Avertisment: Domeniile expirate sunt alegeri ușoare pentru hackeri

Am învățat o lecție grea săptămâna asta. Pe scurt, un spamer din Vietnam mi-a deturnat contul Google Apps pentru domenii (acum numit Google Apps for Business) și trimite în prezent persoane e-mail de la vechea mea adresă de e-mail (jack@anthrocopy.com) completează cu semnătura, numărul meu de telefon șinumele și tot ce se află pe ea. Anthrocopy.com a fost un nume dba informal pe care l-am folosit cu ani în urmă pentru activitatea mea de scriere independentă, dar am eliminat-o încet și am lăsat domeniul să expire. Acum, altcineva s-a mutat în loc, în stil ermit-crab și, probabil, contactează toate vechile mele contacte de afaceri despre Viagra ieftin.

Am contactat Google despre aceasta, iar răspunsul lor oficial a fost „Îmi pare rău să vă spun că nu vă putem ajuta cu această problemă, deoarece nu mai dețineți acel domeniu.”

Destul de corect. La urma urmei, am lăsat domeniul să expire, lăsând astfel pe altcineva să-l cumpere și, făcând acest lucru, le-am lăsat să trimită vechiul meu cont Gmail, contul Google Docs și orice alt serviciu web terț la care am folosit autentificarea Google pentru a mă conecta . Asistența tehnologică Google a recomandat să iau legătura cu forțele de ordine, dar cred că FBI are pește mai mare de prăjit decât un spammer vietnamez care se preface că este un scriitor independent independent.

Deci, mi se pare singurul recurs care mi-a rămasurma să răspândesc cuvântul că am fost deturnat și, în acest proces, poate să furnizez un anunț de serviciu public despre lăsarea înregistrărilor dvs. de domeniu să curgă fără a renunța la toate celelalte servicii asociate. Detaliile acestor două eforturi urmează.

De ce primesc notificări de livrare eșuate pentru e-mailuri pe care nu le-am trimis-o?

Nu sunt sigur de ce mi s-a întâmplat asta, dar în ultima vreme,Primesc o mulțime de notificări de livrare eșuate sau de răspunsuri automate din oficiu pentru e-mailuri pe care nu le-am trimis niciodată. Unul dintre aceste e-mailuri este ceea ce m-a îndepărtat de faptul că ceva nepriceput se întâmplă cu identitatea mea online.

Email Spoofing vs. Cont de e-mail compromis

Primele câteva pe care le-am primit au fost un caz simplu de răspândire prin e-mail. Adică cineva trimite emailuri zicală că erau de la mine, dar antetelee-mail a dovedit că nu au fost trimise cu adevărat din contul meu. Spofingul prin e-mail este un atac frecvent, deseori automatizat și este în mare parte inofensiv, deoarece majoritatea serverelor de poștă știu să recunoască un e-mail rasfatat. Înregistrările SPF pot ajuta acest efort.

Iată un exemplu de e-mail simplu spoofed:

Livrarea a eșuat către acești destinatari sau grupuri:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Adresa de e-mail introdusă nu a putut fi găsită. Vă rugăm să verificați adresa de e-mail a destinatarului și să încercați să retrimiteți mesajul. Dacă problema continuă, vă rugăm să contactați asistența.
Informații de diagnostic pentru administratori:
Generare server: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nu a fost gasit ##
Anteturile mesajelor originale:
Primit: de la ecsdel01.appriver.com (72.32.253.39) prin mail.higginbotham.net
(10.5.2.56) cu id-ul serverului SMTP Microsoft 14.1.218.12; Mar, 29 Apr 2014
00:41:57 -0500
Primit: de la [10.238.8.145] (HELO inbound.appriver.com) de
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) cu id-ul ESMTP 401638471
pentru teddy-metsseuk@gammoninsurance.com; Mar, 29 Apr 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29/04/2014 12:41:56 AM
Politica X: higginbotham.net
X-Primar: teddy-metsseuk@higginbotham.net
X-Note: Acest e-mail a fost scanat de AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
Analiza X-GBUdb: 0, 97.67.222.18, urât c = 0.425302 p = 0.483871 Sursa normală
X-Signature-Violations: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Eșec: 0 Chk: 1342 din 1342 în total
Nota X: SCH-CT / SI: 0-1342 / SG: 1 29/04/2014 12:41:55 AM
X-Warn: BOUNCETRACKER Bote Tracking User Tracking found
X-Warn: OPTOUT
X-Warn: REVDNS Fără înregistrare DNS inversă pentru 97.67.222.18
X-Warn: comanda HELOBOGUS HELO emisă fără domeniu.
X-Warn: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
Notă X: Testele de spam au eșuat: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: STATELE UNITE-> STATELE UNITE
X-Note-Sending-IP: 97.67.222.18
X-Notă-Reverse DNS-:
Calea X-Note-Return-return: teddy-metsseuk@anthrocopy.com
X-Note: Regula utilizatorului Hits:
X-Note: Global Rule Hits: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Criptați Regula Hits:
X-Note: Clasa de e-mail: VALABIL
Nota X: anteturi injectate
Primit: de la [97.67.222.18] (HELO [97.67.222.18]) de inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) cu id-ul ESMTP 191929257 pentru
teddy-metsseuk@gammoninsurance.com; Mar, 29 Apr 2014 00:41:56 -0500
De la: Buletin informativ DrOZNetwork <teddy-metsseuk@anthrocopy.com>
Pentru: <teddy-metsseuk@gammoninsurance.com>
Subiect: Veți pierde cel puțin o dimensiune în fiecare cincisprezece
Data: mar, 29 aprilie 2014 01:41:57 -0400
List-Unsubscribe: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
Versiunea MIME: 1.0
Răspuns: la „Buletin informativ DrOZNetwork” <răspuns-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
ID-mesaj: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Tip de conținut: multipart / alternativ; limita =“MeDnwMAYvTCJ = _ ?:“
Calea de întoarcere: teddy-metsseuk@anthrocopy.com

Dar atunci, am primit o livrare eșuatănotificare care a inclus mesajul original. Și am observat că avea o adresă de e-mail reală pe care am folosit-o cândva (jack@anthrocopy.com) și semnătura mea de e-mail. Aceasta era o dovadă că nu numai că cineva spunea că sunt eu, ci trimiteau de fapt e-mailuri legitime de pe vechea mea adresă. De fapt, a fost trimis prin Gmail.

Cum ar putea fi aceasta? Se părea că vechiul meu cont Google Apps pentru domenii avea datele de identificare pentru adresa mea de e-mail principală încă activă. Nu e bine.

În primul rând, eram îngrijorat că aveam un computer pe care îl aveamrecent dat unui prieten a fost abuzat. Dar am căutat adresa IP (1.54.46.59) din antetul expeditorului și s-a părut că e-mailul a fost trimis de la cineva din Vietnam. Am verificat jurnalul meu StatCounter și am descoperit că hackerul a vizitat pagina mea web:

Se pare că cineva este specific șiîncercând persistent să-mi fure identitatea. Habar n-am de ce. Însă, furând Anthrocopy.com de la mine și contul meu asociat Google Apps pentru domenii, se pare că au făcut progrese.

Modul în care hackerii vă pot accesa Gmail prin achiziționarea unui domeniu expirat

Aplicațiile Google pentru domenii este diferită de aCont normal Gmail sau Google Docs sau Google Drive, deoarece este asociat cu un domeniu pe care este posibil să fi înregistrat-o de la o altă companie decât Google. În 2010, am înregistrat Anthrocopy.com la Namecheap.com. După ce mi-am încheiat cariera independentă pentru a lucra ca scriitor tehnic cu normă întreagă, am lăsat domeniul să expire. Cumva, hackerul a aflat că am un cont Google Apps pentru domeniu, chiar dacă nu mai aveam acest domeniu. Așadar, pe 20 iunie 2014, cineva a cumpărat-o prin moniker.com, potrivit Whois.

Acesta este un joc corect. Dacă nu mai vreau un nume de domeniu, altcineva este liber să îl cumpere. Cu toate acestea, au făcut un pas mai departe și au intrat în contul meu Google Apps pentru domenii. Au făcut acest lucru folosind formularul de recuperare a contului Google Apps for Business, care vă va oferi acces la orice cont Google Apps dacă puteți dovedi că dețineți un nume de domeniu. În loc să utilizați o resetare a parolei sau un indiciu de parolă, puteți crea doar o înregistrare CNAME pentru domeniul care dovedește că dețineți acest domeniu. Apoi, Google vă oferă cheile contului. Pentru 10 USD, cineva din Vietnam tocmai a câștigat acces la toate setările mele vechi de Gmail, istoricul și datele de autentificare salvate.

Recuperarea unui cont de aplicații Google deturnate pentru afaceri

Alertă spoiler: nu există nicio modalitate de a recupera un cont Google Apps for Business compromis. Dacă cineva deține domeniul, deține contul Google Apps for Business asociat. Aceasta este poziția Google în această privință și nu sunt de acord, dar nu i-am convins să facă nimic în acest sens.

Când am aflat ce s-a întâmplat, am contactatAsistență Google Enterprise prin acest formular. Aproximativ 12 ore mai târziu (într-o sâmbătă, nu rău), am primit un apel de la un coleg prietenos care mi-a recapitulat exact incidentul. Din păcate, mi-a spus că nu puteam face nimic, dacă nu puteam dovedi că dețin domeniul. I-am spus că nu-mi pasă de domeniu, ci vreau doar informațiile și acreditările mele personale și profesionale din mâinile acelei persoane aleatorii. Tehnologia a spus că va escalada situația, dar la scurt timp, am primit următorul e-mail:

Salut Jack,

Vă mulțumesc că ați răspuns la apelul meu. Am înțeles că sunteți proprietarul „anthrocopy.com” și ați creat un cont Google Apps folosind acel domeniu, dar nu l-ați reînnoit, astfel încât altcineva s-a înregistrat și a preluat controlul contului dvs. Google Apps.

Conform conversației noastre, pentru a avea unContul Google Apps pe care trebuie să îl dețineți pe domeniu pe care le legați. O altă persoană a preluat controlul domeniului, deoarece a putut dovedi proprietatea prin setările DNS. Am consultat acest caz și îmi pare rău să vă spun că nu vă putem ajuta cu această problemă, deoarece nu mai dețineți acel domeniu. În calitate de furnizor de instrumente de creare de conținut și servicii de găzduire, Google nu este în măsură să medieze sau să judece litigiile dintre terți. Vă recomandăm să vă ridicați preocupările direct cu administratorul în cauză.

Dacă credeți că administratorul în cauză restricționează în mod ilegal accesul la contul dvs., vă recomandăm să contactați oamenii legii.

Cu sinceritate,
Guillermo.
Asistență Google Enterprise.

Deci, în acest moment, am rămas blocat.

Ce să fac despre reputația mea online?

Următorul meu pas este să trimit un e-mail personal laoricine pot să mă gândesc la asta pot fi în lista de contacte. Și poate posta o notificare pe site-urile web pentru domeniile pe care le controlez în continuare. Dar, în afară de asta, se pare că nu pot face multe, în afară de a face public cu ceea ce s-a întâmplat și de a încerca să-mi cer scuze și să le explic fiecărei persoane afectate. Sper să câștig bătălia de PR făcând cunoscut pe larg că Anthrocopy.com și jack@anthrocopy.com sunt fals și că adevăratul Jack Busch este foarte supărat și foarte rău.

Aflați din greșelile mele: nu lăsați domeniile să curgă

Am cumpărat domenii ca nebune ori de câte ori Godaddyam avut o vânzare de nume de domeniu de 99 de cenți sau m-am gândit la o idee amuzantă pentru un site web. Acum, îmi dau seama că fiecare dintre acestea are oarecum o răspundere. Fiecare pe care îl dețin și apoi îl dezmințesc devine o cale pentru ca cineva să-mi coopteze identitatea. Cu Anthrocopy, care a fost singurul cu care am înregistrat un cont Google Apps, acest domeniu pe care l-am cumpărat acum patru ani și pe care l-am lăsat să expire s-a transformat într-o vulnerabilitate imensă.

Lecția mai largă din aceasta este să nu lăsați niciodată bătrânulconturile cad sau expiră. Păstrați filele pentru fiecare cont pe care îl creați online. Dacă decideți să nu mai utilizați contul, ștergeți-l. Nu aveți încredere că furnizorul de servicii vă va coșura datele odată ce nu vă mai sunt utile. Fie că este vorba de un cont Twitter vechi, de un cont vechi de Facebook (citiți articolul nostru despre cum să vă ștergeți definitiv contul de Facebook), un blog vechi Xanga sau chiar un cont vechi de AOL, săpați-l acum și ștergeți-l sau măcar frecați-l. din orice informații personale. Pe web, sunt păstrători de căutători, iar ceea ce pierdeți va fi o cantitate prea mare de cartofi pentru ca poliția să se implice.

Recomandare către Google

În timp ce apreciez cât de rapid este un Googleun reprezentant mi-a întins atenția, sunt dezamăgit de faptul că nu mai există recurs. Este un lucru să cumperi o proprietate pe care cineva a abandonat-o. Este un alt lucru să poți cumpăra acea proprietate și apoi să-și asume identitatea ulterior. Îmi dau seama că ar fi trebuit să fiu mai vigilent cu privire la vechile mele conturi inactive, dar simt că ar fi o politică productivă să aveți o dată de expirare și în conturile inactive. Am înregistrat Anthrocopy în urmă cu patru ani și am încetat să îl folosesc complet în urmă cu doi ani. Cred că la acel moment, nu ar fi enervant Google să-mi trimită un e-mail rapid: „Hei, încă folosești asta? Dacă nu, îl vom șterge. ”

Cred că aceasta ar trebui să fie politica pentru orice. Twitter, Facebook, MySpace, Gmail, etc. Ar trebui să existe o purjare administrativă a datelor pentru conturile abandonate. Această politică ar trebui să fie avansată în termenii serviciului și, poate, puteți da opțiunea de a dezactiva ștergerea automată a conturilor inactive.

Îmi imaginez că se întâmplă atacuri ca acesteachiar acum și va continua să apară până când toți înțelegem și ștergem conturi vechi (șanse de grăsime) sau furnizorii de servicii încep să pună în aplicare măsuri pentru a împiedica conturile zombie să revină și să mănânce creierul foștilor colegi cu spam (sau mai rău).

Concluzie

Am făcut o greșeală și mi-am învățat lecția. Fac tot posibilul pentru a efectua controlul daunelor și pentru a preveni acest lucru să se mai repete. Dar dacă ai avut o experiență similară sau ai mai multe informații sau sugestii, mi-ar plăcea să știu.