Advarsel: Udløbne domæner er nemme at vælge for hackere

Jeg lærte en hård lektion i denne uge. Lang historie kort, en spammer fra Vietnam har kapret min Google Apps for Domains (nu kaldet Google Apps for Business) -konto og sender i øjeblikket folk e-mails fra min gamle e-mail-adresse (jack@anthrocopy.com) komplet med min signatur, telefonnummer ognavn og alt derpå. Anthrocopy.com var et uformelt dba-navn, jeg brugte for mange år siden til min freelance-skrivning, men jeg udfasede langsomt det og lod domænet udløbe. Nu er en anden flyttet ind i stedet, eremit-krabbe-stil, og kontakter sandsynligvis alle mine gamle forretningskontakter om billige Viagra.

Jeg kontaktede Google om det, og deres officielle svar var "Jeg er ked af at fortælle dig, at vi ikke kan hjælpe dig med dette problem, da du ikke ejer dette domæne mere."

Fair nok. Når alt kommer til alt lader jeg domænet udløbe, hvorved jeg lader en anden købe det, og på den måde lader jeg dem kommandere min gamle Gmail-konto, Google Dokumenter-konto og enhver anden tredjeparts webtjeneste, jeg måske har brugt Google-godkendelse til at logge ind på . Googles teknisk support anbefalede, at jeg kontakter retshåndhævelse, men jeg tror, at FBI har større fisk at stege end nogle vietnamesiske spammer, der foregiver at være en mildt opført freelanceforfatter.

Så det ser ud som den eneste mulighed, der er tilbage for migvar at sprede det ord, at jeg var blevet kapret, og i processen måske give en offentlig servicemeddelelse om at lade dine domæneregistreringer bortfalde uden at afvikle alle andre tilknyttede tjenester. Detaljerne om disse to bestræbelser følger.

Hvorfor får jeg mislykkede leveringsmeddelelser om e-mails, som jeg ikke sendte?

Jeg er ikke sikker på, hvorfor dette skete med mig, men for nylig,Jeg har fået en masse mislykkede leveringsmeddelelser eller automatiske svar på kontoret for e-mails, som jeg aldrig har sendt. En af disse e-mails er det, der tipede mig om, at noget ugudeligt skete med min online identitet.

E-mail-forfalskning vs. kompromitteret e-mail-konto

De første par, jeg modtog, var et simpelt tilfælde af forfalskning via e-mail. Det vil sige, at nogen sendte e-mails ordsprog at de var fra mig, men overskrifterne tile-mail beviste, at de virkelig ikke blev sendt fra min konto. E-mail-forfalskning er et almindeligt, ofte automatiseret angreb, og er for det meste ufarligt, da de fleste mailservere ved, hvordan de genkender en forfalsket e-mail. SPF-poster kan hjælpe denne indsats.

Her er et eksempel på en simpel forfalsket e-mail:

Der er ikke leveret til disse modtagere eller grupper:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Den angivne e-mail-adresse kunne ikke findes. Kontroller modtagerens e-mail-adresse, og prøv at sende meddelelsen igen. Hvis problemet fortsætter, skal du kontakte din helpdesk.
Diagnostiske oplysninger for administratorer:
Genererer server: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; ikke fundet ##
Originale meddelelsesoverskrifter:
Modtaget: fra ecsdel01.appriver.com (72.32.253.39) af mail.higginbotham.net
(10.5.2.56) med Microsoft SMTP-server-id 14.1.218.12; Tirsdag, 29. april 2014
00:41:57 -0500
Modtaget: fra [10.238.8.145] (HELO inbound.appriver.com) af
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) med ESMTP id 401638471
til teddy-metsseuk@gammoninsurance.com; Tirsdag, 29. april 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56 AM
X-politik: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-note: Denne e-mail blev scannet af AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analyse: 0, 97.67.222.18, grimt c = 0.425302 p = 0.483871 Kilde Normal
X-signatur-overtrædelser: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Mislykket: 0 Chk: 1342 af i alt 1342
X-note: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Warn: BOUNCETRACKER Bounce-brugersporing fundet
X-advarsel: OPTOUT
X-Warn: REVDNS Ingen omvendt DNS-post for 97.67.222.18
X-Warn: HELOBOGUS HELO-kommando udstedt uden domæne.
X-advarsel: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
X-note: Spam-test mislykkedes: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Sti: DET FORENEDE STATER-> DET FORENEDE STATER
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-note-retur-sti: teddy-metsseuk@anthrocopy.com
X-note: Brugerregel hits:
X-note: Globale regel hits: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-note: Krypter regel hits:
X-note: Mailklasse: Gyldig
X-note: Headere injiceret
Modtaget: fra [97.67.222.18] (HELO [97.67.222.18]) af inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) med ESMTP id 191929257 til
teddy-metsseuk@gammoninsurance.com; Tirsdag, 29. april 2014 00:41:56 -0500
Fra: DrOZNetwork Nyhedsbrev <teddy-metsseuk@anthrocopy.com>
Til: <teddy-metsseuk@gammoninsurance.com>
Emne: Du mister mindst en størrelse hver fjortende dag
Dato: Tirsdag, 29. april 2014 01:41:57 -0400
Liste-afmeld abonnement: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
MIME-version: 1.0
Svar til: “DrOZNetwork nyhedsbrev” <svar-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
Meddelelses-ID: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Indholdstype: multipart / alternativ; grænse =”MeDnwMAYvTCJ = _ ?:”
Retur-sti: teddy-metsseuk@anthrocopy.com

Men så modtog jeg en mislykket leveringanmeldelse, der inkluderede den originale meddelelse. Og jeg bemærkede, at den havde en faktisk e-mail-adresse, som jeg engang brugte (jack@anthrocopy.com) og min e-mail signatur også. Dette var bevis på, at ikke kun nogen sagde, at de var mig, de faktisk sendte legitime e-mails ud fra min gamle adresse. Det blev faktisk sendt via Gmail.

Hvordan kunne dette være? Det så ud til, at min gamle Google Apps for Domains-konto havde legitimationsoplysningerne til min stadig aktive hoved-e-mail-adresse i den. Ikke godt.

Først var jeg bekymret for, at jeg havde en computerder for nylig blev givet til en ven, blev misbrugt. Men jeg søgte IP-adressen (1.54.46.59) fra afsenderens header, og det så ud til, at e-mailen blev sendt fra nogen i Vietnam. Jeg kontrollerede min StatCounter-log og fandt også, at hackeren havde besøgt min webside:

Det ser ud til, at nogen er specifikt ogvedholdende forsøger at stjæle min identitet. Jeg aner ikke hvorfor. Men ved at stjæle Anthrocopy.com fra mig og min tilknyttede Google Apps for Domains-konto, ser det ud til, at de har gjort nogle fremskridt.

Hvordan hackere kan få adgang til din Gmail ved at købe et udløbet domæne

Google Apps til domæner adskiller sig fra ennormal Gmail- eller Google Docs- eller Google Drive-konto, idet det er tilknyttet et domæne, som du muligvis har registreret fra et andet firma end Google. Tilbage i 2010 registrerede jeg Anthrocopy.com hos Namecheap.com. Efter at jeg afviklede min freelance-karriere for at arbejde som fuldtids teknisk forfatter, lod jeg domænet udløbe. På en eller anden måde fandt hackeren ud af, at jeg havde en Google Apps for Domain-konto, selvom jeg ikke længere ejede domænet. Så den 20. juni 2014 købte nogen det via moniker.com ifølge Whois.

Det er fair spil. Hvis jeg ikke ønsker et domænenavn mere, er det en anden, der er fri til at købe det. De tog det imidlertid et skridt videre og hackede ind på min Google Apps for Domains-konto. De gjorde dette ved hjælp af formularen til gendannelse af Google Apps for Business-kontoen, som giver dig adgang til enhver Google Apps-konto, hvis du kan bevise, at du ejer et domænenavn. I stedet for at bruge en nulstilling af adgangskode eller adgangskode tip, kan du bare oprette en CNAME-post til det domæne, der viser, at du ejer domænet. Derefter giver Google dig nøglerne til kontoen. For $ 10 har nogen i Vietnam lige fået adgang til alle mine gamle Gmail-indstillinger, historie og gemte loginoplysninger.

Gendannelse af en kapret Google Apps for Business-konto

Spoiler alarm: der er ingen måde at gendanne en kompromitteret Google Apps for Business-konto. Hvis nogen ejer domænet, ejer de den tilknyttede Google Apps for Business-konto. Det er Googles holdning til det, og jeg er meget uenig, men jeg har ikke overbevist dem om at gøre noget ved det endnu.

Da jeg lærte, hvad der var sket, kontaktede jegGoogle Enterprise Support via denne formular. Cirka 12 timer senere (på en lørdag, ikke dårligt), modtog jeg et opkald fra en venlig fyr, der genanvendte min hændelse nøjagtigt. Desværre fortalte han mig, at der ikke var noget, jeg kunne gøre, hvis jeg ikke kunne bevise, at jeg ejede domænet. Jeg fortalte ham, at jeg ikke var interesseret i domænet, jeg ville bare have mine personlige og professionelle oplysninger og legitimationsoplysninger ud af den tilfældige persons hænder. Teknikken sagde, at han ville eskalere situationen, men kort efterpå modtog jeg følgende e-mail:

Hej Jack,

Tak, fordi du besvarede mit opkald. Jeg forstår, at du var ejeren af 'anthrocopy.com' og oprettede en Google Apps-konto ved hjælp af dette domæne, men du fornyede det ikke, så en anden registrerede sig og tog kontrollen over din Google Apps-konto.

Pr. Vores samtale for at have enGoogle Apps-konto skal du have det domæne, du binder til at bruge. En anden person tog kontrol over domænet, da hun / han var i stand til at bevise ejerskab via DNS-indstillinger. Jeg har hørt denne sag, og jeg er ked af at fortælle dig, at vi ikke kan hjælpe dig med dette problem, da du ikke ejer dette domæne mere. Som leverandør af værktøjer til oprettelse af indhold og hostingtjenester er Google ikke i stand til at mægle eller dømme tvister mellem tredjeparter. Vi anbefaler, at du rejser dine bekymringer direkte med den pågældende administrator.

Hvis du mener, at den pågældende administrator ulovligt begrænser adgangen til din konto, anbefaler vi, at du kontakter retshåndhævelse.

Med venlig hilsen
Guillermo.
Google Enterprise Support.

Så på dette tidspunkt sidder jeg fast.

Hvad skal jeg gøre ved min online omdømme?

Mit næste trin er at sende en personlig e-mail tilalle, jeg kan tænke på, kan være på den kontaktliste. Og måske sende en anmeldelse på webstederne for de domæner, som jeg stadig kontrollerer. Men bortset fra det ser det ud til, at der ikke er meget, jeg kan gøre, andet end at offentliggøre det, der skete, og forsøge at undskylde og forklare hver enkelt person, der er berørt. Jeg håber at vinde PR-slaget ved at gøre det almindeligt kendt, at Anthrocopy.com og jack@anthrocopy.com er falske, og at den rigtige Jack Busch er meget oprørt og meget ked.

Lær af mine fejl: Lad ikke domæner bortfalde

Jeg plejede at købe domæner som vanvittige hver gang Godaddyhavde et 99 cent domænenavnsalg, eller jeg tænkte på en sjov idé til et websted. Nu er jeg klar over, at hver enkelt af disse noget er et ansvar. Hver eneste jeg ejer og derefter forkaster bliver en mulighed for nogen til at vælge min identitet. Med Anthrocopy, som var den eneste, jeg registrerede en Google Apps-konto med, blev det domæne, som jeg købte for fire år siden, og lader udløb, en enorm sårbarhed.

Den bredere lektion herfra er at aldrig lade gamlekonti bortfalder eller udløber. Hold faner på hver konto, du opretter online. Hvis du beslutter at stoppe med at bruge kontoen, skal du slette den. Stol ikke på tjenesteudbyderen til at papirkurde dine data, når de ikke længere er nyttige for dig. Uanset om det er en gammel Twitter-konto, en gammel Facebook-konto (læs vores artikel om, hvordan du permanent sletter din Facebook-konto), en gammel Xanga-blog eller endda en gammel AOL-konto, grave den op nu og slette den, eller i det mindste skrubbe den fra personlige oplysninger. På nettet er det findere, og det, du mister, vil være for lille kartofler til at retshåndhævelse kan blive involveret.

Anbefaling til Google

Mens jeg sætter pris på, hvor hurtigt en Googlerepræsentant rakte mig, jeg er skuffet over, at der ikke er nogen yderligere anvendelse. Det er en ting at købe en ejendom, som nogen har forladt. Det er en anden ting at være i stand til at købe denne ejendom og derefter påtage sig deres identitet bagefter. Jeg er klar over, at jeg burde have været mere opmærksom på mine gamle, inaktive konti, men jeg har lyst til, det ville være en produktiv politik at have en udløbsdato også for inaktive konti. Jeg registrerede Anthrocopy for fire år siden og stoppede med at bruge det helt for over to år siden. Jeg tror på det tidspunkt ville det ikke være irriterende for Google at sende mig en hurtig e-mail: ”Hej, bruger du stadig dette? Hvis ikke, sletter vi det. ”

Jeg mener, at dette burde være politikken for noget. Twitter, Facebook, MySpace, Gmail osv. Der skal være en administrativ rensning af data for forladte konti. Denne politik skal være forudgående i servicevilkårene, og måske kan du give mulighed for at deaktivere automatisk sletning af inaktive konti.

Jeg kan forestille mig, at angreb som disse foregårlige nu og vil fortsætte med at forekomme, indtil vi alle klarer og sletter gamle konti (fedt chance) eller tjenesteudbydere begynder at implementere foranstaltninger for at forhindre zombie-konti i at komme tilbage og spise hjerne fra vores tidligere kolleger med spam (eller værre).

Konklusion

Jeg begik en fejl, og lærte min lektion. Jeg gør mit bedste for at udføre skaderegulering og forhindre, at dette sker igen. Men hvis du har haft en lignende oplevelse eller har yderligere indsigt eller forslag, ville jeg meget gerne vide det.