Upozornění: Prošlé domény jsou hackerům snadno vybírány

Tento týden jsem se naučil tvrdou lekci. Příběh krátkého příběhu, spammer z Vietnamu unesl můj účet Google Apps pro domény (nyní nazývaný Google Apps pro firmy) a v současné době odesílá e-maily lidem z mé staré e-mailové adresy (jack@anthrocopy.com) doplněno mým podpisem, telefonním číslem ajméno a všechno na něm. Anthrocopy.com bylo neformální jméno dba, které jsem používal před lety pro své psaní na volné noze, ale pomalu jsem to postupně ukončil a nechal doménu vypršet. Nyní se na místo přestěhoval někdo jiný, poustevnický krab a pravděpodobně kontaktoval všechny své staré obchodní kontakty ohledně levné Viagra.

Kontaktoval jsem o tom společnost Google a jejich oficiální odpověď byla „Je mi líto, že vám mohu sdělit, že vám s tímto problémem nemůžeme pomoci, protože už tuto doménu nevlastníte.“

Dost spravedlivé. Koneckonců, nechám doménu vypršet, a tak ji nechám koupit někomu jinému, a přitom jim nechám přikázat svůj starý účet Gmail, účet Google Docs a jakoukoli jinou webovou službu třetích stran, kterou jsem mohl použít k přihlášení pomocí ověření Google . Technická podpora Google doporučila kontaktovat vymáhání práva, ale myslím si, že FBI má větší ryby na smažení než nějaký vietnamský spammer předstírající, že je spisovatelem na volné noze.

Vypadá to tak, že mi zůstal jediný opravný prostředekbylo šířit slovo, které jsem byl unesen, a v tomto procesu možná vydat oznámení o veřejné službě o tom, že vaše registrace domén zaniknou, aniž by byly zrušeny všechny další související služby. Podrobnosti o těchto dvou snahách následují.

Proč se mi nezobrazují oznámení o doručení e-mailů, které jsem neposlal?

Nejsem si jistý, proč se mi to stalo, ale v poslední doběNa e-maily, které jsem nikdy neposlal, dostávám spoustu oznámení o selhání doručení nebo automatických odpovědí mimo kancelář. Jedním z těchto e-mailů je to, co mě upozornilo na skutečnost, že se mé online identitě dělo něco nevyzpytatelného.

E-mailové podvodné zprávy vs. kompromitovaný e-mailový účet

Prvních pár, které jsem obdržel, byl jednoduchý případ spoofingu e-mailů. To znamená, že někdo poslal e-maily rčení že byli ode mě, ale záhlavíe-mail prokázal, že se mi opravdu neposílali z mého účtu. Falešné e-maily jsou běžným, často automatizovaným útokem a jsou většinou neškodné, protože většina poštovních serverů umí rozpoznat e-maily s podvrhnutím. Záznamy SPF mohou tomuto úsilí pomoci.

Zde je příklad jednoduchého spoofed e-mailu:

Nepodařilo se doručení těmto adresátům nebo skupinám:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
E-mailovou adresu, kterou jste zadali, nelze najít. Zkontrolujte e-mailovou adresu příjemce a zkuste zprávu odeslat znovu. Pokud problém přetrvává, kontaktujte prosím helpdesk.
Diagnostické informace pro správce:
Generující server: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nenalezeno ##
Původní záhlaví zprávy:
Přijato: z ecsdel01.appriver.com (72.32.253.39) mailem.higginbotham.net
(10.5.2.56) s ID serveru Microsoft SMTP 14.1.218.12; Út, 29. dubna 2014
00:41:57 -0500
Přijato: od [10.238.8.145] (HELO inbound.appriver.com) uživatelem
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) s identifikátorem ESMTP 401638471
pro teddy-metsseuk@gammoninsurance.com; Út, 29. dubna 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29.4.2014 12:41:56 dop
X-Policy: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-Note: Tento e-mail byl naskenován aplikací AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analýza: 0, 97,67,222,18, Ugly c = 0,425302 p = 0,483871 Zdroj Normální
Porušení X-podpisu: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Selhání: 0 Chk: 1342 z celkem 1342
X-poznámka: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Warn: Bylo nalezeno sledování uživatele BOUNCETRACKER Bounce
X-Warn: OPTOUT
X-Warn: REVDNS No Reverzní DNS záznam pro 97.67.222.18
X-Warn: HELOBOGUS HELO příkaz byl vydán bez domény.
X-Warn: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
X-Poznámka: Selhání spamu: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
Cesta X-Country: UNITED STATES-> UNITED STATES
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
Cesta X-Note-Return: teddy-metsseuk@anthrocopy.com
X-Note: Hits Rule Rule:
X-Poznámka: Globální pravidla: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Šifrovat pravidla Hits:
X-Poznámka: Třída pošty: PLATNÁ
X-Note: Injected Headers Injected
Přijato: od [97.67.222.18] (HELO [97.67.222.18]) od inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) s identifikátorem ESMTP 191929257 pro
teddy-metsseuk@gammoninsurance.com; Út, 29. dubna 2014 00:41:56 -0500
Od: DrOZNetwork Newsletter <teddy-metsseuk@anthrocopy.com>
Komu: <teddy-metsseuk@gammoninsurance.com>
Předmět: Ztratíte nejméně jednou za dva týdny
Datum: Út, 29 duben 2014 01:41:57 -0400
Seznam zrušte odběr: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance>
Verze MIME: 1.0
Odpovědět: „Newsletter DrOZNetwork“ <answer-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
ID zprávy: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Content-Type: multipart / alternative; boundary = ”MeDnwMAYvTCJ = _ ?:”
Zpáteční cesta: teddy-metsseuk@anthrocopy.com

Ale pak jsem obdržel neúspěšné doručeníoznámení, které obsahovalo původní zprávu. A všiml jsem si, že měl skutečnou e-mailovou adresu, kterou jsem kdysi použil (jack@anthrocopy.com), a také můj e-mailový podpis. To byl důkaz, že nejen někdo řekl, že jsem já, ale vlastně posílali legitimní e-maily z mé staré adresy. Ve skutečnosti byl odeslán přes Gmail.

Jak by to mohlo být? Zdálo se, že můj starý účet Google Apps pro domény měl pověření pro moji stále aktivní hlavní e-mailovou adresu. Špatný.

Nejprve jsem se bála, že mám počítačNedávno darováno příteli bylo zneužíváno. Vyhledal jsem však IP adresu (1.54.46.59) z hlavičky odesílatele a zdálo se, že e-mail byl odeslán od někoho ve Vietnamu. Zkontroloval jsem svůj protokol StatCounter a také zjistil, že hacker navštívil moji webovou stránku:

Zdá se, že někdo je konkrétně avytrvale se pokouší ukrást moji identitu. Nemám ponětí, proč. Ale odcizením Anthrocopy.com ode mě a mého přidruženého účtu Google Apps pro domény se zdá, že udělali určitý pokrok.

Jak hackeři mohou přistupovat k vašemu Gmailu nákupem vypršené domény

Google Apps pro domény se liší od aběžný účet Gmail nebo Dokumenty Google nebo účet Google Drive v tom, že je spojen s doménou, kterou jste možná zaregistrovali od jiné společnosti než Google. V roce 2010 jsem si na Namecheap.com zaregistroval Anthrocopy.com. Poté, co jsem ukončil svou nezávislou kariéru, abych pracoval jako technický spisovatel na plný úvazek, nechal jsem doménu vypršet. Hacker nějak zjistil, že mám účet Google Apps pro doménu, i když už doménu již nevlastním. Takže 20. června 2014 to někdo koupil přes moniker.com, podle Whois.

To je férová hra. Pokud už nechci doménové jméno, může si ho koupit někdo jiný. Udělali to však ještě o krok dále a vnikli do mého účtu Google Apps pro domény. Udělali to pomocí formuláře pro obnovení účtu Google Apps pro firmy, který vám umožní přístup k jakémukoli účtu Google Apps, pokud můžete prokázat, že vlastníte doménové jméno. Namísto použití resetování hesla nebo nápovědy k heslu můžete pro doménu vytvořit záznam CNAME, který prokazuje, že vlastníte doménu. Poté vám Google dá klíče k účtu. Za 10 $ někdo ve Vietnamu právě získal přístup ke všem mým starým nastavením, historii a uloženým přihlašovacím údajům v Gmailu.

Obnovení uneseného účtu Google Apps pro firmy

Varování: spoiler: neexistuje žádný způsob, jak obnovit ohrožený účet Google Apps pro firmy. Pokud někdo vlastní doménu, vlastní přidružený účet Google Apps pro firmy. To je postoj společnosti Google k tomu a já velmi nesouhlasím, ale ještě jsem je nepřesvědčil, aby s tím něco udělali.

Když jsem se dozvěděl, co se stalo, kontaktoval jsemPodpora Google Enterprise prostřednictvím tohoto formuláře. Asi o 12 hodin později (v sobotu, není to špatné) jsem dostal hovor od přátelského kolegu, který přesně zachytil můj incident. Bohužel mi řekl, že jsem nemohl udělat nic, kdybych nemohl prokázat, že jsem vlastníkem domény. Řekl jsem mu, že se o doménu nestarám, jen jsem chtěl, aby moje osobní a profesionální informace a pověření byly z rukou té náhodné osoby. Technik řekl, že situaci eskaloval, ale krátce nato jsem obdržel následující e-mail:

Ahoj Jacku,

Děkuji za odpověď na můj hovor. Vyrozuměli jsme, že jste vlastnili doménu „anthrocopy.com“ a vytvořili jste účet Google Apps pomocí této domény, ale neobnovili jste jej, takže se někdo jiný zaregistroval a převzal kontrolu nad svým účtem Google Apps.

Podle naší konverzace, abychom měliÚčet Google Apps musíte vlastnit doménu, kterou chcete používat. Další osoba převzala kontrolu nad doménou, protože byla schopna prokázat vlastnictví prostřednictvím nastavení DNS. Tento případ jsem konzultoval a je mi líto, že vám nemůžeme pomoci s tímto problémem, protože již tuto doménu nevlastníte. Jako poskytovatel nástrojů pro tvorbu obsahu a hostingových služeb není společnost Google schopna zprostředkovat nebo rozhodovat spory mezi třetími stranami. Doporučujeme, abyste své obavy vznesli přímo u příslušného správce.

Pokud se domníváte, že dotyčný správce nezákonně omezuje přístup k vašemu účtu, doporučujeme obrátit se na orgány činné v trestním řízení.

S pozdravem,
Guillermo.
Podpora Google Enterprise.

V tuto chvíli jsem uvízl.

Co udělám s online pověstmi?

Mým dalším krokem je poslat osobní e-mail na adresukaždý, na co si myslím, může být v tomto seznamu kontaktů. A možná zveřejníme oznámení na webových stránkách pro domény, které stále ovládám. Ale kromě toho to vypadá, že toho nemůžu udělat víc, než abych byl veřejně informován o tom, co se stalo, a pokusil se omluvit a vysvětlit každou postiženou osobu. Doufám, že zvítězím v bitvě o PR tím, že je všeobecně známo, že Anthrocopy.com a jack@anthrocopy.com jsou falešní a že skutečný Jack Busch je velmi rozrušený a velmi líto.

Poučte se z Mých chyb: Nenechte domény propadnout

Kdykoli jsem Godaddy kupoval domény jako bláznivéměl prodej doménového jména 99 centů nebo jsem myslel na zábavný nápad pro web. Nyní si uvědomuji, že každý z nich je poněkud zodpovědný. Každý, který vlastním, a poté odmítám, se stává cestou, jak někdo kooptovat moji identitu. S Anthrocopy, což byl jediný, u kterého jsem si zaregistroval účet Google Apps, se tato doména, kterou jsem si koupil před čtyřmi lety a která vypršela, stala velkou zranitelností.

Širší ponaučení z tohoto je nikdy nechat staréúčty vyprší nebo vyprší. Mějte karty na každém účtu, který vytvoříte online. Pokud se rozhodnete účet přestat používat, smažte jej. Nevěřte poskytovateli služeb, že vaše data zlikviduje, jakmile pro vás již nebude užitečná. Ať už se jedná o starý účet Twitter, starý účet Facebook (přečtěte si náš článek o tom, jak trvale smazat svůj účet Facebook), starý blog Xanga nebo dokonce starý účet AOL, vykopejte ho a smažte, nebo ho alespoň vyčistěte z jakýchkoli osobních údajů. Na webu jsou vyhledávači strážců a to, co ztratíte, bude příliš malé brambory, aby se do nich donucovací orgány mohli zapojit.

Doporučení společnosti Google

I když oceňuji, jak rychle GoogleZástupce mě oslovil, jsem zklamaný, že už není žádná další pomoc. Jedna věc je koupit nemovitost, kterou někdo opustil. Je to další věc, kterou si můžeme koupit, a poté převzít svou identitu. Uvědomuji si, že jsem měl být o své staré, neaktivní účty ostražitější, ale mám pocit, že by mělo být produktivní zásadou mít datum vypršení platnosti i na neaktivní účty. Antroskopii jsem zaregistroval před čtyřmi lety a přestal jsem ji úplně používat před více než dvěma lety. Myslím, že v tomto okamžiku by nebylo obtěžující, kdyby mi Google zaslal rychlý e-mail: „Hej, stále to používáte? Pokud ne, odstraníme jej. “

Myslím, že by to měla být politika pro cokoli. Twitter, Facebook, MySpace, Gmail atd. Pro opuštěné účty by mělo existovat administrativní čištění dat. Tato zásada by měla být předem stanovena v podmínkách služby a možná byste mohli dát možnost zakázat automatické mazání neaktivních účtů.

Představuji si, že takové útoky probíhajíprávě teď a bude i nadále probíhat, dokud nebudeme všichni moudří a mazáme staré účty (fat šanci) nebo poskytovatelé služeb nezačnou provádět opatření, která zabrání tomu, aby se zombie účty vrátily a snědly mozky našich bývalých kolegů spamem (nebo horším).

Závěr

Udělal jsem chybu a naučil jsem se lekci. Snažím se dělat kontrolu škod a zabránit tomu, aby se to opakovalo. Ale pokud jste měli podobné zkušenosti nebo máte další informace nebo návrhy, rád bych to věděl.