passiert war, kontaktierte ichGoogle Enterprise Support über dieses Formular. Ungefähr 12 Stunden später (an einem Samstag, nicht schlecht) erhielt ich einen Anruf von einem freundlichen Kollegen, der meinen Vorfall genau wiedergab. Leider sagte er mir, dass ich nichts tun könnte, wenn ich nicht beweisen könnte, dass ich die Domain besitze. Ich sagte ihm, dass mir die Domain egal sei, ich wollte nur, dass meine persönlichen und beruflichen Informationen und Anmeldeinformationen nicht in die Hände dieser zufälligen Person gelangen. Der Techniker sagte, er würde die Situation eskalieren, aber kurz darauf erhielt ich die folgende E-Mail:
Hallo jack,
Vielen Dank, dass Sie meinen Anruf beantwortet haben.Ich verstehe, dass Sie der Eigentümer von "anthrocopy.com" waren und ein Google Apps-Konto mit dieser Domain erstellt haben. Sie haben es jedoch nicht erneuert, sodass sich eine andere Person registriert und die Kontrolle über Ihr Google Apps-Konto übernommen hat.
Wie in unserem Gespräch, um eine zu habenGoogle Apps-Konto Sie müssen Eigentümer der Domain sein, die Sie verwenden möchten. Eine andere Person übernahm die Kontrolle über die Domain, da sie den Besitz über DNS-Einstellungen nachweisen konnte. Ich habe diesen Fall konsultiert und muss Ihnen leider mitteilen, dass wir Ihnen bei diesem Problem nicht weiterhelfen können, da Sie diese Domain nicht mehr besitzen. Als Anbieter von Tools zur Erstellung von Inhalten und Hosting-Diensten ist Google nicht in der Lage, Streitigkeiten zwischen Dritten zu vermitteln oder zu entscheiden. Wir empfehlen, dass Sie Ihre Bedenken direkt beim betreffenden Administrator äußern.
Wenn Sie der Meinung sind, dass der betreffende Administrator den Zugriff auf Ihr Konto rechtswidrig einschränkt, empfehlen wir Ihnen, sich an die Strafverfolgungsbehörden zu wenden.
Mit freundlichen Grüßen,
Guillermo.
Google Enterprise-Support.
An diesem Punkt stecke ich fest.
Was mache ich mit meinem Online-Ruf?
Mein nächster Schritt ist das Senden einer persönlichen E-Mail anJeder, an den ich denken kann, kann in dieser Kontaktliste stehen. Und vielleicht eine Benachrichtigung auf den Websites für die Domains veröffentlichen, die ich noch kontrolliere. Abgesehen davon kann ich anscheinend nicht viel tun, außer an die Öffentlichkeit zu gehen und zu versuchen, mich bei jeder betroffenen Person zu entschuldigen und zu erklären. Ich hoffe, den PR-Kampf zu gewinnen, indem ich allgemein bekannt mache, dass Anthrocopy.com und jack@anthrocopy.com Schwindel sind und dass der echte Jack Busch sehr verärgert und sehr traurig ist.
Lernen Sie aus meinen Fehlern: Lassen Sie Domains nicht verfallen
Ich habe Domains wie verrückt gekauft, wenn Godaddyhatte einen 99-Cent-Domainnamenverkauf oder ich dachte an eine lustige Idee für eine Website. Jetzt ist mir klar, dass jeder von ihnen eine gewisse Haftung darstellt. Jeder, den ich besitze und dann ablehne, wird zu einer Möglichkeit für jemanden, meine Identität zu kooptieren. Mit Anthrocopy, der einzigen, bei der ich ein Google Apps-Konto registriert habe, wurde diese Domain, die ich vor vier Jahren gekauft und ablaufen ließ, zu einer großen Sicherheitslücke.
Die umfassendere Lehre daraus ist, niemals alt werden zu lassenKonten verfallen oder verfallen. Behalten Sie jedes Konto im Auge, das Sie online erstellen. Wenn Sie das Konto nicht mehr verwenden möchten, löschen Sie es. Vertrauen Sie dem Dienstanbieter nicht, dass er Ihre Daten in den Papierkorb legt, wenn sie für Sie nicht mehr nützlich sind. Egal, ob es sich um ein altes Twitter-Konto, ein altes Facebook-Konto (lesen Sie unseren Artikel zum dauerhaften Löschen Ihres Facebook-Kontos), ein altes Xanga-Blog oder sogar ein altes AOL-Konto handelt, graben Sie es jetzt aus und löschen Sie es oder schrubben Sie es zumindest von jeglichen persönlichen Informationen. Im Internet sind es Finder, und was Sie verlieren, ist zu wenig Kartoffeln, als dass die Strafverfolgungsbehörden sich einmischen könnten.
Empfehlung an Google
Ich weiß zwar zu schätzen, wie schnell ein GoogleDer Vertreter hat sich an mich gewandt. Ich bin enttäuscht, dass es keinen weiteren Rückgriff gibt. Es ist eine Sache, eine Immobilie aufzukaufen, die jemand aufgegeben hat. Es ist eine andere Sache, diese Immobilie aufkaufen zu können und anschließend ihre Identität anzunehmen. Mir ist klar, dass ich bei meinen alten, inaktiven Konten wachsamer hätte sein sollen, aber ich denke, es wäre eine produktive Richtlinie, auch für inaktive Konten ein Ablaufdatum zu haben. Ich habe Anthrocopy vor vier Jahren registriert und vor über zwei Jahren vollständig eingestellt. Ich denke, zu diesem Zeitpunkt wäre es für Google nicht ärgerlich, mir eine kurze E-Mail zu senden: "Hey, verwenden Sie diese noch? Wenn nicht, werden wir es löschen. "
Ich denke, das sollte die Politik für alles sein.Twitter, Facebook, MySpace, Google Mail usw. Es sollte eine administrative Bereinigung von Daten für verlassene Konten geben. Diese Richtlinie sollte in Bezug auf die Nutzungsbedingungen im Voraus gelten. Möglicherweise können Sie die Option zum Deaktivieren des automatischen Löschens inaktiver Konten geben.
Ich stelle mir vor, dass solche Angriffe stattfindenIm Moment und wird es so lange dauern, bis wir alle alte Konten (Fat Chance) oder Dienstleister kennenlernen und Maßnahmen ergreifen, um zu verhindern, dass Zombie-Konten zurückkehren und das Gehirn unserer ehemaligen Kollegen mit Spam (oder Schlimmerem) auffressen.
Fazit
Ich habe einen Fehler gemacht und meine Lektion gelernt.Ich gebe mein Bestes, um die Schadenskontrolle durchzuführen und zu verhindern, dass dies erneut geschieht. Aber wenn Sie eine ähnliche Erfahrung gemacht haben oder weitere Einblicke oder Vorschläge haben, würde ich es gerne wissen.
Hinterlasse einen Kommentar