Advertencia: los dominios caducados son fáciles de elegir para los hackers

Aprendí una dura lección esta semana. En pocas palabras, un spammer de Vietnam ha secuestrado mi cuenta de Google Apps for Domains (ahora llamada Google Apps for Business) y actualmente está enviando correos electrónicos de personas desde mi antigua dirección de correo electrónico (jack@anthrocopy.com) completo con mi firma, número de teléfono ynombre y todo lo que contiene. Anthrocopy.com era un nombre informal de dba que utilicé hace años para mi negocio de escritura independiente, pero lo eliminé lentamente y dejé que el dominio expirara. Ahora, alguien más se ha mudado al lugar, al estilo cangrejo ermitaño, y probablemente están contactando a todos mis viejos contactos comerciales sobre Viagra barato.

Me puse en contacto con Google al respecto y su respuesta oficial fue "Lamento decirte que no podemos ayudarte con este problema ya que ya no eres el propietario de ese dominio".

Lo suficientemente justo. Después de todo, dejo que el dominio caduque, lo que permite que otra persona lo compre, y al hacerlo, les dejo tomar mi antigua cuenta de Gmail, la cuenta de Google Docs y cualquier otro servicio web de terceros en el que pueda haber utilizado la autenticación de Google para iniciar sesión . El soporte técnico de Google me recomendó que me pusiera en contacto con la policía, pero creo que el FBI tiene más pescado para freír que un spammer vietnamita que pretende ser un escritor independiente de buenos modales.

Entonces, parece que el único recurso que me quedafue para correr la voz de que había sido secuestrado y, en el proceso, tal vez proporcionar un anuncio de servicio público sobre dejar que sus registros de dominio caduquen sin cerrar todos los demás servicios asociados. Los detalles de esos dos esfuerzos siguen.

¿Por qué recibo notificaciones de entrega fallidas de correos electrónicos que no envié?

No estoy seguro de por qué me sucedió esto, pero últimamente,Recibí muchas notificaciones de entrega fallidas o respuestas automáticas fuera de la oficina para correos electrónicos que nunca envié. Uno de estos correos electrónicos es lo que me alertó sobre el hecho de que algo malo estaba sucediendo con mi identidad en línea.

Spoofing de correo electrónico versus cuenta de correo electrónico comprometida

Los primeros que recibí fueron un simple caso de falsificación de correo electrónico. Es decir, alguien estaba enviando correos electrónicos. diciendo que eran de mí, pero los encabezados de lael correo electrónico demostró que realmente no se enviaban desde mi cuenta. La suplantación de correo electrónico es un ataque común, a menudo automatizado, y en su mayoría es inofensivo, ya que la mayoría de los servidores de correo saben cómo reconocer un correo electrónico falsificado. Los registros SPF pueden ayudar a este esfuerzo.

Aquí hay un ejemplo de un simple correo electrónico falso:

La entrega ha fallado a estos destinatarios o grupos:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
No se pudo encontrar la dirección de correo electrónico que ingresó. Verifique la dirección de correo electrónico del destinatario e intente reenviar el mensaje. Si el problema continua, por favor contacte a su servicio de asistencia tecnica.
Información de diagnóstico para administradores:
Servidor generador: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; extraviado ##
Encabezados de mensajes originales:
Recibido: de ecsdel01.appriver.com (72.32.253.39) por mail.higginbotham.net
(10.5.2.56) con la identificación del servidor SMTP de Microsoft 14.1.218.12; Mar, 29 abr 2014
00:41:57 -0500
Recibido: de [10.238.8.145] (HELO inbound.appriver.com) por
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) con ID de ESMTP 401638471
para teddy-metsseuk@gammoninsurance.com; Martes, 29 de abril de 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29/04/2014 12:41:56 AM
Política X: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
Nota X: Este correo electrónico fue escaneado por AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-Analysis: 0, 97.67.222.18, Ugly c = 0.425302 p = 0.483871 Fuente Normal
Violaciones de firma X: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Falla: 0 Chk: 1342 de 1342 en total
Nota X: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Warn: BOUNCETRACKER Bounce Tracking de usuario encontrado
X-Warn: OPTOUT
X-Warn: REVDNS Sin registro DNS inverso para 97.67.222.18
X-Warn: comando HELOBOGUS HELO emitido sin dominio.
X-Warn: BULKMAILER
X-Warn: PESO10
X-Warn: PESO15
Nota X: Fallas en las pruebas de spam: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: ESTADOS UNIDOS-> ESTADOS UNIDOS
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Note: Hits de reglas de usuario:
Nota X: Hits de reglas globales: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Cifrar hits de regla:
X-Note: Clase de correo: VÁLIDO
X-Note: Encabezados inyectados
Recibido: de [97.67.222.18] (HELO [97.67.222.18]) por inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) con ID de ESMTP 191929257 para
teddy-metsseuk@gammoninsurance.com; Martes, 29 de abril de 2014 00:41:56 -0500
De: DrOZNetwork Newsletter <teddy-metsseuk@anthrocopy.com>
Para: <teddy-metsseuk@gammoninsurance.com>
Asunto: Perderá al menos un tamaño cada quince días
Fecha: martes 29 de abril de 2014 01:41:57 -0400
Lista-Cancelar suscripción: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
Versión MIME: 1.0
Respuesta a: “Boletín de DrOZNetwork” <reply-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
ID de mensaje: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Tipo de contenido: multiparte / alternativa; boundary = "MeDnwMAYvTCJ = _ ?:"
Ruta de retorno: teddy-metsseuk@anthrocopy.com

Pero luego, recibí una entrega fallidanotificación que incluía el mensaje original. Y noté que tenía una dirección de correo electrónico real que una vez usé (jack@anthrocopy.com) y mi firma de correo electrónico también. Esto era evidencia de que alguien no solo decía que era yo, sino que también enviaba correos electrónicos legítimos desde mi dirección anterior. En realidad fue enviado a través de Gmail.

Email de dominios

¿Cómo podría ser esto? Parecía que mi antigua cuenta de Google Apps for Domains tenía las credenciales de mi dirección de correo electrónico principal aún activa. No está bien.

Primero, me preocupaba que una computadora que teníarecientemente dado a un amigo estaba siendo abusado. Pero busqué la dirección IP (1.54.46.59) del encabezado del remitente, y parecía que el correo electrónico había sido enviado por alguien en Vietnam. Revisé mi registro de StatCounter y también descubrí que el hacker había estado visitando mi página web:

imagen

Parece que alguien es específicamente yintentando persistentemente robar mi identidad. No tengo ni idea de porqué. Pero al robarme Anthrocopy.com a mí y a mi cuenta asociada de Google Apps for Domains, parece que han progresado un poco.

Cómo los hackers pueden acceder a su Gmail comprando un dominio vencido

Google Apps for Domains es diferente de uncuenta normal de Gmail o Google Docs o Google Drive, ya que está asociada con un dominio que puede haber registrado de una empresa distinta de Google. En 2010, registré Anthrocopy.com con Namecheap.com. Después de terminar mi carrera independiente para trabajar como escritor técnico a tiempo completo, dejé que el dominio expirara. De alguna manera, el pirata informático descubrió que tenía una cuenta de Google Apps for Domain, a pesar de que ya no era dueño del dominio. Entonces, el 20 de junio de 2014, alguien lo compró a través de moniker.com, según Whois.

imagen

Ese es un juego justo. Si ya no quiero un nombre de dominio, otra persona es libre de comprarlo. Sin embargo, dieron un paso más y piratearon mi cuenta de Google Apps for Domains. Lo hicieron mediante el formulario de recuperación de cuenta de Google Apps for Business, que le dará acceso a cualquier cuenta de Google Apps si puede demostrar que posee un nombre de dominio. En lugar de utilizar un restablecimiento de contraseña o una sugerencia de contraseña, puede crear un registro CNAME para el dominio que demuestre que es el propietario del dominio. Luego, Google te da las claves de la cuenta. Por $ 10, alguien en Vietnam acaba de obtener acceso a todas mis antiguas configuraciones de Gmail, historial y credenciales de inicio de sesión guardadas.

Recuperación de una cuenta de Google Apps for Business secuestrada

Alerta de spoiler: no hay forma de recuperar una cuenta de Google Apps for Business comprometida. Si alguien posee el dominio, es dueño de la cuenta de Google Apps for Business asociada. Esa es la posición de Google al respecto, y estoy muy en desacuerdo, pero todavía no los he convencido de que hagan nada al respecto.

Cuando supe lo que había sucedido, me puse en contactoSoporte de Google Enterprise a través de este formulario. Aproximadamente 12 horas después (un sábado, no está mal), recibí una llamada de un amigo que recapituló mi incidente con precisión. Desafortunadamente, me dijo que no había nada que pudiera hacer, si no podía probar que era el dueño del dominio. Le dije que no me importaba el dominio, solo quería que mi información personal y profesional y mis credenciales estuvieran en manos de esa persona aleatoria. El técnico dijo que iba a escalar la situación, pero poco después, recibí el siguiente correo electrónico:

Hola Jack,

Gracias por responder mi llamada. Entiendo que usted era el propietario de "anthrocopy.com" y creó una cuenta de Google Apps usando ese dominio, pero no la renovó, por lo que otra persona se registró y tomó el control de su cuenta de Google Apps.

Según nuestra conversación, para tener unLa cuenta de Google Apps debe ser el propietario del dominio que está intentando utilizar. Otra persona tomó el control del dominio ya que pudo probar la propiedad a través de la configuración de DNS. He consultado este caso y lamento decirte que no podemos ayudarte con este problema ya que ya no eres el propietario de ese dominio. Como proveedor de herramientas de creación de contenido y servicios de alojamiento, Google no está en condiciones de mediar o juzgar disputas entre terceros. Le recomendamos que presente sus inquietudes directamente con el administrador en cuestión.

Si cree que el administrador en cuestión está restringiendo ilegalmente el acceso a su cuenta, le recomendamos que se comunique con la policía.

Sinceramente,
Guillermo
Soporte de Google Enterprise.

Entonces, en este punto, estoy atascado.

¿Qué voy a hacer con respecto a mi reputación en línea?

Mi próximo paso es enviar un correo electrónico personal atodos los que se me ocurran pueden estar en esa lista de contactos. Y quizás publique una notificación en los sitios web para los dominios que aún controlo. Pero aparte de eso, parece que no hay mucho que pueda hacer, aparte de hacer público lo que sucedió e intentar disculparme y explicarle a cada persona afectada. Espero ganar la batalla de relaciones públicas haciendo saber ampliamente que Anthrocopy.com y jack@anthrocopy.com son falsos y que el verdadero Jack Busch está muy molesto y lo siento mucho.

Aprenda de mis errores: no deje que caduquen los dominios

Solía ​​comprar dominios como locos cada vez que Godaddytuve una venta de nombres de dominio de 99 centavos o pensé en una idea divertida para un sitio web. Ahora, me doy cuenta de que cada uno de esos es una especie de responsabilidad. Cada uno que poseo y luego desconozco se convierte en una vía para que alguien coopte mi identidad. Con Anthrocopy, que fue el único con el que registré una cuenta de Google Apps, ese dominio que compré hace cuatro años y dejé expirar se convirtió en una gran vulnerabilidad.

La lección más amplia de esto es nunca dejar que los viejoslas cuentas caducan o caducan. Mantenga pestañas en cada cuenta que cree en línea. Si decide dejar de usar la cuenta, elimínela. No confíes en el proveedor de servicios para que descarte tus datos una vez que ya no te sean útiles. Ya sea que se trate de una cuenta de Twitter antigua, una cuenta de Facebook antigua (lea nuestro artículo sobre cómo eliminar permanentemente su cuenta de Facebook), un blog antiguo de Xanga o incluso una cuenta de AOL antigua, desenterrarla ahora y eliminarla, o al menos eliminarla de cualquier información personal. En la web, se trata de buscadores, y lo que pierdas será demasiado pequeño para que las fuerzas del orden se involucren.

Recomendación a Google

Si bien aprecio lo rápido que un Googlerepresentante se comunicó conmigo, estoy decepcionado de que no haya más recursos. Una cosa es comprar una propiedad que alguien ha abandonado. Otra cosa es poder comprar esa propiedad y luego asumir su identidad. Me doy cuenta de que debería haber estado más atento a mis cuentas viejas e inactivas, pero siento que sería una política productiva tener una fecha de vencimiento también en las cuentas inactivas. Registré Anthrocopy hace cuatro años y dejé de usarlo por completo hace más de dos años. Creo que en ese momento, no sería molesto para Google enviarme un correo electrónico rápido: "Oye, ¿sigues usando esto? Si no, lo eliminaremos ".

Creo que esta debería ser la política para cualquier cosa. Twitter, Facebook, MySpace, Gmail, etc. Debe haber una purga administrativa de datos para cuentas abandonadas. Esta política debe ser inicial en los términos de servicio y, tal vez, podría dar la opción de deshabilitar la eliminación automática de cuentas inactivas.

Me imagino que están ocurriendo ataques como estosen este momento y continuará ocurriendo hasta que todos sepamos y eliminemos las cuentas antiguas (gran oportunidad) o los proveedores de servicios comiencen a implementar medidas para evitar que las cuentas zombies vuelvan y se coman el cerebro de nuestros antiguos colegas con spam (o peor).

Conclusión

Cometí un error y aprendí mi lección. Estoy haciendo todo lo posible para controlar el daño y evitar que esto vuelva a suceder. Pero si ha tenido una experiencia similar o tiene más información o sugerencias, me encantaría saberlo.

0

Artículos similares

Deja un comentario