Aviso: os domínios expirados são uma escolha fácil para hackers

Eu aprendi uma lição difícil esta semana. Para encurtar a história, um spammer do Vietnã invadiu minha conta do Google Apps for Domains (agora chamada Google Apps for Business) e atualmente está enviando e-mails para pessoas do meu endereço de e-mail antigo (jack@anthrocopy.com) completo com minha assinatura, número de telefone enome e tudo nele. Anthrocopy.com era um nome informal de dba que eu usei anos atrás para o meu negócio de escritores freelancers, mas eu o desativei lentamente e deixei o domínio expirar. Agora, alguém se mudou para o local, no estilo eremita-caranguejo, e provavelmente está entrando em contato com todos os meus antigos contatos comerciais sobre Viagra barato.

Entrei em contato com o Google e a resposta oficial foi "Lamento dizer que não podemos ajudá-lo com esse problema, pois você não é mais o proprietário desse domínio".

Justo. Afinal, deixei o domínio expirar, permitindo que outra pessoa o comprasse e, ao fazê-lo, deixei que eles comandassem minha conta antiga do Gmail, a conta do Google Docs e qualquer outro serviço da Web de terceiros em que eu possa ter usado a autenticação do Google para fazer login . O suporte técnico do Google recomendou que eu entre em contato com a polícia, mas acho que o FBI tem peixes maiores para fritar do que algum spammer vietnamita que finge ser um escritor freelance e educado.

Então, parece que o único recurso que me restafoi espalhar a notícia de que eu havia sido invadido e, no processo, talvez fornecer um anúncio de serviço público sobre deixar seus registros de domínio caducarem sem encerrar todos os outros serviços associados. Os detalhes desses dois esforços seguem.

Por que estou recebendo notificações de falha na entrega de e-mails que não enviei?

Não sei por que isso aconteceu comigo, mas ultimamente,Recebi muitas notificações de entrega com falha ou respostas automáticas fora do escritório para e-mails que nunca enviei. Um desses e-mails foi o que me levou ao fato de que algo ruim estava acontecendo com a minha identidade online.

Falsificação de email x conta de email comprometida

Os primeiros que recebi foram um caso simples de falsificação de email. Ou seja, alguém estava enviando e-mails dizendo que eles eram de mim, mas os cabeçalhos doso email provou que eles realmente não estavam sendo enviados da minha conta. A falsificação de email é um ataque comum, muitas vezes automatizado, e é principalmente inofensiva, pois a maioria dos servidores de email sabe como reconhecer um email falsificado. Os registros SPF podem ajudar nesse esforço.

Aqui está um exemplo de um e-mail falsificado simples:

Entrega falhou para esses recipientes ou grupos:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Não foi possível encontrar o endereço de e-mail digitado. Verifique o endereço de e-mail do destinatário e tente reenviar a mensagem. Se o problema persistir, entre em contato com o suporte técnico.
Informação de diagnóstico para administradores:
Gerando servidor: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; não encontrado ##
Cabeçalhos de mensagens originais:
Recebido: de ecsdel01.appriver.com (72.32.253.39) por mail.higginbotham.net
(10.5.2.56) com identificação do servidor SMTP da Microsoft 14.1.218.12; Ter, 29 de abril de 2014
00:41:57 -0500
Recebido: de [10.238.8.145] (HELO inbound.appriver.com) por
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) com o ID do ESMTP 401638471
para teddy-metsseuk@gammoninsurance.com; Terça-feira, 29 de abril de 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29/04/2014 12:41:56 AM
Política X: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
Nota X: Este email foi verificado pelo AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
Análise X-GBUdb: 0, 97.67.222.18, Feio c = 0.425302 p = 0.483871 Origem Normal
Violações de assinatura X: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Falhar: 0 Chk: 1342 de 1342 total
Nota X: SCH-CT / SI: 0-1342 / SG: 1 29/4/2014 12:41:55
X-Warn: BOUNCETRACKER Bounce Tracking User encontrado
X-Warn: OPTOUT
X-Warn: REVDNS Nenhum registro DNS reverso para 97.67.222.18
X-Warn: comando HELOBOGUS HELO emitido sem domínio.
X-Warn: BULKMAILER
Aviso X: PESO10
Aviso X: PESO15
Nota X: Falha nos testes de spam: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
Caminho do país X: ESTADOS UNIDOS-> ESTADOS UNIDOS
X-Note-Sending-IP: 97.67.222.18
DNS reverso da nota X:
Caminho do retorno da nota X: teddy-metsseuk@anthrocopy.com
Nota X: Acessos à regra do usuário:
X-Note: Acessos à regra global: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G427 G437 G438 G479
X-Note: Criptografar ocorrências de regras:
Nota X: Classe de Correio: VALID
Nota X: cabeçalhos injetados
Recebido: de [97.67.222.18] (HELO [97.67.222.18]) por inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) com o ID do ESMTP 191929257 para
teddy-metsseuk@gammoninsurance.com; Terça-feira, 29 de abril de 2014 00:41:56 -0500
De: Boletim informativo da DrOZNetwork <teddy-metsseuk@anthrocopy.com>
Para: <teddy-metsseuk@gammoninsurance.com>
Assunto: Você perderá pelo menos um tamanho a cada quinzena
Data: Terça-feira, 29 de abril de 2014 01:41:57 -0400
List-Unsubscribe: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
Versão MIME: 1.0
Resposta a: “Boletim informativo DrOZNetwork” <reply-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
ID da mensagem: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Tipo de Conteúdo: multipart / alternativo; limite = "MeDnwMAYvTCJ = _ ?:"
Caminho de retorno: teddy-metsseuk@anthrocopy.com

Mas então, recebi uma entrega com falhanotificação que incluía a mensagem original. E notei que ele tinha um endereço de email real que eu costumava usar (jack@anthrocopy.com) e minha assinatura de email também. Isso era prova de que não apenas alguém estava dizendo que eu era como estava enviando e-mails legítimos do meu endereço antigo. Na verdade, foi enviado via Gmail.

Como isso poderia ser? Parecia que minha conta antiga do Google Apps for Domains tinha as credenciais do meu endereço de e-mail principal ainda ativo. Não é bom.

Primeiro, eu estava preocupado que um computador que eu tinharecentemente dado a um amigo estava sendo abusado. Mas procurei o endereço IP (1.54.46.59) no cabeçalho do remetente e parecia que o email foi enviado por alguém no Vietnã. Verifiquei meu log do StatCounter e também descobri que o hacker estava visitando minha página da web:

Parece que alguém é específico epersistentemente tentando roubar minha identidade. Eu não tenho ideia do porquê. Mas roubando o Anthrocopy.com de mim e da minha conta associada do Google Apps for Domains, parece que eles fizeram algum progresso.

Como os hackers podem acessar seu Gmail comprando um domínio expirado

O Google Apps for Domains é diferente de umconta normal do Gmail, Google Docs ou Google Drive, na medida em que está associada a um domínio que você pode ter registrado de uma empresa que não seja o Google. Em 2010, registrei o Anthrocopy.com no Namecheap.com. Depois de encerrar minha carreira de freelancer para trabalhar como redator técnico em período integral, deixei o domínio expirar. De alguma forma, o hacker descobriu que eu tinha uma conta do Google Apps for Domain, apesar de não ser o proprietário do domínio. Então, em 20 de junho de 2014, alguém comprou através do moniker.com, de acordo com Whois.

Esse é um jogo justo. Se eu não quiser mais um nome de domínio, alguém será livre para comprá-lo. No entanto, eles deram um passo adiante e invadiram minha conta do Google Apps for Domains. Eles fizeram isso usando o formulário de recuperação de conta do Google Apps for Business, que dará acesso a qualquer conta do Google Apps se você puder provar que possui um nome de domínio. Em vez de usar uma redefinição de senha ou dica de senha, você pode apenas criar um registro CNAME para o domínio que comprove que você é o proprietário do domínio. Em seguida, o Google fornece as chaves da conta. Por US $ 10, alguém no Vietnã acabou de obter acesso a todas as minhas configurações antigas do Gmail, histórico e credenciais de login salvas.

Recuperando uma conta do Google Apps for Business invadida

Alerta de spoiler: não há como recuperar uma conta comprometida do Google Apps for Business. Se alguém é o proprietário do domínio, ele é o proprietário da conta associada do Google Apps for Business. Essa é a posição do Google sobre isso, e eu discordo muito, mas ainda não os convenci a fazer algo sobre isso.

Quando soube o que havia acontecido, entrei em contatoSuporte do Google Enterprise através deste formulário. Cerca de 12 horas depois (em um sábado, nada mal), recebi uma ligação de um amigo amigável que recapitulou meu incidente com precisão. Infelizmente, ele me disse que não havia nada que eu pudesse fazer se não pudesse provar que era o proprietário do domínio. Eu disse a ele que não me importava com o domínio, só queria minhas informações e credenciais pessoais e profissionais das mãos dessa pessoa aleatória. O técnico disse que escalaria a situação, mas logo depois recebi o seguinte email:

Olá Jack,

Obrigado por atender minha ligação. Entendo que você era o proprietário de "anthrocopy.com" e criou uma conta do Google Apps usando esse domínio, mas você não a renovou para que outra pessoa se registrasse e assumisse o controle de sua conta do Google Apps.

De acordo com a nossa conversa, a fim de ter umConta do Google Apps que você precisa para possuir o domínio que deseja usar. Outra pessoa assumiu o controle do domínio, pois conseguiu provar a propriedade por meio das configurações de DNS. Consultei este caso e lamento informar que não podemos ajudá-lo com esse problema, pois você não é mais o proprietário desse domínio. Como provedor de ferramentas de criação de conteúdo e serviços de hospedagem, o Google não está em posição de mediar ou julgar disputas entre terceiros. Recomendamos que você levante suas preocupações diretamente com o administrador em questão.

Se você acredita que o administrador em questão está restringindo ilegalmente o acesso à sua conta, recomendamos que entre em contato com a aplicação da lei.

Atenciosamente,
Guillermo.
Suporte do Google Enterprise.

Então, neste momento, eu estou preso.

O que vou fazer com a minha reputação online?

Meu próximo passo é enviar um email pessoal paratodos que eu puder pensar nisso podem estar nessa lista de contatos. E talvez poste uma notificação nos sites dos domínios que eu ainda controle. Mas, além disso, parece que não há muito o que fazer, além de tornar público o que aconteceu e tentar me desculpar e explicar a cada pessoa afetada. Espero vencer a batalha de relações públicas, divulgando amplamente que Anthrocopy.com e jack@anthrocopy.com são falsos e que o verdadeiro Jack Busch está muito chateado e com muita pena.

Aprenda com meus erros: não deixe os domínios expirarem

Eu costumava comprar domínios como louco sempre que Godaddyteve uma venda de nome de domínio de 99 centavos ou pensei em uma idéia engraçada para um site. Agora, percebo que cada uma delas é uma espécie de responsabilidade. Cada um que possuo e depois renego torna-se um caminho para alguém cooptar minha identidade. Com o Anthrocopy, que foi o único com o qual registrei uma conta do Google Apps, o domínio que comprei há quatro anos e deixei expirar se transformou em uma enorme vulnerabilidade.

A lição mais ampla disso é nunca deixar o velhocontas expiram ou expiram. Mantenha abas em todas as contas que você criar online. Se você decidir parar de usar a conta, exclua-a. Não confie que o provedor de serviços lixeira seus dados, uma vez que não são mais úteis para você. Seja uma conta antiga do Twitter, uma conta antiga do Facebook (leia nosso artigo sobre como excluir permanentemente sua conta do Facebook), um blog antigo do Xanga ou mesmo uma conta antiga da AOL, desenterre-a agora e exclua-a ou, pelo menos, limpe-a de qualquer informação pessoal. Na web, são os detentores de informações e o que você perde será muito pequeno para que as autoridades se envolvam.

Recomendação ao Google

Embora eu aprecie a rapidez com que um Googlerepresentante me procurou, estou desapontado por não haver mais recurso. Uma coisa é comprar um imóvel que alguém abandonou. Outra coisa é poder comprar essa propriedade e depois assumir sua identidade depois. Percebo que deveria ter ficado mais vigilante com minhas contas antigas e inativas, mas acho que seria uma política produtiva ter uma data de validade nas contas inativas também. Registrei a Antrocópia há quatro anos e parei de usá-la completamente há mais de dois anos. Acho que naquele momento não seria irritante para o Google me enviar um e-mail rápido: "Ei, você ainda está usando isso? Caso contrário, vamos excluí-lo. "

Eu acho que essa deve ser a política para qualquer coisa. Twitter, Facebook, MySpace, Gmail, etc. Deve haver uma limpeza administrativa de dados para contas abandonadas. Essa política deve ser direta nos termos de serviço e, talvez, você possa dar a opção de desativar a exclusão automática de contas inativas.

Eu imagino que ataques como esses estão acontecendono momento e continuará a ocorrer até que todos saibamos e excluamos as contas antigas (chance grave) ou os provedores de serviços que comecem a implementar medidas para impedir que as contas zumbis voltem e comam o cérebro de nossos ex-colegas com spam (ou pior).

Conclusão

Cometi um erro e aprendi minha lição. Estou fazendo o possível para executar o controle de danos e impedir que isso aconteça novamente. Mas se você teve uma experiência semelhante ou tem mais informações ou sugestões, adoraria saber.