Advarsel: Utgåtte domener er enkle valg for hackere

Jeg lærte en vanskelig leksjon denne uken. Lang historie, en spammer fra Vietnam har kapret Google Apps for Domains-kontoen (nå kalt Google Apps for Business) -kontoen og sender for tiden e-post fra folk fra min gamle e-postadresse (jack@anthrocopy.com) komplett med min signatur, telefonnummer ognavn og alt på den. Anthrocopy.com var et uformelt dba-navn jeg brukte for mange år siden for frilansskrivervirksomheten, men jeg trakk det sakte ut og lot domenet utløpe. Nå har noen andre flyttet inn i stedet, eremitt-krabbe-stil, og kontakter sannsynligvis alle mine gamle forretningskontakter om billig Viagra.

Jeg kontaktet Google om det, og deres offisielle svar var "Jeg beklager å fortelle deg at vi ikke kan hjelpe deg med dette problemet siden du ikke eier dette domenet lenger."

Greit nok. Tross alt lot jeg domenet utløpe, og la derved noen andre kjøpe det, og på den måten lot jeg dem kommandere min gamle Gmail-konto, Google Docs-konto og alle andre tredjeparts webtjenester jeg kan ha brukt Google-godkjenning for å logge inn . Google-teknisk support anbefalte at jeg kontakter lovhåndhevelse, men jeg tror FBI har større fisk å steke enn noen vietnamesiske spammer som later til å være en mildt frilansskribent.

Så det virker som den eneste bruken som er igjen for megvar å spre ordet om at jeg ble kapret, og i prosessen kanskje gi en kunngjøring om offentlig tjeneste om å la domeneregistreringene dine bortfalle uten å avvikle alle andre tilknyttede tjenester. Detaljene om de to innsatsene følger.

Hvorfor får jeg mislykkede leveringsvarsler for e-postmeldinger jeg ikke sendte?

Jeg er ikke sikker på hvorfor dette skjedde med meg, men i det siste,Jeg har fått mange mislykkede leveringsvarsler eller automatiske svar på kontoret for e-postmeldinger jeg aldri har sendt. En av disse e-postene er det som tipset meg om at noe ugudelig skjedde med min online identitet.

E-postkonkurranse kontra kompromittert e-postkonto

De første parene jeg fikk var et enkelt tilfelle av spoofing via e-post. Det vil si at noen sendte e-post ordtak at de var fra meg, men overskriftene tile-post bevist at de virkelig ikke ble sendt fra kontoen min. E-postforfalskning er et vanlig, ofte automatisert angrep, og er for det meste ufarlig, siden de fleste e-postservere vet å gjenkjenne en forfalsket e-post. SPF-poster kan hjelpe denne innsatsen.

Her er et eksempel på en enkel forfalsket e-post:

Leveringen har mislyktes til disse mottakerne eller gruppene:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
E-postadressen du oppga, ble ikke funnet. Kontroller mottakerens e-postadresse og prøv å sende meldingen på nytt. Hvis problemet fortsetter, kan du kontakte kundestøtten.
Diagnostisk informasjon for administratorer:
Genererer server: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; ikke funnet ##
Originale meldingsoverskrifter:
Mottatt: fra ecsdel01.appriver.com (72.32.253.39) på mail.higginbotham.net
(10.5.2.56) med Microsoft SMTP-server-ID 14.1.218.12; Tirsdag 29. april 2014
00:41:57 -0500
Mottatt: fra [10.238.8.145] (HELO inbound.appriver.com) av
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) med ESMTP id 401638471
for teddy-metsseuk@gammoninsurance.com; Tirsdag 29. april 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56 AM
X-policy: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-note: Denne e-posten ble skannet av AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analyse: 0, 97.67.222.18, Stygg c = 0.425302 p = 0.483871 Kilde Normal
X-Signature-Violations: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Mislykket: 0 Chk: 1342 av totalt 1342
X-merknad: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Warn: BOUNCETRACKER Sporing av avvisning av bruker funnet
X-advarsel: OPTOUT
X-Warn: REVDNS Ingen omvendt DNS-post for 97.67.222.18
X-Warn: HELOBOGUS HELO-kommando utstedt uten domene.
X-advarsel: BULKMAILER
X-Warn: WEIGHT10
X-advarsel: VEKT15
X-merknad: Spam-tester mislyktes: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: STORBRITANNIA-> USA STATER
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Sti: teddy-metsseuk@anthrocopy.com
X-Note: Brukerregel Treff:
X-Note: Global Rule Treff: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Krypter regelreiter:
X-merknad: E-postklasse: Gyldig
X-merknad: Headers injisert
Mottatt: fra [97.67.222.18] (HELO [97.67.222.18]) av inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) med ESMTP id 191929257 for
teddy-metsseuk@gammoninsurance.com; Tirsdag 29. april 2014 00:41:56 -0500
Fra: DrOZNetwork Nyhetsbrev <teddy-metsseuk@anthrocopy.com>
Til: <teddy-metsseuk@gammoninsurance.com>
Emne: Du vil miste minst en størrelse hver fjortende dag
Dato: Tir, 29 Apr 2014 01:41:57 -0400
Liste-avmelding: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
MIME-versjon: 1.0
Svar til: “DrOZNetwork Newsletter” <svar-teddy-metsseuk@anthrocopy.com>
x-jobb: 00645_45748849
Melding-ID: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Innholdstype: flerparti / alternativ; boundary =”MeDnwMAYvTCJ = _ ?:”
Retur-sti: teddy-metsseuk@anthrocopy.com

Men da fikk jeg en mislykket leveringvarsel som inkluderte den opprinnelige meldingen. Og jeg la merke til at den hadde en faktisk e-postadresse som jeg en gang brukte (jack@anthrocopy.com) og e-postsignaturen min. Dette var bevis på at ikke bare noen sa at de var meg, de sendte faktisk legitime e-postmeldinger fra min gamle adresse. Den ble faktisk sendt via Gmail.

Hvordan kan dette være? Det så ut til at min gamle Google Apps for Domains-konto hadde legitimasjon for den fortsatt aktive hoved-e-postadressen i den. Ikke bra.

Først var jeg bekymret for at jeg hadde en datamaskinnylig ble gitt til en venn ble misbrukt. Men jeg slo opp IP-adressen (1.54.46.59) fra avsenderens overskrift, og det så ut som e-posten ble sendt fra noen i Vietnam. Jeg sjekket min StatCounter-logg og fant også ut at hackeren hadde besøkt hjemmesiden min:

Det ser ut til at noen er spesifikt ogprøver vedvarende å stjele identiteten min. Jeg aner ikke hvorfor. Men ved å stjele Anthrocopy.com fra meg og min tilknyttede Google Apps for Domains-konto, virker det som om de har gjort noen fremgang.

Hvordan hackere kan få tilgang til Gmail ved å kjøpe et utgått domene

Google Apps for domener er forskjellig fra envanlig Gmail- eller Google Docs- eller Google Drive-konto ved at det er tilknyttet et domene som du kan ha registrert fra et annet selskap enn Google. Tilbake i 2010 registrerte jeg Anthrocopy.com hos Namecheap.com. Etter at jeg avviklet frilanskarrieren for å jobbe som teknisk skribent på heltid, lot jeg domenet utløpe. På en eller annen måte fant hackeren ut at jeg hadde en Google Apps for Domain-konto, selv om jeg ikke lenger eide domenet. Så 20. juni 2014 kjøpte noen det gjennom moniker.com, i henhold til Whois.

Det er rettferdig spill. Hvis jeg ikke vil ha et domenenavn lenger, kan noen andre kjøpe det. Imidlertid tok de det et skritt videre og hacket seg inn på Google Apps for Domains-kontoen min. De gjorde dette ved å bruke skjemaet for gjenoppretting av Google Apps for Business-kontoer, som vil gi deg tilgang til hvilken som helst Google Apps-konto hvis du kan bevise at du eier et domenenavn. I stedet for å bruke en tilbakestilling av passord eller passordhint, kan du bare opprette en CNAME-post for domenet som viser at du eier domenet. Deretter gir Google deg nøklene til kontoen. For 10 dollar har noen i Vietnam nettopp fått tilgang til alle mine gamle Gmail-innstillinger, historikk og lagrede innloggingsinformasjon.

Gjenopprette en kapret Google Apps for Business-konto

Spoilervarsel: det er ingen måte å gjenopprette en kompromittert Google Apps for Business-konto. Hvis noen eier domenet, eier de den tilknyttede Google Apps for Business-kontoen. Det er Googles stilling til det, og jeg er veldig uenig, men jeg overbeviste dem ikke om å gjøre noe med det ennå.

Da jeg fikk vite hva som hadde skjedd, tok jeg kontaktGoogle Enterprise Support via dette skjemaet. Cirka 12 timer senere (på en lørdag, ikke verst), mottok jeg en samtale fra en vennlig fyr som nøyaktig gjentok hendelsen min. Dessverre fortalte han meg at det ikke var noe jeg kunne gjøre, hvis jeg ikke kunne bevise at jeg eide domenet. Jeg fortalte ham at jeg ikke bryr meg om domenet, jeg ville bare ha min personlige og profesjonelle informasjon og legitimasjon fra hendene til den tilfeldige personen. Teknologen sa at han ville eskalere situasjonen, men like etterpå fikk jeg følgende e-post:

Hallo Jack,

Takk for at du svarte på samtalen min. Jeg forstår at du var eieren av ‘anthrocopy.com’ og opprettet en Google Apps-konto ved å bruke det domenet, men du fornyet det ikke, så noen andre registrerte seg og tok kontroll over Google Apps-kontoen din.

Pr. Samtale, for å ha enGoogle Apps-kontoen du trenger for å eie domenet du knytter for å bruke. En annen person tok kontroll over domenet siden hun / han var i stand til å bevise eierskap via DNS-innstillinger. Jeg har konsultert denne saken, og beklager å fortelle deg at vi ikke kan hjelpe deg med dette problemet siden du ikke eier dette domenet lenger. Som leverandør av innholdsskapingsverktøy og hostingtjenester er Google ikke i stand til å mekle eller dømme tvister mellom tredjeparter. Vi anbefaler at du reiser bekymringene dine direkte med den aktuelle administratoren.

Hvis du mener at den aktuelle administratoren ulovlig begrenser tilgangen til kontoen din, anbefaler vi at du kontakter rettshåndhevelse.

Vennlig hilsen,
Guillermo.
Google Enterprise Support.

Så på dette tidspunktet sitter jeg fast.

Hva skal jeg gjøre med min omdømme på nettet?

Mitt neste trinn er å sende en personlig e-post tilalle jeg kan tenke på det kan være i den kontaktlisten. Og kanskje legge ut en varsling på nettsteder for domenene som jeg fremdeles kontrollerer. Men annet enn det ser det ut som det ikke er så mye jeg kan gjøre, annet enn å offentliggjøre hva som skjedde og prøve å be om unnskyldning og forklare til hver enkelt person som er berørt. Jeg håper å vinne PR-kampen ved å gjøre det kjent at Anthrocopy.com og jack@anthrocopy.com er falske og at den virkelige Jack Busch er veldig opprørt og veldig lei meg.

Lær av mine feil: Ikke la domener forfalle

Jeg pleide å kjøpe domener som gale når Godaddyhadde et salg av domenenavn på 99 prosent, eller jeg tenkte på en morsom idé for et nettsted. Nå innser jeg at hver og en av disse er noe av et ansvar. Hver eneste en som jeg eier og deretter forkaster, blir en mulighet for at noen kan velge min identitet. Med Anthrocopy, som var den eneste jeg registrerte en Google Apps-konto med, ble det domenet som jeg kjøpte for fire år siden, og lot utløp, bli et enormt sårbarhet.

Den større lærdommen fra dette er å aldri la gamlekontoer bortfaller eller utløper. Hold oversikt over hver konto du oppretter online. Hvis du bestemmer deg for å slutte å bruke kontoen, sletter du den. Ikke stol på at leverandøren skal søppel dataene dine når de ikke lenger er nyttige for deg. Enten det er en gammel Twitter-konto, en gammel Facebook-konto (les vår artikkel om hvordan du sletter Facebook-kontoen din permanent), en gammel Xanga-blogg, eller til og med en gammel AOL-konto, grave den opp nå og slette den, eller i det minste skrubbe den fra personlig informasjon. På nettet er det oppdagerne, og det du mister vil være for lite poteter til at lovhåndhevelse kan bli involvert.

Anbefaling til Google

Mens jeg setter pris på hvor raskt en Googlerepresentant rakte meg, jeg er skuffet over at det ikke er noen videre anvendelse. Det er en ting å kjøpe opp en eiendom som noen har forlatt. Det er en annen ting å kunne kjøpe opp den eiendommen og deretter anta identiteten deres etterpå. Jeg er klar over at jeg burde vært mer årvåken med mine gamle, inaktive kontoer, men jeg føler at det også ville være en produktiv policy å ha en utløpsdato for inaktive kontoer. Jeg registrerte Anthrocopy for fire år siden og sluttet å bruke den helt for over to år siden. Jeg tror på det tidspunktet ville det ikke være irriterende for Google å sende meg en rask e-post: “Hei, bruker du fortsatt dette? Hvis ikke, sletter vi det. "

Jeg tror dette bør være politikken for hva som helst. Twitter, Facebook, MySpace, Gmail, etc. Det bør være en administrativ rensing av data for forlatte kontoer. Denne policyen må være forhåndsbetalt når det gjelder tjenestevilkårene, og du kan kanskje gi muligheten til å deaktivere automatisk sletting av inaktive kontoer.

Jeg ser for meg at angrep som disse pågårakkurat nå og vil fortsette å skje til vi alle klarer og sletter gamle kontoer (feit sjanse) eller tjenesteleverandører begynner å implementere tiltak for å forhindre at zombiekontoer kommer tilbake og spiser hjernen til våre tidligere kolleger med spam (eller verre).

Konklusjon

Jeg gjorde en feil og lærte leksjonen min. Jeg gjør mitt beste for å utføre skadekontroll og forhindre at dette skjer igjen. Men hvis du har hatt en lignende opplevelse eller har ytterligere innsikt eller forslag, vil jeg gjerne vite det.