Ostrzeżenie: wygasłe domeny są łatwym wyborem dla hakerów

Nauczyłem się trudnej lekcji w tym tygodniu. Krótko mówiąc, spamer z Wietnamu porwał moje konto Google Apps dla Domen (obecnie nazywane Google Apps dla Firm) i obecnie wysyła e-maile do osób z mojego starego adresu e-mail (jack@anthrocopy.com) wraz z moim podpisem, numerem telefonu iimię i wszystko na nim. Anthrocopy.com to nieformalna nazwa dba, której używałem lata temu w mojej niezależnej firmie zajmującej się pisaniem, ale powoli ją wycofałem i pozwoliłem, aby domena wygasła. Teraz ktoś się tu wprowadził, w stylu kraba pustelnika i prawdopodobnie kontaktuje się ze wszystkimi moimi starymi kontaktami biznesowymi w sprawie taniej Viagry.

Skontaktowałem się z Google w tej sprawie, a ich oficjalna odpowiedź brzmiała: „Przykro mi powiedzieć, że nie możemy pomóc w rozwiązaniu tego problemu, ponieważ nie jesteś już właścicielem tej domeny”.

Słusznie. W końcu pozwalam, aby domena wygasła, pozwalając w ten sposób komuś ją kupić, a tym samym pozwalam jej zarządzać moim starym kontem Gmail, kontem Dokumentów Google i dowolną inną usługą internetową innej firmy, do której zalogowania mogłem użyć uwierzytelnienia Google . Wsparcie techniczne Google zaleca skontaktowanie się z organami ścigania, ale myślę, że FBI ma większą rybę do smażenia niż jakiś wietnamski spamer udający łagodnego pisarza.

Wygląda więc na to, że pozostało mi jedyne wyjściebyło rozpowszechnianie informacji o tym, że zostałem porwany, a w tym czasie być może ogłoszenie publiczne o zezwoleniu na wygaśnięcie rejestracji domeny bez likwidacji wszystkich innych powiązanych usług. Poniżej podano szczegóły tych dwóch działań.

Dlaczego otrzymuję powiadomienia o niepowodzeniu dostarczenia wiadomości e-mail, których nie wysłałem?

Nie jestem pewien, dlaczego tak się stało, ale ostatnioOtrzymuję wiele powiadomień o nieudanej dostawie lub automatycznych odpowiedzi poza biurem na e-maile, których nigdy nie wysłałem. Jeden z tych e-maili doprowadził mnie do tego, że coś złego działo się z moją tożsamością online.

Fałszywe wiadomości e-mail a naruszone konto e-mail

Pierwsze kilka, które otrzymałem, było prostym przypadkiem fałszowania wiadomości e-mail. Oznacza to, że ktoś wysyłał e-maile powiedzenie że były ode mnie, ale nagłówkie-mail udowodnił, że tak naprawdę nie zostały wysłane z mojego konta. Fałszowanie wiadomości e-mail jest częstym, często zautomatyzowanym atakiem i jest w większości nieszkodliwe, ponieważ większość serwerów pocztowych wie, jak rozpoznać sfałszowaną wiadomość e-mail. Rekordy SPF mogą pomóc w tym wysiłku.

Oto przykład prostej sfałszowanej wiadomości e-mail:

Dostawa do adresatów lub grup nie powiodła się:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Nie można znaleźć podanego adresu e-mail. Sprawdź adres e-mail odbiorcy i spróbuj ponownie wysłać wiadomość. Jeśli problem będzie się powtarzał, skontaktuj się z działem pomocy technicznej.
Informacje diagnostyczne dla administratorów:
Generowanie serwera: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nie znaleziono ##
Oryginalne nagłówki wiadomości:
Otrzymano: od ecsdel01.appriver.com (72.32.253.39) przez mail.higginbotham.net
(10.5.2.56) z serwerem Microsoft SMTP o identyfikatorze 14.1.218.12; Wt, 29 kwietnia 2014 r
00:41:57 -0500
Otrzymano: od [10.238.8.145] (HELO inbound.appriver.com) przez
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) z identyfikatorem ESMTP 401638471
dla teddy-metsseuk@gammoninsurance.com; Wt, 29 kwietnia 2014 r. 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29.04.2014 12:41:56
Polityka X: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
Uwaga X: Ten e-mail został zeskanowany przez AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
Analiza X-GBUdb: 0, 97,67.222.18, Brzydkie c = 0,425302 p = 0,483871 Źródło Normalne
Naruszenie podpisu X: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
Uwaga X-419: 0 ms. Niepowodzenie: 0 Chk: 1342 z 1342 wszystkich
Uwaga X: SCH-CT / SI: 0-1342 / SG: 1 29.04.2014 12:41:55 AM
X-Warn: BOUNCETRACKER Znaleziono śledzenie użytkownika odrzuceń
X-Warn: OPTOUT
X-Warn: REVDNS Brak rekordu Reverse DNS dla 97.67.222.18
X-Warn: HELOBOGUS HELO wydano bez domeny.
X-Warn: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
Uwaga X: Testy spamu nie powiodły się: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: STANY ZJEDNOCZONE-> STANY ZJEDNOCZONE
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
Uwaga X: Trafienia w regułę użytkownika:
Uwaga X: Globalne trafienia reguł: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
Uwaga X: Zaszyfruj trafienia reguły:
Uwaga X: Klasa poczty: WAŻNA
Uwaga X: Wstrzyknięte nagłówki
Otrzymano: od [97.67.222.18] (HELO [97.67.222.18]) przez inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) o numerze ESMTP 191929257 dla
teddy-metsseuk@gammoninsurance.com; Wt, 29 kwietnia 2014 r. 00:41:56 -0500
Od: Biuletyn DrOZNetwork <teddy-metsseuk@anthrocopy.com>
Do: <teddy-metsseuk@gammoninsurance.com>
Temat: Co dwa tygodnie stracisz co najmniej rozmiar
Data: wtorek, 29 kwietnia 2014 01:41:57 -0400
Rezygnacja z listy: <mailto: Leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
Wersja MIME: 1.0
Odpowiedź do: „Biuletyn DrOZNetwork” <reply-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
Identyfikator wiadomości: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Content-Type: wieloczęściowy / alternatywny; granica = ”MeDnwMAYvTCJ = _ ?:”
Return-Path: teddy-metsseuk@anthrocopy.com

Ale potem otrzymałem nieudaną dostawępowiadomienie zawierające oryginalną wiadomość. Zauważyłem też, że miał rzeczywisty adres e-mail, którego kiedyś użyłem (jack@anthrocopy.com), a także mój podpis e-mail. Był to dowód, że nie tylko ktoś powiedział, że to ja, ale w rzeczywistości wysyłał legalne e-maile z mojego starego adresu. Został wysłany za pośrednictwem Gmaila.

Jak to może być? Wyglądało na to, że moje stare konto Google Apps for Domains zawierało poświadczenia mojego wciąż aktywnego głównego adresu e-mail. Niedobrze.

Najpierw martwiłem się, że mam komputerostatnio podany przyjacielowi był molestowany. Ale sprawdziłem adres IP (1.54.46.59) z nagłówka nadawcy i okazało się, że wiadomość e-mail została wysłana przez kogoś z Wietnamu. Sprawdziłem mój dziennik StatCounter i odkryłem, że haker odwiedził moją stronę:

Wygląda na to, że ktoś jest konkretnie iuporczywie próbuje ukraść moją tożsamość. Nie mam pojęcia dlaczego. Ale kradnąc Anthrocopy.com ode mnie i mojego powiązanego konta Google Apps for Domains, wygląda na to, że zrobili pewne postępy.

Jak hakerzy mogą uzyskać dostęp do Twojego konta Gmail, kupując wygasłą domenę

Google Apps dla Domen różni się odzwykłe konto Gmail, Dokumenty Google lub Dysk Google, ponieważ jest powiązane z domeną, którą mogłeś zarejestrować w firmie innej niż Google. W 2010 roku zarejestrowałem Anthrocopy.com w Namecheap.com. Po tym, jak zakończyłem karierę jako niezależny pisarz techniczny, pozwoliłem, aby domena wygasła. Jakoś haker dowiedział się, że mam konto Google Apps dla domeny, mimo że nie posiadam już domeny. Tak więc, zgodnie z Whois, 20 czerwca 2014 r. Ktoś kupił to przez moniker.com.

To jest uczciwa gra. Jeśli nie chcę już nazwy domeny, ktoś inny może ją kupić. Jednak poszli o krok dalej i włamali się na moje konto Google Apps for Domains. Zrobili to za pomocą formularza odzyskiwania konta Google Apps dla Firm, który daje dostęp do dowolnego konta Google Apps, jeśli możesz udowodnić, że jesteś właścicielem nazwy domeny. Zamiast korzystać z resetowania hasła lub podpowiedzi do hasła, możesz po prostu utworzyć rekord CNAME dla domeny, który potwierdza, że jesteś właścicielem domeny. Następnie Google daje klucze do konta. Za 10 USD ktoś w Wietnamie właśnie uzyskał dostęp do wszystkich moich starych ustawień Gmaila, historii i zapisanych danych logowania.

Odzyskiwanie przejętego konta Google Apps dla Firm

Alert spoilera: nie ma możliwości odzyskania przejętego konta Google Apps dla Firm. Jeśli ktoś jest właścicielem domeny, jest właścicielem powiązanego konta Google Apps dla Firm. Takie jest stanowisko Google w tej sprawie i zdecydowanie się z tym nie zgadzam, ale nie przekonałem ich, by cokolwiek z tym zrobili.

Kiedy dowiedziałem się, co się stało, skontaktowałem sięWsparcie Google Enterprise za pomocą tego formularza. Około 12 godzin później (w sobotę, nieźle) otrzymałem telefon od przyjaznego gościa, który dokładnie podsumował mój incydent. Niestety powiedział mi, że nie mogę nic zrobić, jeśli nie mogę udowodnić, że jestem właścicielem domeny. Powiedziałem mu, że nie dbam o domenę, chciałem tylko, aby moje osobiste i profesjonalne informacje oraz dane uwierzytelniające znalazły się w rękach tej przypadkowej osoby. Technik powiedział, że eskaluje sytuację, ale wkrótce potem otrzymałem następujący e-mail:

Cześć Jack,

Dziękuję za odebranie mojego połączenia. Rozumiem, że byłeś właścicielem witryny „anthrocopy.com” i utworzyłeś konto Google Apps przy użyciu tej domeny, ale nie odnowiłeś go, aby ktoś inny zarejestrował się i przejął kontrolę nad Twoim kontem Google Apps.

Zgodnie z naszą rozmową, aby miećKonto Google Apps musi być właścicielem domeny, z której chcesz korzystać. Inna osoba przejęła kontrolę nad domeną, ponieważ była w stanie udowodnić własność za pomocą ustawień DNS. Skonsultowałem się z tą sprawą i przykro mi powiedzieć, że nie możemy Ci pomóc w rozwiązaniu tego problemu, ponieważ nie jesteś już właścicielem tej domeny. Jako dostawca narzędzi do tworzenia treści i usług hostingowych Google nie jest w stanie mediować ani rozstrzygać sporów między stronami trzecimi. Zalecamy zgłoszenie wątpliwości bezpośrednio do administratora, o którym mowa.

Jeśli uważasz, że dany administrator bezprawnie ogranicza dostęp do Twojego konta, zalecamy skontaktowanie się z organami ścigania.

Szczerze,
Guillermo.
Wsparcie Google Enterprise.

Więc w tym momencie utknąłem.

Co mam zrobić z moją reputacją online?

Moim następnym krokiem jest wysłanie osobistego adresu e-mail na adreswszyscy, o których myślę, mogą znajdować się na tej liście kontaktów. I być może opublikuj powiadomienie na stronach internetowych dla domen, które wciąż kontroluję. Ale poza tym wygląda na to, że niewiele mogę zrobić, poza upublicznieniem tego, co się stało i próbowaniem przeprosić i wyjaśnić każdej osobie, której to dotyczy. Mam nadzieję wygrać bitwę PR, informując, że Anthrocopy.com i jack@anthrocopy.com są fałszywe, a prawdziwy Jack Busch jest bardzo zdenerwowany i bardzo przykro.

Ucz się na podstawie moich błędów: nie pozwól, aby domeny wygaśły

Kiedyś kupowałem domeny jak szalone, za każdym razem, gdy GodaddyMiałem 99-procentową sprzedaż nazw domen lub pomyślałem o zabawnym pomyśle na stronę internetową. Teraz zdaję sobie sprawę, że każdy z nich stanowi poniekąd odpowiedzialność. Każdy, który posiadam, a następnie odrzucam, staje się dla kogoś sposobem na dokończenie wyboru mojej tożsamości. Dzięki Anthrocopy, która jako jedyna zarejestrowałem konto Google Apps, ta domena, którą kupiłem cztery lata temu i która wygasła, przerodziła się w ogromną lukę.

Szersza lekcja z tego polega na tym, aby nigdy nie pozwolić na starekonta wygasają lub wygasają. Śledź każde konto tworzone online. Jeśli zdecydujesz się przestać korzystać z konta, usuń je. Nie ufaj usługodawcy, aby zniszczył twoje dane, gdy nie będą już dla ciebie przydatne. Niezależnie od tego, czy jest to stare konto na Twitterze, stare konto na Facebooku (przeczytaj nasz artykuł o tym, jak trwale usunąć konto na Facebooku), stary blog Xanga, a nawet stare konto AOL, wykop je teraz i usuń, a przynajmniej wyszoruj z jakichkolwiek danych osobowych. W sieci są to osoby zajmujące się wyszukiwaniem, a stracisz zbyt mało ziemniaków, aby zaangażować się w nie organy ścigania.

Rekomendacja dla Google

Doceniam to, jak szybko Googleprzedstawiciel skontaktował się ze mną, jestem rozczarowany, że nie ma innego wyjścia. Jedną rzeczą jest wykupienie nieruchomości, którą ktoś porzucił. Kolejną rzeczą jest możliwość wykupienia tej nieruchomości, a następnie przejęcia jej tożsamości. Zdaję sobie sprawę, że powinienem być bardziej czujny w stosunku do moich starych, nieaktywnych kont, ale wydaje mi się, że rozsądną zasadą byłoby również, aby data ważności wygasła również w przypadku nieaktywnych kont. Zarejestrowałem Anthrocopy cztery lata temu i całkowicie przestałem go używać ponad dwa lata temu. Myślę, że w tym momencie Google nie byłoby denerwujące, wysyłając mi szybki e-mail: „Hej, nadal tego używasz? Jeśli nie, usuniemy go ”.

Myślę, że taka powinna być polityka na wszystko. Twitter, Facebook, MySpace, Gmail itp. Powinno być administracyjne czyszczenie danych dla opuszczonych kont. Ta polityka powinna być z góry zgodna z warunkami usługi i być może możesz dać opcję wyłączenia automatycznego usuwania nieaktywnych kont.

Wyobrażam sobie, że takie ataki mają miejscew tej chwili i tak będzie do momentu, aż wszyscy rozwiążemy sprawę i usuniemy stare konta (fat fat) lub dostawcy usług zaczną wdrażać środki zapobiegające powracaniu kont zombie i zjadaniu mózgów naszych byłych kolegów ze spamem (lub gorzej).

Wniosek

Popełniłem błąd i wyciągnąłem lekcję. Dokładam wszelkich starań, aby kontrolować obrażenia i zapobiegać temu powtórzeniu. Ale jeśli masz podobne doświadczenia lub masz więcej informacji lub sugestii, chciałbym wiedzieć.