Avvertenza: i domini scaduti sono scelte facili per gli hacker

Ho imparato una dura lezione questa settimana. Per farla breve, uno spammer vietnamita ha violato il mio account Google Apps for Domains (ora chiamato Google Apps for Business) e sta attualmente inviando email alle persone dal mio vecchio indirizzo email (jack@anthrocopy.com) completo della mia firma, numero di telefono enome e tutto su di esso. Anthrocopy.com era un nome dba informale che ho usato anni fa per la mia attività di scrittura freelance, ma l'ho gradualmente eliminato e ho lasciato scadere il dominio. Ora, qualcun altro si è trasferito nel posto, in stile granchio eremita, e probabilmente sta contattando tutti i miei vecchi contatti di lavoro sul Viagra a buon mercato.

Ho contattato Google in merito e la loro risposta ufficiale è stata "Mi dispiace dirti che non possiamo aiutarti con questo problema poiché non possiedi più quel dominio".

Giusto.Dopotutto, ho lasciato scadere il dominio, consentendo così a qualcun altro di acquistarlo e, così facendo, gli ho permesso di requisire il mio vecchio account Gmail, l'account Google Docs e qualsiasi altro servizio web di terze parti a cui potrei aver utilizzato l'autenticazione Google per accedere . Il supporto tecnico di Google mi ha consigliato di contattare le forze dell'ordine, ma penso che l'FBI abbia pesce più grande da friggere di uno spammer vietnamita che finge di essere uno scrittore freelance mite.

Quindi, sembra che l'unica risorsa rimasta per meera quello di spargere la voce che ero stato dirottato e, nel processo, forse fornire un annuncio di servizio pubblico sulla scadenza delle registrazioni dei tuoi domini senza interrompere tutti gli altri servizi associati. Seguono i dettagli di questi due sforzi.

Perché ricevo notifiche di mancato recapito per le email che non ho inviato?

Non so perché sia ​​successo a me, ma ultimamenteHo ricevuto molte notifiche di mancato recapito o risposte automatiche fuori sede per le email che non ho mai inviato. Una di queste e-mail è ciò che mi ha fatto capire che stava accadendo qualcosa di brutto alla mia identità online.

Spoofing e-mail e account e-mail compromesso

I primi che ho ricevuto sono stati un semplice caso di spoofing delle e-mail. Cioè, qualcuno stava inviando e-mail detto che provenivano da me, ma le intestazioni dil'email ha dimostrato che in realtà non venivano inviate dal mio account. Lo spoofing delle e-mail è un attacco comune, spesso automatizzato, ed è per lo più innocuo, poiché la maggior parte dei server di posta sa riconoscere un'e-mail falsificata. I record SPF possono aiutare questo sforzo.

Ecco un esempio di una semplice email falsificata:

La consegna non è riuscita a questi destinatari o gruppi:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Impossibile trovare l'indirizzo e-mail che hai inserito. Controlla l'indirizzo e-mail del destinatario e prova a inviare nuovamente il messaggio. Se il problema persiste, contatta il tuo helpdesk.
Informazioni diagnostiche per gli amministratori:
Server di generazione: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; non trovato ##
Intestazioni del messaggio originale:
Ricevuto: da ecsdel01.appriver.com (72.32.253.39) tramite mail.higginbotham.net
(10.5.2.56) con ID server Microsoft SMTP 14.1.218.12; Martedì, 29 aprile 2014
00:41:57 -0500
Ricevuto: da [10.238.8.145] (HELO inbound.appriver.com) da
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) con ID ESMTP 401638471
per teddy-metsseuk@gammoninsurance.com; Mar, 29 aprile 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29/4/2014 00:41:56
X-Policy: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-Nota: questa e-mail è stata scansionata da AppRiver SecureTide
X-Virus-Scan: V-
ID X-Note-Sniffer: 100
X-GBUdb-Analysis: 0, 97.67.222.18, Ugly c = 0.425302 p = 0.483871 Fonte Normale
X-Signature-Violations: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Fallimento: 0 Chk: 1342 di 1342 totali
Nota X: SCH-CT / SI: 0-1342 / SG: 1 29/4/2014 12:41:55
X-Warn: BOUNCETRACKER Bounce User Tracking Found
X-Warn: OPTOUT
X-Warn: REVDNS Nessun record DNS inverso per 97.67.222.18
X-Warn: comando HELOBOGUS HELO emesso senza dominio.
X-Warn: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
X-Note: test di spam non riusciti: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: STATI UNITI-> STATI UNITI
X-Note-Invio-IP: 97.67.222.18
X-Note-DNS inverso:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Note: Hit regola utente:
X-Note: Hit regola globale: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Crittografa i risultati delle regole:
X-Note: Mail Class: VALID
X-Note: intestazioni iniettate
Ricevuto: da [97.67.222.18] (HELO [97.67.222.18]) da inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) con ID ESMTP 191929257 per
teddy-metsseuk@gammoninsurance.com; Mar, 29 aprile 2014 00:41:56 -0500
Da: Newsletter DrOZNetwork <teddy-metsseuk@anthrocopy.com>
A: <teddy-metsseuk@gammoninsurance.com>
Oggetto: Perderai almeno una taglia ogni due settimane
Data: martedì, 29 aprile 2014 01:41:57 -0400
Elenco-Annulla iscrizione: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
Versione MIME: 1.0.0
Rispondi a: "Newsletter DrOZNetwork" <reply-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
ID messaggio: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Tipo di contenuto: multiparte / alternativa; confine = "MeDnwMAYvTCJ = _ ?:"
Percorso di ritorno: teddy-metsseuk@anthrocopy.com

Ma poi, ho ricevuto una consegna non riuscitanotifica che includeva il messaggio originale. E ho notato che aveva un indirizzo e-mail effettivo che ho usato una volta (jack@anthrocopy.com) e anche la mia firma e-mail. Questa era la prova che non solo qualcuno diceva di essere me, ma in realtà inviava e-mail legittime dal mio vecchio indirizzo. In realtà è stato inviato tramite Gmail.

Email di domini

Come può essere? Sembrava che il mio vecchio account Google Apps for Domains contenesse le credenziali per il mio indirizzo email principale ancora attivo. Non bene.

In primo luogo, ero preoccupato che un computer che avevorecentemente dato ad un amico è stato oggetto di abusi. Ma ho cercato l'indirizzo IP (1.54.46.59) dall'intestazione del mittente e mi è sembrato che l'email fosse stata inviata da qualcuno in Vietnam. Ho controllato il mio registro di StatCounter e ho anche scoperto che l'hacker stava visitando la mia pagina web:

Immagine

Sembra che qualcuno sia specificamente ecercando costantemente di rubare la mia identità. Non ho idea del perché. Ma rubando Anthrocopy.com a me e al mio account Google Apps for Domains associato, sembra che abbiano fatto dei progressi.

In che modo gli hacker possono accedere a Gmail acquistando un dominio scaduto

Google Apps for Domains è diverso da un filenormale account Gmail o Google Docs o Google Drive in quanto associato a un dominio che potresti aver registrato da un'azienda diversa da Google. Nel 2010, ho registrato Anthrocopy.com con Namecheap.com. Dopo aver concluso la mia carriera di freelance per lavorare come scrittore tecnico a tempo pieno, ho lasciato scadere il dominio. In qualche modo, l'hacker ha scoperto che avevo un account Google Apps for Domain, anche se non possedevo più il dominio. Quindi, il 20 giugno 2014, qualcuno l'ha acquistato tramite moniker.com, secondo Whois.

Immagine

Questo è un gioco leale.Se non voglio più un nome di dominio, qualcun altro è libero di acquistarlo. Tuttavia, hanno fatto un ulteriore passo avanti e hanno violato il mio account Google Apps for Domains. Lo hanno fatto utilizzando il modulo di recupero dell'account di Google Apps for Business, che ti darà accesso a qualsiasi account Google Apps se puoi dimostrare di possedere un nome di dominio. Invece di utilizzare una reimpostazione della password o un suggerimento per la password, puoi semplicemente creare un record CNAME per il dominio che dimostri che sei il proprietario del dominio. Quindi, Google ti dà le chiavi dell'account. Per $ 10, qualcuno in Vietnam ha appena ottenuto l'accesso a tutte le mie vecchie impostazioni di Gmail, cronologia e credenziali di accesso salvate.

Recupero di un account Google Apps for Business compromesso

Avviso spoiler:non è possibile ripristinare un account Google Apps for Business compromesso. Se qualcuno possiede il dominio, possiede l'account Google Apps for Business associato. Questa è la posizione di Google al riguardo e non sono assolutamente d'accordo, ma non li ho ancora convinti a fare nulla al riguardo.

Quando ho saputo cosa era successo, ho contattatoAssistenza di Google Enterprise tramite questo modulo. Circa 12 ore dopo (un sabato, non male), ho ricevuto una chiamata da un amico che ha riassunto accuratamente il mio incidente. Sfortunatamente, mi ha detto che non c'era niente che potessi fare, se non potevo dimostrare di essere il proprietario del dominio. Gli ho detto che non mi importava del dominio, volevo solo che le mie informazioni e credenziali personali e professionali fuori dalle mani di quella persona a caso. Il tecnico ha detto che avrebbe intensificato la situazione, ma poco dopo ho ricevuto la seguente email:

Ciao Jack,

Grazie per aver risposto alla mia chiamata.Mi risulta che tu fossi il proprietario di "anthrocopy.com" e hai creato un account Google Apps utilizzando quel dominio, ma non l'hai rinnovato, quindi qualcun altro si è registrato e ha preso il controllo del tuo account Google Apps.

Come da nostra conversazione, per avere un fileAccount Google Apps di cui hai bisogno per possedere il dominio che intendi utilizzare. Un'altra persona ha preso il controllo del dominio poiché è stata in grado di dimostrare la proprietà tramite le impostazioni DNS. Ho consultato questo caso e mi dispiace dirti che non possiamo aiutarti con questo problema poiché non sei più il proprietario di quel dominio. In qualità di fornitore di strumenti per la creazione di contenuti e servizi di hosting, Google non è in grado di mediare o risolvere controversie tra terze parti. Ti consigliamo di segnalare le tue preoccupazioni direttamente all'amministratore in questione.

Se ritieni che l'amministratore in questione stia limitando illegalmente l'accesso al tuo account, ti consigliamo di contattare le forze dell'ordine.

Cordiali saluti,
Guillermo.
Assistenza di Google Enterprise.

Quindi, a questo punto, sono bloccato.

Cosa devo fare per la mia reputazione online?

Il prossimo passo è inviare un'e-mail personale atutti quelli a cui riesco a pensare potrebbero essere in quell'elenco di contatti. E magari posta una notifica sui siti web per i domini che controllo ancora. Ma a parte questo, sembra che non ci sia molto che posso fare, a parte rendere pubblico quello che è successo e cercare di scusarmi e spiegare a ogni persona colpita. Spero di vincere la battaglia di pubbliche relazioni rendendo ampiamente noto che Anthrocopy.com e jack@anthrocopy.com sono fasulli e che il vero Jack Busch è molto turbato e dispiaciuto.

Impara dai miei errori: non lasciare che i domini scadano

Ho usato per acquistare domini come un matto ogni volta che Godaddyaveva una vendita di nomi di dominio a 99 centesimi o ho pensato a un'idea divertente per un sito web. Ora, mi rendo conto che ognuno di questi è in qualche modo una responsabilità. Ognuno che possiedo e poi rinneghi diventa una strada per qualcuno per cooptare la mia identità. Con Anthrocopy, che è stato l'unico con cui ho registrato un account Google Apps, quel dominio che ho acquistato quattro anni fa e che ho lasciato scadere si è trasformato in un'enorme vulnerabilità.

La lezione più ampia da questo è non lasciare mai vecchiogli account scadono o scadono. Tieni d'occhio ogni account che crei online. Se decidi di non utilizzare più l'account, eliminalo. Non fidarti del fornitore di servizi per cestinare i tuoi dati una volta che non ti sono più utili. Che si tratti di un vecchio account Twitter, un vecchio account Facebook (leggi il nostro articolo su come eliminare definitivamente il tuo account Facebook), un vecchio blog Xanga o anche un vecchio account AOL, scavalo ora ed eliminalo, o almeno puliscilo da qualsiasi informazione personale. Sul Web, sono i custodi dei cercatori e ciò che perdi sarà troppo piccolo per le forze dell'ordine.

Raccomandazione a Google

Mentre apprezzo quanto velocemente un Googlerappresentante mi ha contattato, sono deluso dal fatto che non ci sia alcun ulteriore ricorso. Una cosa è acquistare una proprietà che qualcuno ha abbandonato. Un'altra cosa è poter acquistare quella proprietà e poi assumere la loro identità in seguito. Mi rendo conto che avrei dovuto essere più vigile sui miei vecchi account inattivi, ma credo che sarebbe una politica produttiva avere una data di scadenza anche per gli account inattivi. Ho registrato Anthrocopy quattro anni fa e ho smesso di usarlo completamente più di due anni fa. Penso che a quel punto non sarebbe fastidioso per Google inviarmi un'e-mail veloce: "Ehi, lo usi ancora? In caso contrario, lo elimineremo ".

Penso che questa dovrebbe essere la politica per qualsiasi cosa.Twitter, Facebook, MySpace, Gmail, ecc. Ci dovrebbe essere un'eliminazione amministrativa dei dati per gli account abbandonati. Questa politica dovrebbe essere anticipata nei termini di servizio e, forse, potresti dare la possibilità di disabilitare l'eliminazione automatica degli account inattivi.

Immagino che siano in corso attacchi come questiin questo momento e continuerà a verificarsi fino a quando non saremo tutti saggi ed elimineremo i vecchi account (possibilità grosse) o i fornitori di servizi inizieranno ad attuare misure per impedire che gli account zombie tornino e mangiamo il cervello dei nostri ex colleghi con spam (o peggio).

Conclusione

Ho commesso un errore e ho imparato la lezione.Sto facendo del mio meglio per controllare i danni e impedire che ciò accada di nuovo. Ma se hai avuto un'esperienza simile o hai ulteriori approfondimenti o suggerimenti, mi piacerebbe saperlo.

0

Articoli simili

Controlla se il tuo portatile Asus ha il malware "Shadow Hammer"
notizia

Controlla se il tuo portatile Asus ha l'ombra ...

La tua licenza di Windows 10 Pro non è scaduta e Microsoft sta lavorando a una correzione (aggiornata)
notizia

La tua licenza di Windows 10 Pro non è scaduta e ..

Cosa devi sapere sugli 81.000 account di Facebook compromessi
notizia

Quello che devi sapere sulla 81.000 Hacked Facebook ..

Risultati di ricerca di Google Aggiornamenti Avviso agli utenti di siti compromessi
notizia

Risultati di ricerca di Google Aggiornamenti Avviso agli utenti di Hacked ..

Come gestire o annullare gli abbonamenti a pagamento da iPhone o iPad
Come

Come gestire o annullare gli abbonamenti a pagamento da ..

Come utilizzare il collegamento Google ".new" per creare nuovi documenti, fogli, diapositive e moduli
Come

Come utilizzare il collegamento Google ".new" per ...

Windows 10 per Windows Phone è ora disponibile
Come

Windows 10 per Windows Phone disponibile ora ..

Come visualizzare l'indice di esperienza di Windows su Windows 8.1
Come

Come visualizzare l'indice di esperienza di Windows su Windows 8.1 ..

Come risolvere Outlook.com e l'avviso di phishing di Gmail "Questo messaggio potrebbe non essere stato inviato da:"
Come

Come risolvere Outlook.com e l'avviso di phishing di Gmail ..

Guadagna facilmente dai tuoi domini parcheggiati con Google AdSense per domini
Google

Guadagna facilmente dai tuoi domini parcheggiati con Google ..

lascia un commento