Avertissement: les domaines expirés sont une tâche facile pour les pirates

J'ai appris une dure leçon cette semaine. Pour résumer, un spammeur vietnamien a détourné mon compte Google Apps for Domains (maintenant appelé Google Apps for Business) et envoie actuellement des e-mails à partir de mon ancienne adresse e-mail (jack@anthrocopy.com) complète avec ma signature, mon numéro de téléphone etnom et tout ce qu'il y a dessus. Anthrocopy.com était un nom informatif dba que j’utilisais il y a des années pour mon activité d’écriture indépendante, mais je l’éliminais progressivement et laissais le domaine expirer. Maintenant, quelqu'un d'autre est venu s'installer là-bas, à la manière d'un ermite-crabe, et contacte probablement tous mes anciens contacts professionnels au sujet du Viagra bon marché.

J'ai contacté Google à ce sujet et sa réponse officielle a été "Je suis désolé de vous dire que nous ne pouvons pas vous aider avec ce problème car vous ne possédez plus ce domaine."

C'est suffisant. Après tout, j'ai laissé le domaine expirer, laissant ainsi quelqu'un l'acheter et, ce faisant, je l'ai laissé réquisitionner mon ancien compte Gmail, mon compte Google Docs et tout autre service Web tiers sur lequel j'avais utilisé l'authentification Google pour me connecter. . Le support technique de Google a recommandé que je contacte les forces de l'ordre, mais je pense que le FBI a un poisson plus gros à faire frire que certains spammeurs vietnamiens se faisant passer pour un écrivain indépendant aux manières douces.

Donc, il semble que le seul recours qui me resteétait de faire passer le message que j'avais été détourné et, ce faisant, peut-être de fournir une annonce de service public permettant de laisser vos enregistrements de domaine expirer sans supprimer tous les autres services associés. Les détails de ces deux efforts suivent.

Pourquoi ai-je des notifications d'échec de livraison pour les courriels que je n'ai pas envoyés?

Je ne sais pas pourquoi cela m'est arrivé, mais ces derniers temps,J'ai reçu de nombreuses notifications d'échec de livraison ou de réponses automatiques d'absence du bureau pour des courriels que je n'ai jamais envoyés. Un de ces courriels est ce qui m'a fait comprendre que quelque chose d'inacceptable se passait dans mon identité en ligne.

Usurpation de courrier électronique ou compte de messagerie compromis

Les premiers que j'ai reçus étaient un simple cas d'usurpation de courrier électronique. C'est-à-dire que quelqu'un envoyait des courriels en disant qu'ils venaient de moi, mais les en-têtes de laLes e-mails ont prouvé qu’ils n’étaient pas vraiment envoyés depuis mon compte. L’usurpation d’e-mail est une attaque courante, souvent automatisée, et la plupart du temps sans danger, car la plupart des serveurs de messagerie savent reconnaître un courrier électronique usurpé. Les enregistrements SPF peuvent aider cet effort.

Voici un exemple de courrier électronique usurpé:

La livraison a échoué pour ces destinataires ou groupes:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
L’adresse e-mail que vous avez entrée n’a pas été trouvée. Veuillez vérifier l’adresse e-mail du destinataire et essayez de renvoyer le message. Si le problème persiste, contactez votre service d'assistance.
Informations de diagnostic pour les administrateurs:
Serveur générateur: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; pas trouvé ##
En-têtes du message d'origine:
Reçu: de ecsdel01.appriver.com (72.32.253.39) par mail.higginbotham.net
(10.5.2.56) avec l'identifiant du serveur Microsoft SMTP 14.1.218.12; Mar., 29 avril 2014
00:41:57 -0500
Reçu: à partir de [10.238.8.145] (HELO inbound.appriver.com) par
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) avec l’ID ESMTP 401638471
pour teddy-metsseuk@gammoninsurance.com; Mar., 29 avril 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29/04/2014 00:41:56 AM
X-Policy: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-Note: Cet email a été scanné par AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
Analyse X-GBUdb: 0, 97.67.222.18, moche c = 0.425302 p = 0.483871 Source normale
X-Signature-Violations: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Échec: 0 Chk: 1342 sur 1342 au total
X-Note: SCH-CT / SI: 0-1342 / SG: 1 29/04/2014 00:41:55 AM
X-Warn: suivi d'utilisateur BOUNCETRACKER Bounce trouvé
X-Warn: OPTOUT
X-Warn: REVDNS Aucun enregistrement DNS inversé pour 97.67.222.18
X-Warn: commande HELOBOGUS HELO émise sans domaine.
X-Warn: BULKMAILER
X-Warn: WEIGHT10
X-Warn: POIDS15
X-Note: Échec des tests de spam: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15.
Sentier de X-Country: ETATS-UNIS-> ETATS-UNIS
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Note: Hits de règles utilisateur:
X-Note: Hits de règles globales: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Crypter les hits de règles:
X-Note: Classe de courrier: VALID
X-Note: en-têtes injectés
Reçu: à partir de [97.67.222.18] (HELO [97.67.222.18]) par inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) avec l’identifiant ESMTP 191929257 pour
teddy-metsseuk@gammoninsurance.com; Mar., 29 avril 2014 00:41:56 -0500
De: DrOZNetwork Newsletter <teddy-metsseuk@anthrocopy.com>
Pour: <teddy-metsseuk@gammoninsurance.com>
Objet: Vous perdrez au moins une taille tous les quinze jours
Date: mar, 29 avril 2014 01:41:57 -0400
Liste-désabonnement: <mailto: laisser-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398-b4b398@leave.e.gaminsur.com
MIME-Version: 1.0
Reply-To: “DrOZNetwork Newsletter” <answer-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
ID de message: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Type de contenu: multipart / alternative; frontière = "MeDnwMAYvTCJ = _ ?:"
Chemin de retour: teddy-metsseuk@anthrocopy.com

Mais alors, j'ai reçu un échec de livraisonnotification contenant le message d'origine. Et j'ai remarqué qu'il y avait une adresse email que j'avais déjà utilisée (jack@anthrocopy.com) ainsi que ma signature. C'était la preuve que non seulement quelqu'un disait qu'il était moi, il envoyait en fait des courriels légitimes à partir de mon ancienne adresse. Il a été envoyé via Gmail.

Domaines Email

Comment cela pourrait-il être? Il semblait que mon ancien compte Google Apps for Domains contenait les informations d'identification de mon adresse e-mail principale toujours active. Pas bon.

Tout d'abord, je craignais qu'un ordinateur que j'airécemment donné à un ami a été maltraité. Mais j’ai cherché l’adresse IP (1.54.46.59) dans l’en-tête de l’expéditeur et il est apparu que le courriel avait été envoyé par un Vietnamien. J'ai consulté mon journal StatCounter et j'ai également constaté que le pirate informatique avait visité ma page Web:

image

Il semble que quelqu'un est spécifiquement etessayant constamment de voler mon identité. Je ne sais pas pourquoi. Mais en me privant d’Anthrocopy.com et de mon compte Google Apps for Domains associé, il semble qu’ils aient progressé.

Comment les pirates peuvent accéder à votre compte Gmail en achetant un domaine périmé

Google Apps pour les domaines est différent d'uncompte Gmail ou Google Docs normal ou Google Drive normal, dans la mesure où il est associé à un domaine que vous avez peut-être enregistré auprès d'une société autre que Google. En 2010, j'ai enregistré Anthrocopy.com auprès de Namecheap.com. Après avoir terminé ma carrière de pigiste pour travailler comme rédacteur technique à temps plein, j'ai laissé le domaine expirer. D'une manière ou d'une autre, le pirate informatique a découvert que j'avais un compte Google Apps pour le domaine, même si je ne possédais plus le domaine. Ainsi, le 20 juin 2014, quelqu'un l'a acheté via moniker.com, selon Whois.

image

C’est un bon jeu. Si je ne veux plus de nom de domaine, quelqu'un d'autre est libre de l'acheter. Cependant, ils ont fait un pas de plus et ont piraté mon compte Google Apps for Domains. Pour ce faire, ils ont utilisé le formulaire de récupération de compte Google Apps for Business, qui vous permettra d'accéder à n'importe quel compte Google Apps si vous pouvez prouver que vous possédez un nom de domaine. Au lieu d'utiliser une réinitialisation de mot de passe ou un indice de mot de passe, vous pouvez simplement créer un enregistrement CNAME pour le domaine qui prouve que vous êtes le propriétaire du domaine. Ensuite, Google vous donne les clés du compte. Pour 10 $, un Vietnamien vient d'accéder à tous mes anciens paramètres Gmail, à mon historique et à mes identifiants de connexion enregistrés.

Récupération d'un compte Google Apps for Business détourné

Alerte spoil: Il n’existe aucun moyen de récupérer un compte Google Apps for Business compromis. Si une personne est propriétaire du domaine, elle est également propriétaire du compte Google Apps for Business associé. C’est la position de Google à ce sujet et je ne suis absolument pas d’accord, mais je ne les ai pas convaincus de faire quoi que ce soit à ce sujet.

Quand j'ai appris ce qui s'était passé, j'ai contactéGoogle Enterprise Support via ce formulaire. Environ 12 heures plus tard (un samedi, pas mal), j'ai reçu un appel d'un ami sympathique qui a raconté mon incident avec précision. Malheureusement, il m'a dit que je ne pouvais rien faire si je ne pouvais pas prouver que je possédais le domaine. Je lui ai dit que le domaine m'était indifférent, je voulais simplement que mes informations personnelles et professionnelles ainsi que mes références soient mises à la portée de cette personne aléatoire. Le technicien a dit qu’il aggraverait la situation, mais peu de temps après, j’ai reçu le courriel suivant:

Bonjour Jack,

Merci d'avoir répondu à mon appel. Je comprends que vous étiez propriétaire d’anthrocopy.com et que vous avez créé un compte Google Apps avec ce domaine, mais vous ne l’avez pas renouvelé. Une autre personne s’est donc inscrite pour prendre le contrôle de votre compte Google Apps.

Selon notre conversation, afin d'avoir unCompte Google Apps, vous devez posséder le domaine que vous souhaitez utiliser. Une autre personne a pris le contrôle du domaine car elle / il était en mesure de prouver la propriété via les paramètres DNS. J’ai consulté ce cas et je suis désolé de vous dire que nous ne pouvons pas vous aider avec ce problème car vous ne possédez plus ce domaine. En tant que fournisseur d’outils de création de contenu et de services d’hébergement, Google n’est pas en mesure d’intervenir ni de régler les litiges entre tiers. Nous vous recommandons de faire part de vos préoccupations directement à l'administrateur en question.

Si vous pensez que l'administrateur en question restreint illégalement l'accès à votre compte, nous vous recommandons de contacter les forces de l'ordre.

Cordialement,
Guillermo.
Assistance Google Enterprise.

Donc, à ce stade, je suis coincé.

Que vais-je faire de ma réputation en ligne?

Ma prochaine étape consiste à envoyer un courriel personnel àToutes les personnes auxquelles je peux penser peuvent figurer dans cette liste de contacts. Et peut-être poster une notification sur les sites Web pour les domaines que je contrôle toujours. Mais à part cela, il semble que je ne puisse pas faire grand-chose, si ce n’est que d’annoncer publiquement ce qui s’est passé et d’essayer de s’excuser et de donner des explications à chaque personne touchée. J'espère gagner la bataille des relations publiques en faisant largement savoir qu'Anthrocopy.com et jack@anthrocopy.com sont faux et que le vrai Jack Busch est très contrarié et très désolé.

Tirez les leçons de mes erreurs: ne laissez pas les domaines se vider

J'avais l'habitude d'acheter des domaines comme fou chaque fois que Godaddyeu une vente de nom de domaine de 99 cents ou j'ai pensé à une idée amusante pour un site Web. Maintenant, je me rends compte que chacun de ceux-ci est un peu un handicap. Chacune de celles que je possède et que je répudie devient alors un moyen pour quelqu'un de reprendre mon identité. Avec Anthrocopy, le seul avec lequel j'ai enregistré un compte Google Apps, le domaine que j'ai acheté il y a quatre ans et que j'arrive à expiration s'est transformé en une énorme vulnérabilité.

La leçon plus large à tirer est de ne jamais laisser vieillirles comptes deviennent périmés ou expirent. Gardez un œil sur chaque compte que vous créez en ligne. Si vous décidez de ne plus utiliser le compte, supprimez-le. Ne faites pas confiance au fournisseur de services pour jeter vos données une fois qu’elles ne vous seront plus utiles. Qu'il s'agisse d'un ancien compte Twitter, d'un ancien compte Facebook (lisez notre article sur la suppression définitive de votre compte Facebook), d'un ancien blog Xanga ou même d'un ancien compte AOL, détachez-le maintenant et supprimez-le, ou au moins effacez-le. de toute information personnelle. Sur le Web, ce sont des gardiens de trouveurs, et ce que vous perdez sera trop petit en pommes de terre pour que la police puisse s’impliquer.

Recommandation à Google

Bien que j'apprécie la rapidité avec laquelle un Googlereprésentant m'a contacté, je suis déçu qu'il n'y ait plus de recours. C’est une chose d’acheter une propriété que quelqu'un a abandonnée. C’est une autre chose de pouvoir acheter cette propriété et d’assumer ensuite son identité. Je me rends compte que j’aurais dû faire plus attention à mes vieux comptes inactifs, mais j’ai l’impression que ce serait une politique productive d’avoir une date d’expiration pour les comptes inactifs également. J'ai enregistré Anthrocopy il y a quatre ans et j'ai complètement cessé de l'utiliser il y a plus de deux ans. Je pense qu'à ce stade, il ne serait pas gênant pour Google de m'envoyer un e-mail rapide: "Hé, vous utilisez toujours cela? Sinon, nous le supprimerons. "

Je pense que cela devrait être la politique pour n'importe quoi. Twitter, Facebook, MySpace, Gmail, etc. Il devrait y avoir une purge administrative des données pour les comptes abandonnés. Cette politique devrait être claire dans les termes du service et vous pourriez peut-être donner la possibilité de désactiver la suppression automatique des comptes inactifs.

J'imagine que de telles attaques se produisentÀ l’heure actuelle, nous continuerons de le faire jusqu’à ce que nous effacions et supprimions les anciens comptes (grosse chance) ou que les fournisseurs de services commencent à mettre en œuvre des mesures visant à empêcher les comptes zombies de revenir manger les cerveaux de nos anciens collègues avec le spam (ou pire).

Conclusion

J'ai commis une erreur et j'ai appris ma leçon. Je fais de mon mieux pour limiter les dégâts et éviter que cela ne se reproduise. Mais si vous avez eu une expérience similaire ou si vous avez d'autres idées ou suggestions, j'aimerais bien le savoir.

0

Articles similaires

Vérifiez si votre ordinateur portable Asus est équipé du programme malveillant «Shadow Hammer»
Nouvelles

Vérifiez si votre ordinateur portable Asus a le ‘Shadow ..

Votre licence Windows 10 Pro n'a pas expiré et Microsoft travaille sur un correctif (mise à jour).
Nouvelles

Votre licence Windows 10 Pro n’a pas expiré et ..

Ce que vous devez savoir sur les 81 000 comptes Facebook piratés
Nouvelles

Ce que vous devez savoir sur les 81 000 Facebook piratés ..

Résultats de la recherche Google Updates Avertissant les utilisateurs de sites piratés
Nouvelles

Résultats de la recherche Google Updates Avertissant les utilisateurs de piraté ..

Comment gérer ou annuler vos abonnements payants depuis un iPhone ou un iPad
Comment

Comment gérer ou annuler vos abonnements payants à partir de ..

Comment utiliser le raccourci «.new» de Google pour créer de nouveaux documents, feuilles, diapositives et formulaires
Comment

Comment utiliser le raccourci «.nouveau» de Google pour ..

Windows 10 pour Windows Phone disponible maintenant
Comment

Windows 10 pour Windows Phone disponible maintenant ..

Comment voir votre indice de performance Windows sur Windows 8.1
Comment

Comment voir votre indice de performance Windows sur Windows 8.1 ..

Comment réparer Outlook.com et l'avertissement de hameçonnage par Gmail «Ce message n'a peut-être pas été envoyé par:»
Comment

Comment réparer Outlook.com et l'avertissement de phishing de Gmail ..

Gagnez de l'argent facilement à partir de vos domaines garés avec Google AdSense pour les domaines
Google

Gagnez de l'argent facilement de vos domaines garés avec Google ..

laissez un commentaire