Waarschuwing: verlopen domeinen zijn gemakkelijke keuzes voor hackers

Ik heb deze week een harde les geleerd. Om een lang verhaal kort te maken: een spammer uit Vietnam heeft mijn Google Apps for Domains-account (nu Google Apps for Business genoemd) gekaapt en stuurt momenteel mensen e-mails van mijn oude e-mailadres (jack@anthrocopy.com) compleet met mijn handtekening, telefoonnummer ennaam en alles erop. Anthrocopy.com was een informele dba-naam die ik jaren geleden gebruikte voor mijn freelance-schrijfbedrijf, maar ik stopte het langzaam uit en liet het domein vervallen. Nu is er iemand anders verhuisd naar de plaats, heremietkreeftstijl, en neemt waarschijnlijk contact op met al mijn oude zakelijke contacten over goedkope Viagra.

Ik heb hierover contact opgenomen met Google en hun officiële antwoord was: 'Het spijt me dat ik je niet kan helpen met dit probleem, omdat je dat domein niet meer bezit.'

Eerlijk genoeg. Ik laat het domein tenslotte verlopen, waardoor iemand anders het kan kopen, en daarbij laat ik hen mijn oude Gmail-account, Google Docs-account en elke andere webservice van derden beheren waarop ik mogelijk Google-authenticatie heb gebruikt om in te loggen . Technische ondersteuning van Google raadde aan om contact op te nemen met de politie, maar ik denk dat de FBI grotere vissen heeft te bakken dan een Vietnamese spammer die zich voordoet als een zachtaardige freelance-schrijver.

Het lijkt dus het enige verhaal dat ik nog hebwas om het woord te verspreiden dat ik was gekaapt en tijdens het proces misschien een aankondiging van een openbare dienst te geven over het laten verlopen van uw domeinregistraties zonder alle andere bijbehorende services af te ronden. De details van die twee inspanningen volgen.

Waarom krijg ik meldingen over bezorgde bezorging voor e-mails die ik niet heb verzonden?

Ik weet niet zeker waarom dit mij is overkomen, maar de laatste tijdIk krijg veel mislukte afleveringsmeldingen of automatische antwoorden op kantoor voor e-mails die ik nooit heb verzonden. Een van deze e-mails is wat mij de tip gaf dat er iets niet goeds aan de hand was met mijn online identiteit.

E-mail spoofing versus gecompromitteerd e-mailaccount

De eerste paar die ik ontving waren een eenvoudig geval van e-mail spoofing. Dat wil zeggen, iemand stuurde e-mails gezegde dat ze van mij waren, maar de koppen van dee-mail bewees dat ze echt niet vanuit mijn account werden verzonden. E-mailspoofing is een veel voorkomende, vaak geautomatiseerde aanval en is meestal onschadelijk, omdat de meeste e-mailservers weten hoe een vervalste e-mail kan worden herkend. SPF-records kunnen hierbij helpen.

Hier is een voorbeeld van een eenvoudige vervalste e-mail:

Levering is mislukt aan deze ontvangers of groepen:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Het e-mailadres dat u heeft ingevoerd kon niet worden gevonden. Controleer het e-mailadres van de ontvanger en probeer het bericht opnieuw te verzenden. Neem contact op met uw helpdesk als het probleem zich blijft voordoen.
diagnostische informatie voor beheerders:
Genererende server: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; niet gevonden ##
Oorspronkelijke berichtkoppen:
Ontvangen: van ecsdel01.appriver.com (72.32.253.39) door mail.higginbotham.net
(10.5.2.56) met Microsoft SMTP Server-ID 14.1.218.12; Di, 29 apr. 2014
00:41:57 -0500
Ontvangen: van [10.238.8.145] (HELO inbound.appriver.com) door
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) met ESMTP id 401638471
voor teddy-metsseuk@gammoninsurance.com; Di, 29 apr. 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29-4-2014 12:41:56 AM
X-beleid: higginbotham.net
X-Primair: teddy-metsseuk@higginbotham.net
X-Note: deze e-mail is gescand door AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analyse: 0, 97.67.222.18, Ugly c = 0.425302 p = 0.483871 Bron Normaal
X-handtekening-schendingen: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Fail: 0 Chk: 1342 of 1342 totaal
X-Note: SCH-CT / SI: 0-1342 / SG: 1 29-04-2014 12:41:55 AM
X-Warn: BOUNCETRACKER Bounce User Tracking Found
X-Warn: OPTOUT
X-Warn: REVDNS Geen reverse DNS-record voor 97.67.222.18
X-Warn: HELOBOGUS HELO-opdracht uitgegeven zonder domein.
X-Warn: BULKMAILER
X-Warn: GEWICHT10
X-Warn: GEWICHT15
X-Note: Spamtests mislukt: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: VERENIGDE STATEN-> VERENIGDE STATEN
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Note: Gebruikersregel hits:
X-Note: Global Rule Hits: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Regelslagen coderen:
X-Note: Mail Class: GELDIG
X-Note: Headers geïnjecteerd
Ontvangen: van [97.67.222.18] (HELO [97.67.222.18]) door inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) met ESMTP-id 191929257 voor
teddy-metsseuk@gammoninsurance.com; Di, 29 apr. 2014 00:41:56 -0500
Van: DrOZNetwork Nieuwsbrief <teddy-metsseuk@anthrocopy.com>
Aan: <teddy-metsseuk@gammoninsurance.com>
Onderwerp: Je verliest minstens elke twee weken een maat
Datum: di, 29 apr. 2014 01:41:57 -0400
List-Abonnement opzeggen: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
MIME-versie: 1.0
Antwoorden op: "DrOZNetwork-nieuwsbrief" <antwoord-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
Bericht-ID: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Inhoudstype: meervoudig / alternatief; begrenzing =”MeDnwMAYvTCJ = _ ?:”
Retourpad: teddy-metsseuk@anthrocopy.com

Maar toen ontving ik een mislukte leveringmelding die het originele bericht bevatte. En ik merkte dat het een echt e-mailadres had dat ik ooit gebruikte (jack@anthrocopy.com) en mijn e-mailhandtekening. Dit was het bewijs dat niet alleen iemand zei dat zij mij waren, maar dat zij ook legitieme e-mails stuurden vanaf mijn oude adres. Het werd eigenlijk verzonden via Gmail.

Hoe kan dit zo zijn? Het leek erop dat mijn oude Google Apps for Domains-account de inloggegevens voor mijn nog steeds actieve e-mailadres bevatte. Niet goed.

Ten eerste was ik bang dat ik een computer hadonlangs aan een vriend gegeven werd misbruikt. Maar ik zocht het IP-adres (1.54.46.59) op uit de koptekst van de afzender en het leek erop dat de e-mail was verzonden door iemand in Vietnam. Ik controleerde mijn StatCounter-logboek en ontdekte ook dat de hacker mijn webpagina had bezocht:

Het lijkt erop dat iemand specifiek is enprobeert voortdurend mijn identiteit te stelen. Ik heb geen idee waarom. Maar door Anthrocopy.com van mij en mijn bijbehorende Google Apps for Domains-account te stelen, lijkt het erop dat ze enige vooruitgang hebben geboekt.

Hoe hackers toegang kunnen krijgen tot uw Gmail door een verlopen domein te kopen

Google Apps voor domeinen verschilt van eennormale Gmail of Google Documenten of Google Drive-account omdat het is gekoppeld aan een domein dat u mogelijk heeft geregistreerd bij een ander bedrijf dan Google. In 2010 registreerde ik Anthrocopy.com bij Namecheap.com. Nadat ik mijn freelance carrière had beëindigd om als fulltime technisch schrijver te werken, liet ik het domein vervallen. Op de een of andere manier kwam de hacker erachter dat ik een Google Apps for Domain-account had, hoewel ik het domein niet langer bezat. Dus op 20 juni 2014 heeft iemand het gekocht via moniker.com, volgens Whois.

Dat is een eerlijk spel. Als ik geen domeinnaam meer wil, kan iemand anders deze kopen. Ze zijn echter nog een stap verder gegaan en hebben mijn Google Apps for Domains-account gehackt. Ze deden dit met behulp van het herstelformulier voor een Google Apps for Business-account, dat u toegang geeft tot elk Google Apps-account als u kunt aantonen dat u een domeinnaam bezit. In plaats van een wachtwoordreset of wachtwoordhint te gebruiken, kunt u gewoon een CNAME-record maken voor het domein dat bewijst dat u de eigenaar bent van het domein. Vervolgens geeft Google u de sleutels van het account. Voor $ 10 heeft iemand in Vietnam zojuist toegang gekregen tot al mijn oude Gmail-instellingen, geschiedenis en opgeslagen inloggegevens.

Een gekaapt Google Apps for Business-account herstellen

Spoiler alert: er is geen manier om een gecompromitteerd Google Apps for Business-account te herstellen. Als iemand het domein bezit, bezit hij het bijbehorende Google Apps for Business-account. Dat is het standpunt van Google en ik ben het daar niet mee eens, maar ik heb ze nog niet overtuigd om er iets aan te doen.

Toen ik hoorde wat er was gebeurd, nam ik contact opGoogle Enterprise-ondersteuning via dit formulier. Ongeveer 12 uur later (op een zaterdag, niet slecht), kreeg ik een telefoontje van een vriendelijke kerel die mijn incident nauwkeurig had herhaald. Helaas vertelde hij me dat ik niets kon doen als ik niet kon bewijzen dat ik het domein bezat. Ik vertelde hem dat ik niet om het domein gaf, ik wilde gewoon mijn persoonlijke en professionele informatie en inloggegevens uit handen van die willekeurige persoon. De techneut zei dat hij de situatie zou escaleren, maar kort daarna ontving ik de volgende e-mail:

Hoi Jack,

Bedankt voor het beantwoorden van mijn oproep. Ik begrijp dat u de eigenaar was van ‘anthrocopy.com’ en een Google Apps-account hebt gemaakt met dat domein, maar u hebt het niet vernieuwd, dus iemand anders heeft zich geregistreerd en de controle over uw Google Apps-account overgenomen.

Volgens ons gesprek, om eenGoogle Apps-account moet u eigenaar zijn van het domein dat u wilt gebruiken. Een andere persoon nam de controle over het domein, omdat zij / hij het eigendom kon bewijzen via DNS-instellingen. Ik heb deze zaak geraadpleegd en het spijt me dat we je niet kunnen helpen met dit probleem, omdat je dat domein niet meer bezit. Als aanbieder van hulpprogramma's voor het maken van inhoud en hostingservices is Google niet in staat om te bemiddelen of geschillen tussen derden te beslechten. We raden u aan uw zorgen rechtstreeks bij de betreffende beheerder te melden.

Als u van mening bent dat de betreffende beheerder de toegang tot uw account onrechtmatig beperkt, raden we u aan contact op te nemen met de politie.

Vriendelijke groet,
Guillermo.
Google Enterprise-ondersteuning.

Dus op dit punt zit ik vast.

Wat ga ik doen aan mijn online reputatie?

Mijn volgende stap is om een persoonlijke e-mail te sturen naariedereen die ik kan bedenken staat misschien in die lijst met contactpersonen. En misschien een melding op de websites plaatsen voor de domeinen die ik nog steeds beheer. Maar anders dan dat, lijkt het erop dat ik niet veel kan doen, behalve me publiek maken met wat er is gebeurd en mijn excuses aanbieden aan elke getroffen persoon. Ik hoop de PR-strijd te winnen door algemeen bekend te maken dat Anthrocopy.com en jack@anthrocopy.com nep zijn en dat de echte Jack Busch erg overstuur is en het heel erg vindt.

Leer van mijn fouten: laat domeinen niet vervallen

Ik kocht altijd domeinen als een gek wanneer Godaddyhad een domeinnaamverkoop van 99 cent of ik dacht aan een grappig idee voor een website. Nu realiseer ik me dat elk van deze een beetje een verantwoordelijkheid is. Ieder dat ik bezit en vervolgens verwerp wordt een manier voor iemand om mijn identiteit te coöpteren. Met Anthrocopy, dat de enige was waarmee ik een Google Apps-account registreerde, dat domein dat ik vier jaar geleden kocht en liet verlopen, werd een enorme kwetsbaarheid.

De bredere les hieruit is om nooit oud te latenaccounts vervallen of verlopen. Houd het account bij van elk account dat u online aanmaakt. Als u besluit het gebruik van het account te stoppen, verwijdert u het. Vertrouw de serviceprovider niet om uw gegevens weg te gooien zodra deze niet langer nuttig voor u zijn. Of het nu een oud Twitter-account is, een oud Facebook-account (lees ons artikel over het permanent verwijderen van uw Facebook-account), een oud Xanga-blog of zelfs een oud AOL-account, graaf het nu op en verwijder het, of scrub het op zijn minst van persoonlijke informatie. Op internet zijn het de vinders van vinders, en wat je verliest, is te weinig aardappelen om door de politie te worden betrokken.

Aanbeveling aan Google

Terwijl ik waardeer hoe snel een Googlevertegenwoordiger reikte naar mij, ik ben teleurgesteld dat er geen verder verhaal meer is. Het is één ding om een woning op te kopen die iemand heeft verlaten. Het is een ander ding om dat onroerend goed te kunnen kopen en daarna hun identiteit aan te nemen. Ik realiseer me dat ik waakzamer had moeten zijn over mijn oude, inactieve accounts, maar ik heb het gevoel dat het een productief beleid zou zijn om ook een vervaldatum te hebben voor inactieve accounts. Ik registreerde Anthrocopy vier jaar geleden en stopte er twee jaar geleden volledig mee. Ik denk dat het op dat moment niet vervelend zou zijn voor Google om me een snelle e-mail te sturen: "Hé, gebruik je dit nog? Zo niet, dan zullen we het verwijderen. "

Ik denk dat dit voor alles het beleid zou moeten zijn. Twitter, Facebook, MySpace, Gmail, etc. Er moet een administratieve opschoning van gegevens plaatsvinden voor verlaten accounts. Dit beleid moet vooraf zijn wat betreft de servicevoorwaarden en misschien kunt u de optie geven om het automatisch verwijderen van inactieve accounts uit te schakelen.

Ik stel me voor dat dergelijke aanvallen plaatsvindenop dit moment en dit zal blijven gebeuren totdat we allemaal wijs zijn en oude accounts (dikke kans) verwijderen of serviceproviders beginnen met het implementeren van maatregelen om te voorkomen dat zombie-accounts terugkomen en de hersenen van onze voormalige collega's opeten met spam (of erger).

Gevolgtrekking

Ik heb een fout gemaakt en mijn les geleerd. Ik doe mijn best om schadebeheersing uit te voeren en te voorkomen dat dit opnieuw gebeurt. Maar als je een vergelijkbare ervaring hebt gehad of meer inzicht of suggesties hebt, zou ik het graag willen weten.