Upozorenje: Domene kojima je istekao rok za hakere lako se bira
Ovaj tjedan naučio sam tešku lekciju. Ukratko, neželjena pošta iz Vijetnama oteli su moj račun usluge Google Apps za domene (koji se sada naziva Google Apps for Business) i trenutno šalju e-poštu ljudima sa moje stare adrese e-pošte (jack@anthrocopy.com) zajedno s mojim potpisom, telefonskim brojem iime i sve na njemu. Anthrocopy.com bilo je neformalno ime dba koje sam koristio prije godina za svoje samostalno pisanje posla, ali polako sam ga ukinuo i pustio da domena istječe. Sada se u to mjesto uselio netko drugi, pustinjački stilu i vjerojatno kontaktira sve moje stare poslovne kontakte u vezi s jeftinom Viagrom.
Kontaktirao sam Google s tim u vezi i njihov službeni odgovor je bio "žao mi je što vam mogu reći da vam ne možemo pomoći s tim problemom jer više ne imate tu domenu."
Pošteno. Uostalom, dozvolio sam da domena istekne, te na taj način dopuštam da je kupi netko drugi, i čineći to, dopuštam im da zapovijedaju moj stari račun na Gmailu, račun Google dokumenata i bilo koju drugu internetsku uslugu treće strane za koju sam se možda koristio Googleovom provjerom identiteta za prijavu , Googleova tehnička podrška preporučila je da kontaktiram policijsku službu, ali mislim da FBI ima veću ribu za prženje od nekog vijetnamskog neželjenog poštara koji se pretvara da je blagonakloni slobodni pisac.
Dakle, čini mi se kao jedino sredstvo za povratakbilo je širenje riječi da sam bio otet i možda u toku postupka pružiti javnu uslugu o napuštanju registracije vaše domene bez ukidanja svih ostalih povezanih usluga. Pojedinosti o ta dva napora slijede.
Zašto dobivam neuspjele obavijesti o isporuci za e-poruke koje nisam poslao?
Nisam siguran zašto mi se to dogodilo, ali u posljednje vrijeme,Dobivam mnoštvo neuspjelih obavijesti o isporuci ili izvanuspješne automatske odgovore za e-poruke koje nikad nisam poslao. Jedna od tih e-poruka je ono što me upozorilo na činjenicu da se s mojim internetskim identitetom nešto loše događalo.
Spoof email i kompromitirani račun e-pošte
Prvih nekoliko koji sam primio bio je jednostavan slučaj podmetanja e-pošte. Odnosno, netko je slao e-poštu izreka da su od mene, ali zaglavcie-pošta je dokazala da ih zaista nisu poslali s mog računa. Prevara e-pošte uobičajen je, često automatizirani napad, a uglavnom je bezopasna, jer većina poslužitelja pošte zna prepoznati lažnu e-poštu. SPF zapisi mogu pomoći ovom nastojanju.
Evo primjera jednostavne prevare e-pošte:
Isporuka nije uspjela sljedećim primaocima ili grupama:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
E-mail adresu koju ste unijeli nije moguće pronaći. Provjerite primateljevu e-adresu i pokušajte ponovo poslati poruku. Ako se problem nastavi, obratite se službi za pomoć.
Dijagnostičke informacije za administratore:
Generiranje poslužitelja: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nije pronađeno ##
Izvorne zaglavlje poruka:
Primljeno: s ecsdel01.appriver.com (72.32.253.39) putem pošte.higginbotham.net
(10.5.2.56.) S Microsoftovim ID-om SMTP poslužitelja 14.1.218.12; Utorak, 29. travnja 2014
00:41:57 -0500
Primljeno: od [10.238.8.145] (HELO inbound.appriver.com) od
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) s ESMTP id 401638471
za teddy-metsseuk@gammoninsurance.com; Utorak, 29. travnja 2014. 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29.4.2014. 12:41:56
X-politika: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-napomena: ovu je e-poštu skenirao AppRiver SecureTide
X-virus skeniranje: V-
X-Note-SnifferID: 100
X-GBUdb-analiza: 0, 97.67.222.18, ružno c = 0.425302 p = 0.483871 izvor Normal
Kršenja X-potpisa: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Neuspjeh: 0 Chk: 1342 od 1342 ukupno
X-napomena: SCH-CT / SI: 0-1342 / SG: 1 29.4.2014. 12.41.55
X-upozorenje: Praćenje korisnika napuštanja BOUNCETRACKER pronađeno
X-upozorenje: OPTOUT
X-upozorenje: REVDNS Nema povratnog DNS zapisa za 97.67.222.18
X-Warn: Naredba HELOBOGUS HELO izdana bez domene.
X-upozorenje: BULKMAILER
X-upozorenje: TEŽA10
X-upozorenje: TEŽA15
X-Note: Provjera neželjene pošte: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: UJEDINJENE DRŽAVE-> UJEDINJENE DRŽAVE
X-Note-Slanje-IP: 97.67.222.18
X-Note-reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Napomena: Hitovi pravila korisnika:
X-Napomena: Globalna pravila za posjete: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Napomena: Šifriranje učitavanja pravila:
X-Napomena: Klasa pošte: VALID
X-napomena: ubrizgane glave
Primljeno: od [97.67.222.18] (HELO [97.67.222.18]) od inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) s ESMTP id 191929257 za
teddy-metsseuk@gammoninsurance.com; Utorak, 29. travnja 2014. 00:41:56 -0500
Od: DrOZNetwork Newsletter <teddy-metsseuk@anthrocopy.com>
Na: <teddy-metsseuk@gammoninsurance.com>
Predmet: Izgubit ćete barem jednu veličinu svake dvorane
Datum: Utorak, 29. travnja 2014. 01:41:57 -0400
Popis-Odjava: <mailto: dopu-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance
MIME-verzija: 1.0
Odgovori do: "DrOZNetwork Newsletter" <reply-teddy-metsseuk@anthrocopy.com>
x-posao: 00645_45748849
ID poruke: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Vrsta sadržaja: višeslojni / alternativni; Granica =”MeDnwMAYvTCJ = _ ?:”
Povratni put: teddy-metsseuk@anthrocopy.com
Ali tada, primio sam neuspjelu isporukuobavijest koja je sadržavala originalnu poruku. Primijetio sam da ima stvarnu adresu e-pošte koju sam nekada koristio (jack@anthrocopy.com) i svoj e-mail potpis. Ovo je bio dokaz da ne samo da je netko rekao da sam ja, nego su zapravo slali legitimne e-poruke sa moje stare adrese. Zapravo je poslan putem Gmaila.

Kako bi to moglo biti? Činilo se da moj stari Google Apps for Domains račun ima vjerodajnice za moju još uvijek aktivnu glavnu adresu e-pošte u njemu. Nije dobro.
Prvo sam se brinuo da imam računalo koje imamnedavno dodijeljena prijatelju bila je zlostavljana. Ali pogledao sam IP adresu (1.54.46.59) iz zaglavlja pošiljatelja i čini se da je e-pošta poslana od nekoga u Vijetnamu. Provjerio sam svoj StatCounter dnevnik i ustanovio da je haker posjetio moju web stranicu:

Čini se da je netko konkretno iuporno pokušavajući ukrasti moj identitet. Nemam pojma zašto. Ali krađu Anthrocopy.com od mene i mog povezanog računa za Google Apps za domene, čini se da su postigli određeni napredak.
Kako hakeri mogu pristupiti vašem Gmailu kupnjom istečene domene
Google Apps za domene razlikuje se oduobičajeni Gmail ili Google Docs ili Google Drive račun jer je povezan s domenom koju ste možda registrirali od neke druge tvrtke nego Google. Još 2010. godine registrirao sam Anthrocopy.com kod Namecheap.com. Nakon što sam prekinuo slobodnu karijeru da radim kao stalni tehnički pisac, pustio sam da domena istječe. Nekako je haker otkrio da imam račun za Google Apps for Domain, iako više nisam vlasnik domene. Dakle, 20. lipnja 2014. netko ga je kupio putem moniker.com, prema Whoisu.

To je fer igra. Ako više ne želim ime domene, netko drugi ga je slobodan kupiti. Međutim, napravili su korak dalje i upadali u moj račun za Google Apps za domene. To su učinili pomoću obrasca za oporavak računa Google Apps for Business, koji će vam omogućiti pristup bilo kojem računu usluge Google Apps ako možete dokazati da imate naziv domene. Umjesto korištenja reseta lozinke ili nagovještaja zaporke, možete jednostavno stvoriti CNAME zapis za domenu koji dokazuje da ste vlasnik domene. Zatim vam Google daje ključeve računa. Za 10 dolara netko je u Vijetnamu upravo dobio pristup svim mojim starim Gmail postavkama, povijesti i spremljenim vjerodajnicama za prijavu.
Oporavak otetog Google Apps za poslovni račun
Upozorenje spojlera: ne postoji način vraćanja kompromitiranog računa Google Apps for Business. Ako netko posjeduje domenu, posjeduje pridruženi račun Google Apps for Business. To je Googleovo stajalište o tome, s čime se ne slažem, ali još uvijek ih nisam uvjerio da poduzimaju ništa u vezi s tim.
Kad sam saznao što se dogodilo, kontaktirao samPodrška za Google Enterprise putem ovog obrasca. Oko 12 sati kasnije (u subotu, nije loše), primio sam poziv od ljubazne kolege koji je točno ponovio moj incident. Nažalost, rekao mi je da ne mogu učiniti ništa ako ne mogu dokazati da sam vlasnik domene. Rekao sam mu da me ne zanima domena, samo želim da moje osobne i profesionalne informacije i vjerodajnice budu iz ruku te slučajne osobe. Tehničar je rekao da će eskalirati situaciju, ali ubrzo nakon toga dobio sam sljedeću e-poštu:
Pozdrav Jack,
Hvala što ste se odazvali mom pozivu. Razumijem da ste bili vlasnik „anthrocopy.com“ i stvorili ste Google Apps račun pomoću te domene, ali niste je obnovili tako da je netko drugi registrirao i preuzeo kontrolu nad vašim računom za Google Apps.
Prema našem razgovoru, kako bismo imaliRačun za Google Apps potreban vam je vlasnik domene koju namjeravate koristiti. Još jedna osoba preuzela je kontrolu nad domenom jer je ona mogla dokazati vlasništvo putem postavki DNS-a. Konzultirao sam ovaj slučaj i žao mi je što vam mogu reći da vam ne možemo pomoći s tim problemom jer više ne imate tu domenu. Kao pružatelj alata za stvaranje sadržaja i usluga hostinga, Google nije u mogućnosti posredovati ili rješavati sporove između trećih strana. Preporučujemo da izrazite zabrinutost izravno sa dotičnim administratorom.
Ako smatrate da dotični administrator nezakonito ograničava pristup vašem računu, preporučujemo da se obratite tijelima za provođenje zakona.
Iskreno,
Guillermo.
Podrška za Google Enterprise.
Dakle, u ovom trenutku sam zaglavio.
Što ću učiniti u vezi s mojom mrežnom reputacijom?
Moj sljedeći korak je slanje osobnog e-maila nasvi oni kojih se mogu sjetiti mogu biti na tom popisu kontakata. A možda na web mjestima objavim obavijest o domenama koje još uvijek kontroliram. No osim toga, čini se da ne mogu učiniti ništa drugo, osim iznijeti na vidjelo ono što se dogodilo i pokušati se ispričati i objasniti svakoj pogođenoj osobi. Nadam se da ću pobijediti u borbi za PR tako što ću učiniti općimim da su Anthrocopy.com i jack@anthrocopy.com lažni i da je pravi Jack Busch vrlo uznemiren i vrlo žao.
Saznajte iz mojih pogrešaka: ne dozvolite da domene isteknu
Kupovao sam domene poput luda kad god je biloimao 99-postotnu prodaju domena ili sam smislio smiješnu ideju za web mjesto. Shvaćam da je svaka od tih odgovornosti. Svaka osoba koju posjedujem, a zatim odustajem, postaje put nekome kooptirati moj identitet. Uz Anthrocopy, koji je bio jedini kod kojeg sam registrirao Google Apps račun, ta domena koju sam kupio prije četiri godine i kojoj sam istekao rok trajanja pretvorila se u veliku ranjivost.
Šira lekcija ovoga je da nikada ne pustimo staroračuni dospijevaju ili istječu. Vodite kartice na svakom računu koji stvorite na mreži. Ako odlučite prestati koristiti račun, izbrišite ga. Ne vjerujte davatelju usluga da baca vaše podatke kad vam više ne budu korisni. Bilo da se radi o starom Twitter računu, starom Facebook računu (pročitajte naš članak o trajnom brisanju svog Facebook računa), starom blogu Xanga ili čak starom AOL računu, iskopite ga sada i izbrišite ili ga barem pročistite od bilo kakvih osobnih podataka. Na webu su zaštitnici, a ono što izgubite bit će premalo krumpira da bi se organi pravosuđa uključili.
Preporuka Googleu
Iako cijenim koliko brzo Googlepredstavnik se obratio meni, razočaran sam što više nema mogućnosti za obraćanje. Jedna je stvar kupiti nekretninu koju je netko napustio. Druga je stvar kada možete kupiti tu nekretninu i nakon toga preuzeti njihov identitet. Shvaćam da sam trebao biti oprezniji prema svojim starim, neaktivnim računima, ali osjećam da bi bilo produktivna politika da i na neaktivnim računima ima datum isteka. Antrokopiju sam registrirao prije četiri godine i prestao sam je koristiti u potpunosti prije više od dvije godine. Mislim da u tom trenutku Googleu ne bi bilo neugodno poslati mi brzu poruku e-pošte: „Hej, još uvijek ovo koristite? Ako ne, izbrisaćemo ga. "
Mislim da bi to trebala biti politika bilo čega. Twitter, Facebook, MySpace, Gmail itd. Trebalo bi izvršiti administrativno čišćenje podataka za napuštene račune. Ovo pravilo bi trebalo biti unaprijed u pogledu usluge i možda biste mogli dati mogućnost onemogućavanja automatskog brisanja neaktivnih računa.
Zamišljam da se događaju ovakvi napadiupravo sada i nastavit će se događati sve dok ne razmislimo i ne izbrišemo stare račune (debela šansa) ili davatelji usluga ne pokrenu mjere kako bi spriječili povratak zombi računa i pojeli mozak naših bivših kolega neželjenom snagom (ili još gore).
Zaključak
Pogriješio sam i naučio sam lekciju. Dajem sve od sebe da izvršim kontrolu štete i spriječim da se ovo više ne ponovi. Ali ako ste imali slično iskustvo ili imate daljnji uvid ili prijedloge, volio bih znati.
Ostavite komentar