Προειδοποίηση: Οι τομείς που έχουν λήξει είναι εύκολοι επιλογών για χάκερ

Έμαθα ένα σκληρό μάθημα αυτή την εβδομάδα. Πολύ σύντομη ιστορία, ένας spammer από το Βιετνάμ έχει ξεφύγει από το λογαριασμό μου Google Apps for Domains (τώρα αποκαλούμενος Google Apps for Business) και αποστέλλει ηλεκτρονικά μηνύματα ηλεκτρονικού ταχυδρομείου από την παλιά μου διεύθυνση ηλεκτρονικού ταχυδρομείου (jack@anthrocopy.com) με την υπογραφή μου, τον αριθμό τηλεφώνου μου και τονόνομα και όλα σε αυτό. Το Anthrocopy.com ήταν ένα ανεπίσημο όνομα dba που χρησιμοποίησα πριν από χρόνια για την ανεξάρτητη γραπτή δουλειά μου, αλλά το σταμάτησα σιγά σιγά και άφησα τον τομέα να λήξει. Τώρα, κάποιος άλλος έχει μετακομίσει στον τόπο, στυλ ερημίτης-καβουριού, και μάλλον έρχεται σε επαφή με όλες τις παλιές επαφές μου για το φτηνό Viagra.

Επαφές με την Google σχετικά με αυτό και η επίσημη απάντησή τους ήταν "Λυπάμαι που σας λέω ότι δεν μπορούμε να σας βοηθήσουμε σε αυτό το πρόβλημα, αφού δεν έχετε πλέον τον ίδιο τομέα".

Δίκαιο. Μετά από όλα, άφησα τον τομέα να λήξει, επιτρέποντας έτσι σε κάποιον άλλον να το αγοράσει και με αυτόν τον τρόπο τους άφησα να χειριστεί τον παλιό μου λογαριασμό Gmail, τον Λογαριασμό των Εγγράφων Google και οποιαδήποτε άλλη υπηρεσία ιστού τρίτου μέρους, ίσως χρησιμοποίησα τον έλεγχο ταυτότητας Google για να συνδεθώ . Η τεχνική υποστήριξη της Google συνιστάται να έρθω σε επαφή με την επιβολή του νόμου, αλλά νομίζω ότι το FBI έχει μεγαλύτερα ψάρια για να τηγανίσει από κάποιο βιετναμέζικο spammer που προσποιείται ότι είναι ένας ήπιος συγγραφέας freelance.

Έτσι, φαίνεται σαν η μόνη προσφυγή που μου άφησεήταν να εξαπλωθεί η λέξη που είχα καταλάβει και, κατά τη διαδικασία, ίσως να παρέχει μια ανακοίνωση δημόσιας υπηρεσίας για να αφήσει να καταργηθούν οι καταχωρίσεις του τομέα σας χωρίς να καταργηθούν όλες οι άλλες συναφείς υπηρεσίες. Οι λεπτομέρειες αυτών των δύο προσπαθειών ακολουθούν.

Γιατί δεν λαμβάνω ειδοποιήσεις για την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που δεν έστειλα;

Δεν είμαι σίγουρος γιατί μου συνέβη αυτό, αλλά πρόσφατα,Έχω πάρει πολλές αποτυχημένες ειδοποιήσεις παράδοσης ή από τις αυτόματες απαντήσεις γραφείου για μηνύματα ηλεκτρονικού ταχυδρομείου που δεν έστειλα ποτέ. Ένα από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι αυτό που με άφησε πίσω στο γεγονός ότι κάτι ασύστολο συνέβαινε στην ηλεκτρονική μου ταυτότητα.

Email Spoofing εναντίον συμβιβασμού λογαριασμού ηλεκτρονικού ταχυδρομείου

Οι πρώτοι μερικοί που έλαβα ήταν μια απλή περίπτωση ψευδαίσθησης ηλεκτρονικού ταχυδρομείου. Δηλαδή, κάποιος έστειλε μηνύματα ηλεκτρονικού ταχυδρομείου ρητό ότι ήταν από μένα, αλλά οι επικεφαλίδες τουτο ηλεκτρονικό ταχυδρομείο απέδειξε ότι πραγματικά δεν αποστέλλονται από το λογαριασμό μου. Η ψευδαίσθηση μέσω ηλεκτρονικού ταχυδρομείου είναι μια κοινή, συχνά αυτοματοποιημένη επίθεση και είναι ως επί το πλείστον αβλαβής, καθώς οι περισσότεροι διακομιστές αλληλογραφίας γνωρίζουν πώς να αναγνωρίζουν ένα πλαστογραφημένο μήνυμα ηλεκτρονικού ταχυδρομείου. Τα αρχεία SPF μπορούν να βοηθήσουν αυτή την προσπάθεια.

Ακολουθεί ένα παράδειγμα απλού πλαστογραφημένου μηνύματος ηλεκτρονικού ταχυδρομείου:

Η παράδοση απέτυχε στους εξής παραλήπτες ή ομάδες:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Δεν ήταν δυνατή η εύρεση της διεύθυνσης ηλεκτρονικού ταχυδρομείου που εισαγάγατε. Ελέγξτε τη διεύθυνση ηλεκτρονικού ταχυδρομείου του παραλήπτη και προσπαθήστε να στείλετε ξανά το μήνυμα. Εάν το πρόβλημα συνεχίζεται, επικοινωνήστε με το γραφείο υποστήριξης.
Διαγνωστικές πληροφορίες για τους διαχειριστές:
Δημιουργία διακομιστή: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; δεν βρέθηκε ##
Αρχικές κεφαλίδες μηνυμάτων:
Λήψη: από το ecsdel01.appriver.com (72.32.253.39) μέσω mail.higginbotham.net
(10.5.2.56) με τον διακομιστή Microsoft SMTP Server id 14.1.218.12; Τρί, 29 Απριλίου 2014
00:41:57 -0500
Λήψη: από [10.238.8.145] (HELO inbound.appriver.com) από
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) με κωδικό ESMTP 401638471
για teddy-metsseuk@gammoninsurance.com; Τετ, 29 Απρ 2014 00:41:58 -0500
X-Σημείωση-AR-ScanTimeLocal: 4/29/2014 12:41:56 πμ
Πολιτική X: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-Σημείωση: Αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου σαρώθηκε από το AppRiver SecureTide
X-Virus-Scan: V-
X-Σημείωση-SnifferID: 100
Ανάλυση X-GBUdb: 0, 97.67.222.18, Ugly c = 0.425302 p = 0.483871 Πηγή Κανονική
Παραβιάσεις υπογραφών X: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Σημείωση-419: 0 ms. Αποτυχία: 0 Chk: 1342 από 1342 συνολικά
Σημείωση X: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Warn: Βρέθηκε εντοπισμός εντοπισμού αναπήματος BOUNCETRACKER
Προειδοποίηση X: OPTOUT
X-Warn: REVDNS Όχι Reverse DNS record για 97.67.222.18
X-Warn: Η εντολή HELOBOGUS HELO που εκδίδεται χωρίς τομέα.
Προειδοποίηση X: BULKMAILER
X-Warn: ΒΑΡΟΣ10
X-Warn: ΒΑΡΟΣ15
Σημείωση X: Δοκιμές ανεπιθύμητης αλληλογραφίας απέτυχαν: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, ΒΑΡΟΣ15
X-Country-Path: ΗΝΩΜΕΝΕΣ ΠΟΛΙΤΕΙΕΣ-> ΗΝΩΜΕΝΕΣ ΠΟΛΙΤΕΙΕΣ
X-Note-Αποστολή-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Note: Επισκέψεις κανόνα χρήστη:
X-Note: Παγκόσμιες επιτυχίες κανόνων: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Κρυπτογράφηση επιτυχιών κανόνα:
X-Note: Κατηγορία αλληλογραφίας: VALID
X-Note: Έγχυση κεφαλίδων
Ελήφθη: από [97.67.222.18] (HELO [97.67.222.18]) από inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) με αναγνωριστικό ESMTP 191929257 για
teddy-metsseuk@gammoninsurance.com; Τρί, 29 Απρ 2014 00:41:56 -0500
Από: DrOZNetwork Newsletter <teddy-metsseuk@anthrocopy.com>
Προς: <teddy-metsseuk@gammoninsurance.com>
Θέμα: Θα χάσετε τουλάχιστον ένα μέγεθος κάθε δεκαπενθήμερο
Ημερομηνία: Τρί, 29 Απρ 2014 01:41:57 -0400
Λίστα-κατάργηση εγγραφής: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
Έκδοση MIME: 1.0
Απάντηση σε: "DrOZNetwork Newsletter" <reply-teddy-metsseuk@anthrocopy.com>
x-δουλειά: 00645_45748849
Αναγνωριστικό μηνύματος: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Τύπος περιεχομένου: πολλαπλό / εναλλακτικό; όριο = "MeDnwMAYvTCJ = _ ?:"
Επιστροφή-διαδρομή: teddy-metsseuk@anthrocopy.com

Αλλά τότε, έλαβα μια αποτυχημένη παράδοσηειδοποίηση που περιελάμβανε το αρχικό μήνυμα. Και παρατήρησα ότι είχε μια πραγματική διεύθυνση email που κάποτε χρησιμοποιούσα (jack@anthrocopy.com) και επίσης την υπογραφή του email μου. Αυτό ήταν απόδειξη ότι όχι μόνο κάποιος είπε ότι ήταν εγώ, αλλά έστειλαν πραγματικά νόμιμα email από την παλιά μου διεύθυνση. Στην πραγματικότητα στάλθηκε μέσω Gmail.

Πώς θα μπορούσε αυτό να είναι? Φαινόταν ότι ο παλιός μου λογαριασμός Google Apps for Domains είχε τα διαπιστευτήρια για την ακόμα ενεργή κύρια διεύθυνση ηλεκτρονικού ταχυδρομείου μου. ΟΧΙ καλα.

Πρώτον, ανησυχούσα για έναν υπολογιστή που είχαπρόσφατα δόθηκε σε έναν φίλο κακοποιήθηκε. Ωστόσο, αναζήτησα τη διεύθυνση IP (1.54.46.59) από την κεφαλίδα του αποστολέα και φάνηκε ότι το μήνυμα ηλεκτρονικού ταχυδρομείου στάλθηκε από κάποιον στο Βιετνάμ. Έλεγξα το αρχείο καταγραφής StatCounter και διαπίστωσα επίσης ότι ο εισβολέας επισκέφτηκε την ιστοσελίδα μου:

Φαίνεται ότι κάποιος είναι συγκεκριμένα καιπροσπαθώ επίμονα να κλέψω την ταυτότητά μου. Δεν έχω ιδέα γιατί. Αλλά κλέβοντας το Anthrocopy.com από εμένα και τον συσχετισμένο λογαριασμό μου Google Apps for Domains, φαίνεται ότι έχουν σημειώσει κάποια πρόοδο.

Πώς οι χάκερ μπορούν να έχουν πρόσβαση στο Gmail σας αγοράζοντας έναν τομέα που έχει λήξει

Το Google Apps for Domains είναι διαφορετικό από το aκανονικός λογαριασμός Gmail ή Έγγραφα Google ή λογαριασμός Google Drive, καθώς σχετίζεται με έναν τομέα που ενδέχεται να έχετε εγγραφεί από εταιρεία διαφορετική από την Google. Το 2010, εγγράφηκα στο Anthrocopy.com στο Namecheap.com. Αφού έκλεισα την ελεύθερη καριέρα μου για να εργαστώ ως τεχνικός συγγραφέας πλήρους απασχόλησης, άφησα τον τομέα να λήξει. Κατά κάποιο τρόπο, ο εισβολέας ανακάλυψε ότι είχα λογαριασμό Google Apps for Domain, παρόλο που δεν είχα πλέον τον τομέα. Έτσι, στις 20 Ιουνίου 2014, κάποιος το αγόρασε μέσω του moniker.com, σύμφωνα με τον Whois.

Αυτό είναι δίκαιο παιχνίδι. Εάν δεν θέλω πια όνομα τομέα, κάποιος άλλος είναι ελεύθερος να το αγοράσει. Ωστόσο, το έκαναν ένα βήμα παραπέρα και εισέβαλαν στον λογαριασμό μου Google Apps for Domains. Το έκαναν αυτό χρησιμοποιώντας τη φόρμα ανάκτησης λογαριασμού Google Apps for Business, η οποία θα σας δώσει πρόσβαση σε οποιονδήποτε λογαριασμό Google Apps, εάν μπορείτε να αποδείξετε ότι διαθέτετε όνομα τομέα. Αντί να χρησιμοποιήσετε επαναφορά κωδικού πρόσβασης ή υπόδειξη κωδικού πρόσβασης, μπορείτε απλώς να δημιουργήσετε μια εγγραφή CNAME για τον τομέα που αποδεικνύει ότι είστε ο κάτοχος του τομέα. Στη συνέχεια, η Google σάς δίνει τα κλειδιά του λογαριασμού. Για 10 $, κάποιος στο Βιετνάμ μόλις απέκτησε πρόσβαση σε όλες τις παλιές ρυθμίσεις του Gmail, το ιστορικό και τα αποθηκευμένα διαπιστευτήρια σύνδεσης.

Ανάκτηση λογαριασμού παραβιασμένων εφαρμογών Google για επιχειρήσεις

Ειδοποίηση Spoiler: δεν υπάρχει τρόπος ανάκτησης ενός παραβιασμένου λογαριασμού Google Apps for Business. Εάν κάποιος κατέχει τον τομέα, κατέχει τον σχετικό λογαριασμό Google Apps for Business. Αυτή είναι η θέση της Google σε αυτό και διαφωνώ πολύ, αλλά δεν τους έπεισα να κάνουν κάτι γι 'αυτό ακόμα.

Όταν έμαθα τι είχε συμβεί, ήρθα σε επαφήΥποστήριξη Google Enterprise μέσω αυτής της φόρμας. Περίπου 12 ώρες αργότερα (το Σάββατο, όχι άσχημα), έλαβα ένα τηλεφώνημα από έναν φιλικό συνάδελφο που ανακάλυψε με ακρίβεια το συμβάν μου. Δυστυχώς, μου είπε ότι δεν μπορούσα να κάνω τίποτα, αν δεν μπορούσα να αποδείξω ότι ανήκα στον τομέα. Του είπα ότι δεν με ενδιέφερε ο τομέας, απλώς ήθελα τις προσωπικές και επαγγελματικές πληροφορίες και τα διαπιστευτήριά μου από τα χέρια αυτού του τυχαίου ατόμου. Ο τεχνικός είπε ότι θα κλιμακώσει την κατάσταση, αλλά λίγο αργότερα, έλαβα το ακόλουθο email:

Γεια σου Τζακ,

Σας ευχαριστώ που απαντήσατε στην κλήση μου.Κατανοώ ότι είστε ο κάτοχος του "anthrocopy.com" και δημιουργήσατε έναν λογαριασμό Google Apps χρησιμοποιώντας αυτόν τον τομέα, αλλά δεν τον ανανεώσατε, ώστε κάποιος άλλος να έχει εγγραφεί και να πάρει τον έλεγχο του λογαριασμού σας Google Apps.

Σύμφωνα με τη συνομιλία μας, για να έχουμε έναΛογαριασμός Google Apps που πρέπει να κατέχετε τον τομέα που θέλετε να χρησιμοποιήσετε. Ένα άλλο άτομο ανέλαβε τον έλεγχο του τομέα, καθώς ήταν σε θέση να αποδείξει την ιδιοκτησία μέσω των ρυθμίσεων DNS. Έχω συμβουλευτεί αυτήν την υπόθεση και λυπάμαι που σας λέω ότι δεν μπορούμε να σας βοηθήσουμε με αυτό το πρόβλημα, καθώς δεν είστε πλέον κάτοχος αυτού του τομέα. Ως πάροχος εργαλείων δημιουργίας περιεχομένου και υπηρεσιών φιλοξενίας, η Google δεν είναι σε θέση να μεσολαβήσει ή να επιλύσει διαφορές μεταξύ τρίτων. Σας συνιστούμε να θέσετε τις ανησυχίες σας απευθείας στον εν λόγω διαχειριστή.

Εάν πιστεύετε ότι ο εν λόγω διαχειριστής περιορίζει παράνομα την πρόσβαση στον λογαριασμό σας, σας συνιστούμε να επικοινωνήσετε με την επιβολή του νόμου.

Με εκτιμιση,
Γκιλέρμο.
Υποστήριξη Google Enterprise.

Έτσι, σε αυτό το σημείο, είμαι κολλημένος.

Τι πρόκειται να κάνω για τη διαδικτυακή μου φήμη;

Το επόμενο βήμα μου είναι να στείλω ένα προσωπικό email στοο καθένας που μπορώ να σκεφτώ ότι μπορεί να βρίσκεται σε αυτήν τη λίστα επαφών. Και ίσως δημοσιεύστε μια ειδοποίηση στους ιστότοπους για τους τομείς που εξακολουθώ να ελέγχω. Αλλά εκτός από αυτό, φαίνεται ότι δεν μπορώ να κάνω πολλά, εκτός από το να δημοσιοποιήσω αυτό που συνέβη και να προσπαθήσω να ζητήσω συγνώμη και να εξηγήσω σε κάθε άτομο που επηρεάζεται. Ελπίζω να κερδίσω τη μάχη δημοσίων σχέσεων, καθιστώντας ευρέως γνωστό ότι το Anthrocopy.com και το jack@anthrocopy.com είναι ψεύτικα και ότι ο πραγματικός Jack Busch είναι πολύ αναστατωμένος και λυπάμαι πολύ.

Μάθετε από τα λάθη μου: Μην αφήσετε τους τομείς να πάψουν να ισχύουν

Συνήθιζα να αγοράζω τομείς όπως τρελός όποτε Godaddyείχε μια πώληση ονόματος τομέα 99 σεντ ή σκέφτηκα μια αστεία ιδέα για έναν ιστότοπο. Τώρα, συνειδητοποιώ ότι κάθε ένα από αυτά είναι κάπως ευθύνη. Κάθε ένα που έχω και μετά απορρίπτω γίνεται τρόπος για να επιλέξει κάποιος την ταυτότητά μου. Με το Anthrocopy, το οποίο ήταν ο μόνος με τον οποίο έχω καταχωρίσει έναν λογαριασμό Google Apps, αυτός ο τομέας που αγόρασα πριν από τέσσερα χρόνια και άφησα τη λήξη μετατράπηκε σε τεράστια ευπάθεια.

Το ευρύτερο μάθημα από αυτό είναι να μην αφήσουμε ποτέ παλιάοι λογαριασμοί λήγουν ή λήγουν. Παρακολουθήστε κάθε λογαριασμό που δημιουργείτε στο Διαδίκτυο. Εάν αποφασίσετε να σταματήσετε να χρησιμοποιείτε τον λογαριασμό, διαγράψτε τον. Μην εμπιστεύεστε τον πάροχο υπηρεσιών να απορρίψει τα δεδομένα σας όταν δεν είναι πλέον χρήσιμο για εσάς. Είτε πρόκειται για έναν παλιό λογαριασμό Twitter, έναν παλιό λογαριασμό στο Facebook (διαβάστε το άρθρο μας σχετικά με το πώς να διαγράψετε οριστικά τον λογαριασμό σας στο Facebook), ένα παλιό blog Xanga ή ακόμα και έναν παλιό λογαριασμό AOL, σκάψτε τον τώρα και διαγράψτε τον ή τουλάχιστον καθαρίστε τον από οποιαδήποτε προσωπική πληροφορία. Στον ιστό, είναι οι κάτοχοι εύρεσης, και αυτό που χάνετε θα είναι πολύ μικρό για να εμπλακούν οι αρχές επιβολής του νόμου.

Σύσταση προς την Google

Ενώ εκτιμώ πόσο γρήγορα ένα Googleένας εκπρόσωπος επικοινωνεί μαζί μου, είμαι απογοητευμένος που δεν υπάρχει περαιτέρω προσφυγή. Είναι ένα πράγμα να αγοράσετε ένα ακίνητο που κάποιος έχει εγκαταλείψει. Είναι άλλο ένα πράγμα να είναι σε θέση να αγοράσει αυτό το ακίνητο και στη συνέχεια να αναλάβει την ταυτότητά τους μετά. Συνειδητοποιώ ότι έπρεπε να είμαι πιο προσεκτικός σχετικά με τους παλιούς, ανενεργούς λογαριασμούς μου, αλλά αισθάνομαι ότι θα ήταν μια παραγωγική πολιτική να έχω ημερομηνία λήξης και σε ανενεργούς λογαριασμούς. Έχω εγγραφεί στο Anthrocopy πριν από τέσσερα χρόνια και σταμάτησα να το χρησιμοποιώ εντελώς πριν από δύο χρόνια. Νομίζω ότι σε αυτό το σημείο, δεν θα ήταν ενοχλητικό για την Google να μου στέλνει ένα γρήγορο μήνυμα ηλεκτρονικού ταχυδρομείου: "Γεια, το χρησιμοποιείτε ακόμα; Εάν όχι, θα το διαγράψουμε. "

Πιστεύω ότι αυτή πρέπει να είναι η πολιτική για οτιδήποτε.Twitter, Facebook, MySpace, Gmail, κ.λπ. Θα πρέπει να υπάρχει διοικητική εκκαθάριση δεδομένων για εγκαταλελειμμένους λογαριασμούς. Αυτή η πολιτική πρέπει να είναι εκ των προτέρων στους όρους παροχής υπηρεσιών και, ίσως, θα μπορούσατε να δώσετε την επιλογή να απενεργοποιήσετε την αυτόματη διαγραφή ανενεργών λογαριασμών.

Φαντάζομαι ότι συνεχίζονται τέτοιες επιθέσειςαυτή τη στιγμή και θα συνεχίσει να συμβαίνει έως ότου όλοι διαλέξουμε και διαγράψουμε παλιούς λογαριασμούς (λίγη πιθανότητα) ή οι πάροχοι υπηρεσιών αρχίσουν να εφαρμόζουν μέτρα για να αποτρέψουν την επιστροφή λογαριασμών ζόμπι και να τρώνε τον εγκέφαλο των πρώην συναδέλφων μας με ανεπιθύμητα μηνύματα (ή χειρότερα).

συμπέρασμα

Έκανα ένα λάθος και έμαθα το μάθημά μου.Καταβάλλω κάθε δυνατή προσπάθεια για να εκτελέσω τον έλεγχο των ζημιών και να το αποτρέψω να συμβεί ξανά. Αλλά αν είχατε μια παρόμοια εμπειρία ή έχετε περισσότερες πληροφορίες ή προτάσεις, θα ήθελα να μάθω.