Внимание: Домените с изтекъл срок на годност са лесни за хакери

Научих тежък урок тази седмица. Накратко, спамер от Виетнам отвлече акаунта ми в Google Apps for Domains (сега се нарича Google Apps for Business) и в момента изпраща имейли на хората от стария ми имейл адрес (jack@anthrocopy.com) в комплект с моя подпис, телефонен номер ииме и всичко на него. Anthrocopy.com беше неформално име на dba, което използвах преди години за моя писател на свободна практика, но бавно го прекратих и оставих домейна да изтече. Сега някой друг се е преместил на мястото, отшелнически-ракови стил и вероятно се свързва с всичките ми стари бизнес контакти за евтината Виагра.

Свързах се с Google относно него и официалният им отговор беше „Съжалявам, че ви казвам, че не можем да ви помогнем с този проблем, тъй като вече не притежавате този домейн.“

Достатъчно честно. В крайна сметка оставих домейна да изтече, като по този начин оставих някой друг да го купи и по този начин им позволявам да командва стария ми акаунт в Gmail, акаунта в Google Docs и всяка друга уеб услуга на трета страна, която може да използвах за удостоверяване с Google, за да вляза в системата , Техническата поддръжка на Google препоръча да се свържа с органите на реда, но мисля, че ФБР има за пържене по-голяма риба, отколкото някой виетнамски спамер, който се преструва на меко казано на свободна практика писател.

И така, това изглежда е единственият залог, който ми оставабеше да разпространим думата, че съм бил отвлечен и в процеса може би ще предоставим съобщение за обществена услуга за изпускане на регистрацията на вашия домейн, без да се ликвидират всички други свързани услуги. Подробностите за тези две усилия следват.

Защо получавам неуспешни известия за доставка на имейли, които не изпратих?

Не съм сигурен защо ми се случи това, но напоследък,Получавам много неуспешни известия за доставка или автоматични отговори на офиси за имейли, които никога не съм изпращал. Един от тези имейли е това, което ме подсказа към факта, че нещо лошо се случва с моята онлайн идентичност.

Изпращане на имейл срещу компрометиран имейл акаунт

Първите няколко, които получих, бяха прост случай на подправяне по имейл. Тоест, някой изпраща имейли поговорка че са от мен, но заглавките наимейл доказа, че те наистина не са изпратени от моя акаунт. Изпращането по имейл е често срещана, често автоматизирана атака и най-вече е безобидна, тъй като повечето пощенски сървъри знаят как да разпознаят подправен имейл. SPF записите могат да помогнат за това.

Ето пример за обикновен подправен имейл:

Доставката до тези получатели или групи се провали:
teddy-metsseuk@gammoninsurance.com <за mailto: teddy-metsseuk@gammoninsurance.com>
Въведеният от вас имейл адрес не може да бъде намерен. Моля, проверете имейл адреса на получателя и се опитайте да го изпратите отново. Ако проблемът продължи, моля, свържете се с вашата служба за помощ.
Диагностична информация за администраторите:
Генериращ сървър: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; не е намерен ##
Оригинални заглавки на съобщенията:
Получено: от ecsdel01.appriver.com (72.32.253.39) от mail.higginbotham.net
(10.5.2.56) с идентификатор на SMTP сървър на Microsoft 14.1.218.12; Вт, 29 април 2014
00:41:57 -0500
Получено: от [10.238.8.145] (HELO inbound.appriver.com) от
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) с ESMTP id 401638471
за teddy-metsseuk@gammoninsurance.com; Вт, 29 април 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29.04.2014 12:41:56
X-политика: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-Note: Този имейл беше сканиран от AppRiver SecureTide
X-Virus Scan: V-
X-Note-SnifferID: 100
X-GBUdb-анализ: 0, 97.67.222.18, Ugly c = 0.425302 p = 0.483871 Източник Нормален
Нарушения на X-подпис: 100-5950968-462-494-m
100-5948747-463-494-т
100-5946619-2051-2065-т
100-5946619-7869-7883-т
100-5946619-9947-9961-т
100-5946619-11129-11143-т
100-5950968-0-11316-F
X-Note-419: 0 ms. Fail: 0 Chk: 1342 от 1342 общо
X-Note: SCH-CT / SI: 0-1342 / SG: 1 29.04.2014 12:41:55
X-Предупреждение: BOUNCETRACKER Проследяване на потребителя отскача намерено
X-Предупреждение: OPTOUT
X-Warn: REVDNS Няма обратен DNS запис за 97.67.222.18
X-Warn: HELOBOGUS HELO команда, издадена без домейн.
X-Предупреждение: BULKMAILER
X-Предупреждение: ТЕГЛО10
X-Предупреждение: ТЕГЛО15
X-Note: Неуспешни тестове за спам: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: ОБЕДИНЕНИ ДЪРЖАВИ>> ОБЕДИНЕНИ ДЪРЖАВИ
X-Note-Sending-IP: 97.67.222.18
X-Забележка-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Note: Посещения на потребителското правило:
X-Note: Глобални хитове на правилата: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Криптиране на хитове на правило:
X-Note: Клас на поща: ВАЛИДЕН
X-Забележка: Главите се инжектират
Получено: от [97.67.222.18] (HELO [97.67.222.18]) от inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) с ESMTP id 191929257 за
teddy-metsseuk@gammoninsurance.com; Вт, 29 април 2014 00:41:56 -0500
От: DrOZNetwork Newsletter <teddy-metsseuk@anthrocopy.com>
До: <teddy-metsseuk@gammoninsurance.com>
Тема: Ще загубите най-малко с размери на всеки Fortnight
Дата: вторник, 29 април 2014 01:41:57 -0400
Списък-Отписване: <mailto: dopu-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com
MIME-версия: 1.0
Отговор към: „Бюлетин на DrOZNetwork“ <reply-teddy-metsseuk@anthrocopy.com>
x-работа: 00645_45748849
ID на съобщението: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Тип съдържание: многочасти / алтернатива; граница = "MeDnwMAYvTCJ = _ ?:"
Връщане-път: teddy-metsseuk@anthrocopy.com

Но след това получих неуспешна доставкаизвестие, което включваше оригиналното съобщение. И забелязах, че има действителен имейл адрес, който някога съм използвал (jack@anthrocopy.com) и имейл подписа си също. Това беше доказателство, че не само някой казва, че съм аз, а всъщност изпращаше законни имейли от стария ми адрес. Всъщност беше изпратено чрез Gmail.

Как е възможно това? Изглежда, че старият ми акаунт в Google Apps for Domains имаше идентификационни данни за моя все още активен основен имейл адрес в него. Не е добре.

Първо се притесних, че компютър, който имамнаскоро даден на приятел е бил насилван. Но погледнах IP адреса (1.54.46.59) от заглавката на изпращача и се оказа, че имейлът е изпратен от някой от Виетнам. Проверих дневника на StatCounter и също така открих, че хакерът е посещавал моята уеб страница:

Изглежда, че някой е конкретно иупорито се опитвам да ми откраднат самоличността. Нямам идея защо. Но като открадна Anthrocopy.com от мен и свързания ми акаунт в Google Apps for Domains, изглежда, че те са постигнали известен напредък.

Как хакерите могат да получат достъп до вашия Gmail чрез закупуване на изтекъл домейн

Google Apps за домейни е различен от aнормален Gmail или Google Документи или Google Drive, тъй като е свързан с домейн, който може да сте регистрирали от компания, различна от Google. През 2010 г. регистрирах Anthrocopy.com с Namecheap.com. След като прекъснах кариерата си на свободна практика, за да работя като щатен технически писател, оставих домейна да изтече. По някакъв начин хакерът разбра, че имам акаунт в Google Apps for Domain, въпреки че вече не притежавам домейна. И така, на 20 юни 2014 г. някой го купи чрез moniker.com, според Whois.

Това е честна игра. Ако вече не искам име на домейн, някой друг е свободен да го купи. Те обаче направиха крачка напред и хакнаха в профила ми в Google Apps for Domains. Те направиха това чрез формата за възстановяване на акаунта в Google Apps for Business, която ще ви даде достъп до всеки акаунт в Google Apps, ако можете да докажете, че притежавате име на домейн. Вместо да използвате нулиране на парола или подсказка за парола, можете просто да създадете CNAME запис за домейна, който доказва, че сте собственик на домейна. След това Google ви дава ключовете от акаунта. За 10 долара някой във Виетнам току-що получи достъп до всичките ми стари настройки на Gmail, история и запазени идентификационни данни за вход.

Възстановяване на отвлечен Google Apps за бизнес акаунт

Внимание спойлер: няма начин да възстановите компрометиран профил в Google Apps for Business. Ако някой е собственик на домейна, той притежава асоциирания акаунт в Google Apps for Business. Това е позицията на Google по въпроса и аз не съм съгласен, но все още не съм ги убеждавал да правят нещо по въпроса.

Когато научих какво се е случило, се свързахПоддръжка на Google Enterprise чрез този формуляр. Около 12 часа по-късно (в събота, не е лошо) получих обаждане от приятелски приятел, който пресъздаде точно моя инцидент. За съжаление той ми каза, че няма какво да направя, ако не мога да докажа, че притежавам домейна. Казах му, че не се интересувам от домейна, просто исках моята лична и професионална информация и пълномощия да бъдат от ръцете на този случаен човек. Техникът каза, че ще ескалира ситуацията, но скоро след това получих следния имейл:

Здравей Джак,

Благодаря ви, че отговорихте на обаждането ми. Разбрах, че бяхте собственик на „anthrocopy.com“ и създадохте акаунт в Google Apps, използвайки този домейн, но не го подновихте, така че някой друг да се е регистрирал и да е контролирал вашия акаунт в Google Apps.

Според нашия разговор, за да имаме aПрофилът в Google Apps трябва да притежавате домейна, който обвързвате да използвате. Друг човек пое контрола над домейна, тъй като той / той успя да докаже собствеността чрез настройките на DNS. Консултирах се по този случай и ще съжалявам да ви кажа, че не можем да ви помогнем с този проблем, тъй като вече не сте собственик на този домейн. Като доставчик на инструменти за създаване на съдържание и хостинг услуги, Google не е в състояние да посредничи или да решава спорове между трети страни. Препоръчваме ви да повдигнете притесненията си директно с въпросния администратор.

Ако смятате, че въпросният администратор незаконно ограничава достъпа до вашия акаунт, препоръчваме ви да се свържете с органите на реда.

На Ваше разположение,
Гилермо.
Поддръжка на Google Enterprise.

И така, в този момент съм заседнал.

Какво ще правя за онлайн репутацията си?

Следващата ми стъпка е да изпратя личен имейл довсички, за които се сещам, може да са в този списък с контакти. И може би да публикувам известие на уебсайтовете за домейните, които все още контролирам. Но освен това, изглежда, че няма какво да направя, освен да изляза публично със случилото се и да се опитам да се извиня и да обясня на всеки засегнат човек. Надявам се да спечеля битката за PR, като стана широко известно, че Anthrocopy.com и jack@anthrocopy.com са фалшиви и че истинският Джак Буш е много разстроен и много съжалява.

Учете се от Моите грешки: Не допускайте изчезване на домейни

Купувах домейни като луди винаги, когато Godaddyпродадох име на домейн с 99 процента или се сетих за смешна идея за уебсайт. Сега осъзнавам, че всеки един от тях носи някаква отговорност. Всяко, което притежавам и след което се отказвам, се превръща в авеню за някой да кооптира моята идентичност. С Anthrocopy, която беше единствената, с която регистрирах акаунт в Google Apps, този домейн, който купих преди четири години и оставих да изтече, се превърна в огромна уязвимост.

По-широкият урок от това е никога да не оставяме староакаунти изтичат или изтичат. Водете раздели за всеки акаунт, който създавате онлайн. Ако решите да спрете да използвате акаунта, го изтрийте. Не се доверявайте на доставчика на услуги, че да изхвърля вашите данни, след като вече не е полезен за вас. Независимо дали става въпрос за стар акаунт в Twitter, стар акаунт във Facebook (прочетете нашата статия за това как да изтриете трайно акаунта си във Facebook), стар Xanga блог или дори стар AOL акаунт, изкопайте го сега и го изтрийте или поне го изстържете от всякаква лична информация. В мрежата са собственици на търсещи хора и това, което загубите, ще бъде твърде малко картофи, за да се включат правоохранителните органи.

Препоръка към Google

Въпреки че оценявам колко бързо е Googleпредставител ми посегна, разочарован съм, че няма повече прибягване. Едно е да купиш имот, който някой е изоставил. Друго нещо е да можете да закупите този имот и след това да приемете самоличността им. Осъзнавам, че трябваше да бъда по-бдителен относно старите си неактивни акаунти, но чувствам, че би било продуктивна политика да има срок на годност и за неактивни акаунти. Регистрирах Антрокопията преди четири години и спрях да я използвам преди повече от две години. Мисля, че в този момент не би било досадно Google да ми изпрати бърз имейл: „Хей, все още използвате това? Ако не, ще го изтрием. "

Мисля, че това трябва да бъде политиката за каквото и да било. Twitter, Facebook, MySpace, Gmail и т.н. Трябва да има административно почистване на данни за изоставени акаунти. Тази политика трябва да бъде в аванс по отношение на услугата и, може би, бихте могли да дадете възможност да деактивирате автоматично изтриване на неактивни акаунти.

Представям си, че подобни атаки продължаватв момента и ще продължи да се случва, докато всички не измислим и изтрием старите акаунти (мазни шанс) или доставчиците на услуги не започнат да прилагат мерки за предотвратяване на връщането на зомби акаунти и изяждане на мозъка на бившите ни колеги със спам (или по-лошо).

заключение

Направих грешка и научих урока си. Правя всичко възможно да контролирам щетите и да предотвратя това да се повтори. Но ако сте имали подобно преживяване или имате по-нататъшен поглед или предложения, бих искал да знам.