경고 : 만료 된 도메인은 해커에게 쉬운 선택입니다

이번 주에 어려운 교훈을 얻었습니다. 간단히 말해 베트남 출신의 스패머가 Google Apps for Domains (현재 Google Apps for Business) 계정을 도용했으며 현재 내 기존 이메일 주소 (jack@anthrocopy.com) 내 서명, 전화 번호 및이름과 모든 것. Anthrocopy.com은 프리랜서 작문 사업에 몇 년 전에 사용한 비공식 DBA 이름이지만 천천히 단계적으로 제거하여 도메인을 만료시킵니다. 이제 누군가 다른 곳으로 이동하여 은둔자 스타일로 바꿨으며 아마도 저렴한 Viagra에 관한 모든 오래된 비즈니스 담당자에게 연락하고있을 것입니다.

Google에 문의했으며 공식 답변은 "이 도메인을 더 이상 소유하고 있지 않기 때문에이 문제를 도와 드릴 수 없다는 점에 대해 죄송합니다."

충분합니다. 결국 도메인이 만료되어 다른 사람이 도메인을 구매할 수있게되었으며,이를 통해 기존 Gmail 계정, Google 문서 계정 및 기타 Google 인증을 사용하여 로그인 한 타사 웹 서비스를 지휘 할 수있게되었습니다. . Google 기술 지원팀에 문의하여 법 집행 기관에 문의 할 것을 권장했지만 FBI는 베트남 출신의 스패머보다 가벼운 프리랜서 프리랜서 작가 인 척하는 것보다 더 큰 생선을 볶을 것으로 생각합니다.

그래서 그것은 나를 위해 남겨진 유일한 의지처럼 보입니다.도용당한 단어를 널리 퍼 뜨리고 그 과정에서 다른 모든 관련 서비스를 중단하지 않고 도메인 등록이 중단되도록하는 공공 서비스 공지를 제공 할 수 있습니다. 이 두 가지 노력의 세부 사항은 다음과 같습니다.

보내지 않은 전자 메일에 대해 배달 알림이 실패하는 이유는 무엇입니까?

왜 이런 일이 일어 났는지 모르겠지만 최근에보내지 않은 이메일에 대해 실패한 배달 알림이 없거나 부재 중 자동 회신이 많이 발생했습니다. 이 이메일 중 하나는 온라인 신원에 좋지 않은 일이 발생했다는 사실을 알려줍니다.

이메일 스푸핑 및 손상된 이메일 계정

내가받은 처음 몇 가지는 간단한 이메일 스푸핑 사례였습니다. 즉, 누군가 이메일을 보내고있었습니다 속담 그들은 나에게서 왔지만 헤더는이메일이 실제로 내 계정에서 전송되지 않았 음을 증명했습니다. 전자 메일 스푸핑은 일반적이고 자동화 된 공격이며 대부분의 메일 서버가 스푸핑 된 전자 메일을 인식하는 방법을 알고 있기 때문에 무해합니다. SPF 레코드는 이러한 노력에 도움이 될 수 있습니다.

다음은 간단한 스푸핑 이메일의 예입니다.

다음 수신자 또는 그룹에게 전달하지 못했습니다 :
teddy-metsseuk@gammoninsurance.com <mailto : teddy-metsseuk@gammoninsurance.com>
입력하신 이메일 주소를 찾을 수 없습니다. 수신자의 이메일 주소를 확인하고 메시지를 다시 보내십시오. 문제가 계속되면 헬프 데스크에 문의하십시오.
관리자를위한 진단 정보 :
서버 생성 : higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; ##를 찾을 수 없습니다
원본 메시지 헤더 :
수령 : ecsdel01.appriver.com (72.32.253.39)으로부터 mail.higginbotham.net
Microsoft SMTP 서버 ID가 14.1.218.12 인 (10.5.2.56); 화, 2014 년 4 월 29 일
00 : 41 : 57-0500
수신 : [10.238.8.145] (HELO inbound.appriver.com)
ESMTP ID가 401638471 인 ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12)
teddy-metsseuk@gammoninsurance.com; 화, 2014 년 4 월 29 일 00:41:58 -0500
X-Note-AR-ScanTimeLocal : 2014 년 4 월 29 일 오전 12시 41 분 56 초
X 정책 : higginbotham.net
X- 기본 : teddy-metsseuk@higginbotham.net
X- 참고 :이 이메일은 AppRiver SecureTide에서 스캔했습니다.
X- 바이러스 검사 : V-
X- 노트 스니퍼 ID : 100
X-GBUdb- 분석 : 0, 97.67.222.18, 못생긴 c = 0.425302 p = 0.483871 소스 정상
X- 서명 위반 : 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419 : 0ms 실패 : 0 Chk : 1342 of 1342 총
X- 참고 : SCH-CT / SI : 0-1342 / SG : 1 2014 년 4 월 29 일 오전 12시 41 분 55 초
X-Warn : BOUNCETRACKER 바운스 사용자 추적 발견
X- 경고 : OPTOUT
X-Warn : REVDNS 97.67.222.18에 대한 역방향 DNS 레코드 없음
X-Warn : 도메인없이 HELOBOGUS HELO 명령이 실행되었습니다.
X- 경고 : BULKMAILER
X- 경고 : WEIGHT10
X- 경고 : WEIGHT15
X- 참고 : 스팸 테스트 실패 : BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X- 국가 경로 : 미국-> 아메리카
X-Note-Sending-IP : 97.67.222.18
X-Note-Reverse-DNS :
X-Note-Return-Path : teddy-metsseuk@anthrocopy.com
X- 참고 : 사용자 규칙 조회수 :
X- 참고 : 글로벌 규칙 적중 : G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X- 참고 : 규칙 적중 암호화 :
X- 참고 : 메일 클래스 : 유효
X- 참고 : 주입 된 헤더
수신 : inbound.appriver.com에 의해 [97.67.222.18] (HELO [97.67.222.18])
ESMTP ID가 191929257 인 (CommuniGate Pro SMTP 5.4.1)
teddy-metsseuk@gammoninsurance.com; 화, 2014 년 4 월 29 일 00:41:56 -0500
From : DrOZNetwork 뉴스 레터 <teddy-metsseuk@anthrocopy.com>
<teddy-metsseuk@gammoninsurance.com>
제목 : 당신은 매일 밤마다 최소한 크기를 잃을 것입니다
날짜 : 2014 년 4 월 29 일 화요일 01:41:57 -0400
목록 수신 거부 : <mailto : leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
MIME 버전 : 1.0
답장 :“DrOZNetwork 뉴스 레터”<reply-teddy-metsseuk@anthrocopy.com>
x- 작업 : 00645_45748849
메시지 ID : <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
콘텐츠 유형 : multipart / alternative; boundary =”MeDnwMAYvTCJ = _ ?:”
반환 경로 : teddy-metsseuk@anthrocopy.com

그런데 배달이 실패했습니다원본 메시지가 포함 된 알림 그리고 한 번 사용한 실제 전자 메일 주소 (jack@anthrocopy.com)와 전자 메일 서명도 가지고 있습니다. 이것은 누군가가 자신이라고 말했을뿐 아니라 실제로 내 이전 주소에서 합법적 인 이메일을 발송하고 있다는 증거였습니다. 실제로는 Gmail을 통해 전송되었습니다.

이것은 어떻게 될 수 있습니까? 기존 Google Apps for Domains 계정에 여전히 활성화 된 기본 이메일 주소에 대한 자격 증명이있는 것 같습니다. 안좋다.

첫째, 나는 내가 가진 컴퓨터가최근에 친구에게 주어진 것은 학대되고 있었다. 하지만 발신자의 헤더에서 IP 주소 (1.54.46.59)를 조회 한 결과 베트남의 누군가가 이메일을 보낸 것으로 보입니다. 내 StatCounter 로그를 확인하고 해커가 내 웹 페이지를 방문한 것으로 나타났습니다.

누군가가 구체적이고끊임없이 내 정체성을 훔치려 고합니다. 왜 그런지 모르겠습니다. 그러나 나와 내 Google 도메인 용 애플리케이션 계정에서 Anthrocopy.com을 도용하면 약간 진전 된 것 같습니다.

만료 된 도메인을 구매하여 해커가 Gmail에 액세스하는 방법

Google Apps for Domains는Google 이외의 회사에서 등록한 도메인과 연결된 일반 Gmail 또는 Google 문서 도구 또는 Google 드라이브 계정 2010 년에 저는 Antchecopy.com을 Namecheap.com에 등록했습니다. 전임 기술 작가로 일하기 위해 프리랜서 경력을 쌓은 후 도메인이 만료되었습니다. 해커는 도메인을 더 이상 소유하지 않아도 도메인 용 Google Apps 계정이 있다는 것을 알게되었습니다. Whois에 따르면 2014 년 6 월 20 일 누군가가 moniker.com을 통해 구입했습니다.

그것은 공정한 게임입니다. 도메인 이름을 더 이상 원하지 않으면 다른 사람이 자유롭게 구입할 수 있습니다. 그러나 한 단계 더 나아가 Google Apps for Domains 계정에 해킹했습니다. Google Apps for Business 계정 복구 양식을 사용하여 도메인 이름을 소유하고 있음을 증명할 수 있으면 모든 Google Apps 계정에 액세스 할 수 있습니다. 비밀번호 재설정 또는 비밀번호 힌트를 사용하는 대신 도메인을 소유하고 있음을 증명하는 도메인에 대한 CNAME 레코드를 만들면됩니다. 그런 다음 Google은 계정의 키를 제공합니다. 10 달러에 베트남의 누군가가 내 기존 Gmail 설정, 기록 및 저장된 로그인 자격 증명에 모두 액세스했습니다.

하이재킹 된 Google Apps for Business 계정 복구

스포일러 경고: 손상된 Google Apps for Business 계정을 복구 할 수있는 방법이 없습니다. 누군가 도메인을 소유 한 경우 연결된 Google Apps for Business 계정을 소유합니다. 그것이 구글의 입장이며, 나는 매우 동의하지 않지만, 아직 그들에 대해 아무것도하지 말라고 확신하지 못했습니다.

무슨 일이 있었는지 알게되었을 때 연락 했어요이 양식을 통한 Google Enterprise 지원 약 12 시간 후 (토요일, 나쁘지 않은 경우), 나는 친절한 사건으로부터 정확하게 사건을 포착 한 전화를 받았습니다. 불행히도, 내가 도메인을 소유하고 있음을 증명할 수 없다면 내가 할 수있는 일은 없다고 말했습니다. 나는 그 도메인에 관심이 없다고 그에게 말했다. 나는 그 개인의 직업적인 정보와 자격 증명을 그 임의의 사람의 손에서 빼고 싶어했다. 기술 담당자는 상황을 이관했다고 말했지만 얼마 후 다음과 같은 이메일을 받았습니다.

안녕하세요, 잭

전화 해 주셔서 감사합니다. 귀하는 'anthrocopy.com'의 소유자이며 해당 도메인을 사용하여 Google Apps 계정을 만들었지 만 다른 사람이 귀하의 Google Apps 계정을 등록하고 제어 할 수 있도록 도메인을 갱신하지 않았습니다.

우리의 대화에 따라사용하려는 도메인을 소유해야하는 Google Apps 계정 다른 사람은 DNS 설정을 통해 소유권을 증명할 수 있었기 때문에 도메인을 제어했습니다. 이 사례에 대해 문의했으며 더 이상 해당 도메인을 소유하고 있지 않기 때문에이 문제를 도와 드릴 수 없습니다. 콘텐츠 제작 도구 및 호스팅 서비스 제공 업체 인 Google은 타사 간의 분쟁을 중재하거나 판결 할 수 없습니다. 문제가있는 관리자에게 직접 문제를 제기하는 것이 좋습니다.

문제의 관리자가 귀하의 계정에 대한 액세스를 불법적으로 제한한다고 생각되면 법 집행 기관에 문의하는 것이 좋습니다.

진정으로,
기예르모.
Google 엔터프라이즈 지원

그래서이 시점에서 나는 붙어 있습니다.

온라인 평판에 대해 무엇을하려고합니까?

다음 단계는 개인 이메일을내가 생각할 수있는 모든 사람이 해당 연락처 목록에있을 수 있습니다. 그리고 내가 여전히 관리하는 도메인의 웹 사이트에 알림을 게시 할 수 있습니다. 그러나 그 외에는 내가 할 수있는 일이 많지 않은 것 같습니다. 다른 일을 공개적으로보고 영향을받는 각 사람에게 사과하고 설명하는 것 외에는 할 수 없습니다. 나는 Anthrocopy.com과 jack@anthrocopy.com이 가짜이며 실제 Jack Busch가 매우 화를 내고 매우 죄송하다는 사실을 널리 알리고 PR 전투에서 승리하기를 희망합니다.

실수를 통해 배우십시오 : 도메인 경과를 막지 마십시오

나는 Godaddy 때마다 미친 같은 도메인을 구입하는 데 사용99 퍼센트의 도메인 네임 판매를 받았거나 웹 사이트에 대한 재미있는 아이디어를 생각했습니다. 이제, 나는 그것들 각각이 다소 책임이 있음을 알고 있습니다. 내가 소유 한 다음 탈퇴 한 각 사람은 누군가가 내 신분을 선택하는 길이됩니다. 내가 Google Apps 계정에 등록한 유일한 Anthrocopy를 사용하여 4 년 전에 구입 한 도메인이 만료되어 큰 취약점이되었습니다.

이것에서 더 넓은 교훈은 결코 늙지 않게하는 것입니다계정이 만료되거나 만료됩니다. 온라인으로 만드는 모든 계정에 탭을 유지하십시오. 계정 사용을 중지하기로 결정한 경우 삭제하십시오. 더 이상 유용하지 않은 서비스 제공 업체를 통해 데이터를 폐기한다고 믿지 마십시오. 구 트위터 계정, 구 페이스 북 계정 (페이스 북 계정을 영구적으로 삭제하는 방법에 대한 기사 읽기), 구 Xanga 블로그 또는 구 AOL 계정이든, 지금 발굴하여 삭제하거나 최소한 제거하십시오. 모든 개인 정보에서. 웹에서는 파인더 키퍼이며, 잃어버린 것은 법 집행 기관이 참여하기에는 너무 작은 감자 일 것입니다.

Google 추천

Google이 얼마나 빠른지 감사하지만담당자가 연락을했는데 더 이상 의지가 없어서 실망했습니다. 누군가가 버린 재산을 사는 것이 중요합니다. 그 재산을 사서 나중에 정체성을 얻는 것이 또 다른 일입니다. 기존의 비활성 계정에 대해 더주의를 기울여야했지만 비활성 계정에 만료 날짜를 두는 것이 생산적인 정책 인 것 같습니다. 나는 4 년 전에 Anthrocopy를 등록했고 2 년 전에 그것을 완전히 사용하지 않았습니다. 그 시점에서 Google에서 빠른 이메일을 보내더라도 성가신 일이 아니라고 생각합니다. 그렇지 않은 경우 삭제하겠습니다. "

나는 이것이 무엇인가에 대한 정책이어야한다고 생각한다. Twitter, Facebook, MySpace, Gmail 등 포기한 계정에 대한 데이터를 관리적으로 삭제해야합니다. 이 정책은 서비스 측면에서 선행되어야하며 비활성 계정의 자동 삭제를 비활성화하는 옵션을 제공 할 수 있습니다.

이런 공격이 계속되고 있다고 생각합니다우리는 모두 현명한 계정을 현명하게 삭제하고 뚱뚱한 기회를 지울 때까지 또는 서비스 제공 업체가 좀비 계정이 다시 돌아와서 이전 동료의 뇌를 스팸으로 먹는 것을 방지하기위한 조치를 시작하기 전까지 계속 될 것입니다.