Brīdinājums: Domēni, kuru derīguma termiņš ir beidzies, ir vienkārši hakeru atlasīšana

Es šonedēļ iemācījos smagu nodarbību. Īsi sakot, surogātpasta izplatītājs no Vjetnamas ir nolaupījis manu Google Apps for Domains (tagad saukts par Google Apps for Business) kontu un šobrīd sūta cilvēkiem e-pastus no manas vecās e-pasta adreses (jack@anthrocopy.com) kopā ar manu parakstu, tālruņa numuru unvārds un viss uz tā. Anthrocopy.com bija neoficiāls dba vārds, kuru es pirms daudziem gadiem izmantoju sava ārštata rakstīšanas biznesā, taču es lēnām to izbeidzu un ļāvu domēnam izbeigties. Tagad kāds cits ir pārcēlies uz vietas, eremītu krabju stilā, un, iespējams, sazinās ar visiem maniem vecajiem biznesa kontaktiem par lēto Viagra.

Es par to sazinājos ar Google, un viņu oficiālā atbilde bija: “Man žēl pateikt, ka mēs nevaram jums palīdzēt šīs problēmas risināšanā, jo jums vairs nepieder šis domēns.”

Godīgi. Galu galā es atļāvu domēnam izbeigties, tādējādi neļaujot kādam citam to iegādāties, un, to darot, es viņiem atļāvu komandēt savu veco Gmail kontu, Google Docs kontu un jebkuru citu trešo personu tīmekļa pakalpojumu, ko, iespējams, esmu izmantojis Google autentifikācijai, lai pieteiktos . Google tehniskais atbalsts ieteica sazināties ar tiesībaizsardzības iestādēm, bet es domāju, ka FBI ir lielākas zivis, ko apcept, nekā dažam Vjetnamas surogātpasta izplatītājam, kurš izliekas par vieglas formas ārštata rakstnieku.

Tātad, šķiet, ka tas ir vienīgais manis atstātais līdzeklisbija izplatīt vārdu, ka esmu tikusi nolaupīta, un šajā procesā, iespējams, sniegt sabiedrisko pakalpojumu paziņojumu par jūsu domēna reģistrācijas izbeigšanu, nepabeidzot visus citus saistītos pakalpojumus. Sīkāka informācija par šiem diviem centieniem seko.

Kāpēc es saņemu neveiksmīgus paziņojumus par e-pasta ziņojumiem, kurus es nesūtīju?

Es neesmu pārliecināts, kāpēc tas notika ar mani, bet pēdējā laikāEsmu saņēmis daudz paziņojumu par neveiksmīgiem piegādes paziņojumiem vai automātiskām atbildēm uz birojiem, ko nekad neesmu nosūtījis. Viens no šiem e-pasta ziņojumiem mani aizrāva ar faktu, ka ar manu tiešsaistes identitāti notika kaut kas nelāgs.

E-pasta krāpšana salīdzinājumā ar kompromitētu e-pasta kontu

Pirmie, kurus saņēmu, bija vienkāršs e-pasta ziņojumu krāpšanas gadījums. Tas ir, kāds sūta e-pastus sakot ka viņi bija no manis, bete-pasts pierādīja, ka viņi tiešām netika sūtīti no mana konta. E-pasta krāpšana ir izplatīts, bieži automatizēts uzbrukums, un tas lielākoties ir nekaitīgs, jo vairums e-pasta serveru zina, kā atpazīt viltus e-pastu. SPF ieraksti var palīdzēt šiem centieniem.

Šis ir vienkārša viltus e-pasta piemērs:

Piegāde neizdevās šiem adresātiem vai grupām:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Ievadīto e-pasta adresi nevarēja atrast. Lūdzu, pārbaudiet saņēmēja e-pasta adresi un mēģiniet vēlreiz nosūtīt ziņojumu. Ja problēma joprojām pastāv, lūdzu, sazinieties ar savu palīdzības dienestu.
Diagnostiskā informācija administratoriem:
Serveru ģenerēšana: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nav atrasts ##
Oriģinālās ziņojumu galvenes:
Saņemts: no ecsdel01.appriver.com (72.32.253.39) pa pastu.higginbotham.net
(10.5.2.56) ar Microsoft SMTP Server id 14.1.218.12; Otrdien, 2014. gada 29. aprīlī
00:41:57 -0500
Saņemts: no [10.238.8.145] (HELO inbound.appriver.com) līdz plkst
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) ar ESMTP id 401638471
vietnei teddy-metsseuk@gammoninsurance.com; Otrdien, 2014. gada 29. aprīlis 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 2014.04.29. 12:41:56
X politika: higginbotham.net
X-Primārā: teddy-metsseuk@higginbotham.net
X piezīme: šo e-pastu skenēja AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analīze: 0, 97.67.222.18, neglīts c = 0,425302 p = 0,483871 Avots Normal
X-paraksts-pārkāpumi: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Neveiksme: 0 Chk: 1342 no 1342 kopsummas
X piezīme: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X brīdinājums: atrasta BOUNCETRACKER atlēcienu lietotāju izsekošana
X brīdinājums: OPTOUT
X brīdinājums: REVDNS nav reversā DNS ieraksta 97.67.222.18
X brīdinājums: komanda HELOBOGUS HELO izdota bez domēna.
X brīdinājums: BULKMAILER
X brīdinājums: SVARS10
X brīdinājums: SVARS15
X piezīme: surogātpastu testi neizdevās: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Ceļš: AMERIKAS SAVIENOTĀS VALSTIS-> AMERIKAS SAVIENOTĀS VALSTIS
X piezīmju sūtīšana-IP: 97.67.222.18
X piezīme-atpakaļgaitas DNS:
X piezīme-atgriešanās ceļš: teddy-metsseuk@anthrocopy.com
X piezīme: lietotāja noteikumu trāpījumi:
X piezīme: Globālo kārtulu trāpījumi: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X piezīme: Šifrēt noteikumu trāpījumus:
X piezīme: Pasta klase: DERĪGA
X piezīme: iesmidzinātās galvenes
Saņemts: no [97.67.222.18] (HELO [97.67.222.18]), ievietojis inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) ar ESMTP id 191929257 domēnam
teddy-metsseuk@gammoninsurance.com; Otrdien, 2014. gada 29. aprīlis 00:41:56 -0500
No: DrOZNetwork biļetens <teddy-metsseuk@anthrocopy.com>
Kam: <teddy-metsseuk@gammoninsurance.com>
Temats: jūs zaudēsit vismaz divas nedēļas katru nedēļu
Datums: otrdien, 2014. gada 29. aprīlī 01:41:57 -0400
Saraksts anulēšana: <mailto: left-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
MIME versija: 1.0
Atbilde: “DrOZNetwork Newsletter” <atbilde-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
Ziņojuma ID: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Satura tips: daudzdaļīga / alternatīva; robeža = ”MeDnwMAYvTCJ = _ ?:”
Atgriešanās ceļš: teddy-metsseuk@anthrocopy.com

Bet tad es saņēmu neveiksmīgu piegādipaziņojums, kurā bija iekļauts sākotnējais ziņojums. Es pamanīju, ka tai bija faktiska e-pasta adrese, kuru es kādreiz izmantoju (jack@anthrocopy.com), un arī mans e-pasta paraksts. Tas bija pierādījums tam, ka ne tikai kāds teica, ka esmu es, bet arī faktiski sūta likumīgus e-pastus no manas vecās adreses. Tas faktiski tika nosūtīts, izmantojot Gmail.

Kā tas varētu būt? Likās, ka manā vecajā Google Apps domēniem kontā ir manas joprojām aktīvās galvenās e-pasta adreses akreditācijas dati. Nav labi.

Pirmkārt, es uztraucos par datoru, kas man bijanesen tika pasniegts draugam, tika ļaunprātīgi izmantots. Bet es uzmeklēju IP adresi (1.54.46.59) no sūtītāja galvenes, un izrādījās, ka e-pasts tika nosūtīts no kādas personas Vjetnamā. Es pārbaudīju savu StatCounter žurnālu un arī atklāju, ka hakeris ir apmeklējis manu vietni:

Liekas, ka kāds ir konkrēti unneatlaidīgi cenšoties nozagt manu identitāti. Man nav ne jausmas, kāpēc. Tomēr, nozagjot vietni Anthrocopy.com un manu saistīto kontu Google Apps domēniem, šķiet, ka viņi ir guvuši zināmus panākumus.

Kā hakeri var piekļūt jūsu Gmail, pērkot domēnu, kura derīguma termiņš ir beidzies

Google Apps domēniem atšķiras no aparasts Gmail vai Google Docs vai Google diska konts, jo tas ir saistīts ar domēnu, kuru, iespējams, esat reģistrējis citā uzņēmumā, nevis Google. 2010. gadā es reģistrēju vietni Anthrocopy.com vietnē Namecheap.com. Pēc tam, kad esmu pabeidzis ārštata karjeru, lai strādātu par pilna laika tehnisko rakstnieku, es atļāvu domēnam izbeigties. Kaut kā hakeris uzzināja, ka man ir Google Apps for Domain konts, kaut arī domēns man vairs nepieder. Tātad, 2014. gada 20. jūnijā, kāds to nopirka, izmantojot moniker.com, saskaņā ar Whois.

Tā ir godīga spēle. Ja es vairs nevēlos domēna vārdu, kāds cits var to iegādāties. Tomēr viņi to soli tālāk un uzlauza manu Google Apps domēniem kontu. Viņi to izdarīja, izmantojot Google Apps for Business konta atkopšanas veidlapu, ar kuru varēsit piekļūt jebkuram Google Apps kontam, ja varēsit pierādīt, ka jums pieder domēna vārds. Tā vietā, lai izmantotu paroles atiestatīšanu vai paroles mājienu, varat vienkārši izveidot domēna CNAME ierakstu, kas pierāda, ka jums pieder domēns. Pēc tam Google piešķir jums konta atslēgas. Par 10 USD kāds Vjetnamā tikko ir ieguvis piekļuvi visiem maniem vecajiem Gmail iestatījumiem, vēsturei un saglabātajiem pieteikšanās akreditācijas datiem.

Nolaupīta Google Apps for Business konta atkopšana

Brīdinājums par spoileri: nevar atgūt apdraudēto Google Apps for Business kontu. Ja kādam pieder domēns, viņam pieder saistītais Google Apps for Business konts. Tāda ir Google nostāja šajā jautājumā, un es tam ļoti nepiekrītu, bet es vēl neesmu pārliecinājis, ka viņi kaut ko šajā gadījumā darītu.

Kad uzzināju, kas noticis, es sazinājosGoogle Enterprise atbalsts, izmantojot šo veidlapu. Apmēram pēc 12 stundām (sestdien, nav slikti) es saņēmu zvanu no kāda draudzīga kolēģa, kurš precīzi pārdomāja manu atgadījumu. Diemžēl viņš man teica, ka es neko nevarēju darīt, ja es nevarētu pierādīt, ka man pieder domēns. Es viņam teicu, ka man nerūp domēns, es tikai vēlējos, lai mana personiskā un profesionālā informācija un pilnvaras būtu šīs izlases personas rīcībā. Tehnikums teica, ka viņš saasinās situāciju, bet neilgi pēc tam es saņēmu šādu e-pastu:

Sveiks, Džeki,

Paldies, ka atbildējāt uz manu zvanu. Es saprotu, ka jūs esat vietnes “anthrocopy.com” īpašnieks un izveidojāt Google Apps kontu, izmantojot šo domēnu, taču jūs to neatjaunojāt, tāpēc kāds cits reģistrējās un pārņēma jūsu Google Apps konta kontroli.

Kā mūsu sarunā, lai būtuGoogle Apps kontam jums ir jāpieder domēns, kuru izmantojat. Cita persona pārņēma domēna kontroli, jo viņa / viņa varēja pierādīt īpašumtiesības, izmantojot DNS iestatījumus. Es esmu konsultējies ar šo lietu, un man žēl teikt, ka mēs nevaram jums palīdzēt šīs problēmas risināšanā, jo jums vairs nepieder šis domēns. Google kā satura veidošanas rīku un mitināšanas pakalpojumu sniedzējs nevar būt starpnieks vai izlemt strīdus starp trešajām pusēm. Mēs iesakām paust savas bažas tieši pie attiecīgā administratora.

Ja uzskatāt, ka attiecīgais administrators nelikumīgi ierobežo piekļuvi jūsu kontam, ieteicams sazināties ar tiesībaizsardzības iestādēm.

Ar cieņu
Guillermo.
Google Enterprise atbalsts.

Tāpēc šobrīd esmu iestrēdzis.

Ko es darīšu par savu tiešsaistes reputāciju?

Mans nākamais solis ir izsūtīt personīgu e-pastu uzvisi, par kuriem es domāju, var būt tajā kontaktpersonu sarakstā. Un, iespējams, ievietojiet paziņojumu to domēnu vietnēs, kuras es joprojām kontrolēju. Tomēr, šķiet, ka es neko daudz nevaru darīt, kā vien publiskot notikumus un mēģināt atvainoties un izskaidrot katru skarto personu. Es ceru uzvarēt PR cīņu, padarot to plaši zināmu, ka Anthrocopy.com un jack@anthrocopy.com ir viltus un ka īstais Džeks Bušs ir ļoti sajukums un ļoti žēl.

Uzziniet no manām kļūdām: neļaujiet domēniem izlaist

Es vienmēr iegādājos domēnus, piemēram, trakus, kad vien Godaddyman bija 99 centu domēna vārda pārdošana, vai arī es izdomāju jocīgu ideju vietnei. Tagad es saprotu, ka katrs no tiem ir nedaudz atbildīgs. Katrs, kas man pieder un kuru es pēc tam neatzīstu, kļūst par iespēju kādam izvēlēties manu identitāti. Ar Anthrocopy, kas bija vienīgais, kurā reģistrēju Google Apps kontu, tajā domēnā, kuru nopirku pirms četriem gadiem un kuram atļāvu izbeigties, kļuva par milzīgu ievainojamību.

Plašāka mācība no tā ir nekad neļauties vecamkontu darbība beidzas vai to derīguma termiņš beidzas Sekojiet cilnēm katrā kontā, kuru izveidojat tiešsaistē. Ja nolemjat pārtraukt konta izmantošanu, izdzēsiet to. Neuzticieties pakalpojumu sniedzējam, lai jūsu dati tiktu izmesti atkritumos, kad tie jums vairs nav noderīgi. Neatkarīgi no tā, vai tas ir vecs Twitter konts, vecs Facebook konts (lasiet mūsu rakstu par to, kā neatgriezeniski izdzēst savu Facebook kontu), vecs Xanga emuārs vai pat vecs AOL konts, tagad to rakt un izdzēst vai vismaz berzt no jebkādas personiskas informācijas. Tīmeklī to atradēji ir īpašnieki, un, ko pazaudējat, būs par maz kartupeļu, lai tiesībaizsardzības iestādes varētu tajā iesaistīties.

Ieteikums uzņēmumam Google

Kaut arī es novērtēju, cik ātri Googlepārstāvis sazinājās ar mani, es esmu sarūgtināts, ka vairs nav jālūdz. Viena lieta ir iegādāties īpašumu, kuru kāds ir pametis. Cita lieta ir spēt iegādāties šo īpašumu un pēc tam iegūt viņa identitāti. Es apzinos, ka man vajadzēja būt modrākam par saviem vecajiem, neaktīvajiem kontiem, taču es uzskatu, ka efektīva politika būtu noteikt derīguma termiņu arī neaktīviem kontiem. Es reģistrēju antropopiju pirms četriem gadiem un pilnībā pārtraucu tās lietošanu pirms vairāk nekā diviem gadiem. Es domāju, ka tajā brīdī Google nebūtu apnicīgi, ja man sūtītu ātru e-pastu: “Ei, jūs joprojām izmantojat šo? Ja nē, mēs to izdzēsīsim. ”

Es domāju, ka šai politikai vajadzētu būt jebkam. Twitter, Facebook, MySpace, Gmail utt. Jāatstāj administratīva datu tīrīšana pamestajiem kontiem. Šai politikai vajadzētu būt sākotnējai attiecībā uz pakalpojumu sniegšanas noteikumiem, un, iespējams, jūs varētu dot iespēju atspējot neaktīvu kontu automātisku dzēšanu.

Es iedomājos, ka notiek šādi uzbrukumišobrīd un turpinās pastāvēt, līdz mēs visi gudri izveidosimies un izdzēsīsim vecos kontus (tauku iespēja) vai pakalpojumu sniedzēji sāks ieviest pasākumus, lai novērstu zombiju kontu atgriešanos un ēstu mūsu bijušo kolēģu smadzenes ar surogātpastu (vai vēl ļaunāk).

Secinājums

Es pieļāvu kļūdu un iemācījos savu mācību. Es daru visu iespējamo, lai kontrolētu bojājumus un novērstu to atkārtošanos. Bet, ja jums būtu bijusi līdzīga pieredze vai jums būtu vēl kāds ieskats vai ieteikumi, es labprāt uzzinātu.