Varovanie: Domény s vypršanou platnosťou sú pre hackerov ľahkým výberom

Tento týždeň som sa naučil tvrdú lekciu. Dlhý príbeh, spamer z Vietnamu uniesol môj účet Google Apps for Domain (teraz nazývaný Google Apps for Business) a momentálne posiela ľuďom e-maily z mojej starej e-mailovej adresy (jack@anthrocopy.com) s mojím podpisom, telefónnym číslom ameno a všetko na ňom. Anthrocopy.com bolo neformálne meno dba, ktoré som používal pred rokmi pre svoje podnikanie na voľnej nohe, ale pomaly som ho postupne ukončil a doménu nechal vypršať. Teraz sa niekto presťahoval na miesto v štýle pustovníka a pravdepodobne kontaktoval všetky moje staré obchodné kontakty týkajúce sa lacnej Viagra.

Kontaktoval som o tom spoločnosť Google a ich oficiálna odpoveď bola „Je mi ľúto, že vám nemôžeme pomôcť s týmto problémom, pretože už túto doménu nevlastníte.“

Dosť fér. Nakoniec som nechal doménu vypršať, čím som ju nechal kúpiť niekomu inému, a nechal som im tak riadiť môj starý účet Gmail, účet Dokumenty Google a akúkoľvek inú webovú službu tretej strany, ktorú som mohol použiť na prihlásenie pomocou autentifikácie Google , Technická podpora spoločnosti Google odporúčala, aby som sa obrátil na orgány činné v trestnom konaní, ale myslím si, že FBI má na vyprážanie väčšie ryby, ako niektorí vietnamskí spammeri, ktorí predstierajú, že sú autormi na voľnej nohe.

Vyzerá to tak, že pre mňa zostal jediný opravný prostriedokbolo šíriť slovo, ktoré ma zastihlo, a možno aj poskytnúť oznámenie o verejnej službe o tom, ako nechať vaše registrácie domén uplynúť bez toho, aby boli zrušené všetky ostatné súvisiace služby. Podrobnosti o týchto dvoch snahách nasledujú.

Prečo dostávam oznámenia o zlyhaní doručovania e-mailov, ktoré som neodoslal?

Nie som si istý, prečo sa mi to stalo, ale v poslednej dobe,Za e-maily, ktoré som nikdy neodoslal, som dostal veľa oznámení o zlyhaní doručenia alebo automatických odpovedí mimo kancelárie. Jedným z týchto e-mailov je to, čo ma priviedlo k skutočnosti, že sa mojej online identite stalo niečo nevhodné.

Spoofing e-mailov proti kompromitovanému e-mailovému účtu

Prvých pár, ktoré som dostal, bol jednoduchý prípad spoofingu e-mailov. To znamená, že niekto posielal e-maily príslovie že boli odo mňa, ale záhlaviae-mail preukázal, že sa z môjho účtu naozaj neposielali. E-mailové spoofing je bežný, často automatizovaný útok a je väčšinou neškodný, pretože väčšina poštových serverov vie, ako rozpoznať e-maily so spoofingom. Záznamy SPF môžu tomuto úsiliu pomôcť.

Tu je príklad jednoduchého spoofed e-mailu:

Doručenie zlyhalo týmto príjemcom alebo skupinám:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Zadanú e-mailovú adresu nebolo možné nájsť. Skontrolujte e-mailovú adresu príjemcu a skúste správu odoslať znova. Ak problém pretrváva, obráťte sa na helpdesk.
Diagnostické informácie pre správcov:
Generujúci server: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nenájdené ##
Hlavičky originálnych správ:
Prijaté: z ecsdel01.appriver.com (72.32.253.39) poštou.higginbotham.net
(10.5.2.56) s ID servera Microsoft SMTP 14.1.218.12; Ut, 29. apríla 2014
00:41:57 -0500
Prijaté: od [10.238.8.145] (HELO inbound.appriver.com) používateľom
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) s identifikátorom ESMTP 401638471
pre teddy-metsseuk@gammoninsurance.com; Utorok, 29. apríla 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29.4.2014 12:41:56
Pravidlá X: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
X-Poznámka: Tento e-mail bol naskenovaný aplikáciou AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analýza: 0, 97,67,222,18, Ugly c = 0,425302 p = 0,483871 Zdroj Normálny
Porušenie X-podpisu: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Zlyhanie: 0 Chk: 1342 z celkového počtu 1342
X-poznámka: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Warn: Bola nájdená funkcia BUNCETRACKER Bounce User Tracking
X-Warn: OPTOUT
X-Warn: REVDNS Žiadny spätný záznam DNS pre 97.67.222.18
X-Warn: Príkaz HELOBOGUS HELO bol vydaný bez domény.
X-Warn: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
X-poznámka: Zlyhanie nevyžiadanej pošty: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
Cesta X-Country: UNITED STATES-> UNITED STATES
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
Cesta X-Note-Return: teddy-metsseuk@anthrocopy.com
X-Poznámka: Hits Rule Rule:
X-poznámka: Hity s globálnymi pravidlami: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Poznámka: Šifrovanie prístupov k pravidlám:
X-poznámka: Trieda pošty: PLATNÁ
X-poznámka: Vstrekované hlavičky
Prijaté: z [97.67.222.18] (HELO [97.67.222.18]) od inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) s identifikátorom ESMTP 191929257 pre
teddy-metsseuk@gammoninsurance.com; Ut, 29. apríla 2014 00:41:56 -0500
Od: DrOZNetwork Newsletter <teddy-metsseuk@anthrocopy.com>
Do: <teddy-metsseuk@gammoninsurance.com>
Vec: Stratíte aspoň raz za dva týždne
Dátum: Ut, 29. apríla 2014 01:41:57 -0400
Zoznam zrušenia odberu: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammonins.com>
Verzia MIME: 1.0
Odpovedať: „Bulletin DrOZNetwork“ <answer-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
ID správy: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Content-Type: multipart / alternative; boundary = "_ = MeDnwMAYvTCJ?:"
Spiatočná cesta: teddy-metsseuk@anthrocopy.com

Ale potom som dostal neúspešné doručenieoznámenie, ktoré obsahovalo pôvodnú správu. A všimol som si, že mal skutočnú e-mailovú adresu, ktorú som kedysi použil (jack@anthrocopy.com), a tiež môj e-mailový podpis. To bol dôkaz, že nielenže niekto povedal, že som ja, ale vlastne posielali legitímne e-maily z mojej starej adresy. Bolo to skutočne odoslané prostredníctvom Gmailu.

Ako by to mohlo byť? Zdá sa, že môj starý účet Google Apps for Domains mal poverenia mojej stále aktívnej hlavnej e-mailovej adresy. Nie dobré.

Najprv som sa obával, že mám počítačZneužívanie, ktoré nedávno dostal kamarát, bolo zneužívané. Vyhľadal som však IP adresu (1.54.46.59) z hlavičky odosielateľa a zdá sa, že e-mail bol odoslaný niekým vo Vietname. Skontroloval som svoj denník StatCounter a zistil som, že hacker navštívil moju webovú stránku:

Zdá sa, že niekto je konkrétne avytrvalo sa snaží ukradnúť moju identitu. Nemám potuchy, prečo. Ale ukradnutím stránky Anthrocopy.com mne a môjmu pridruženému účtu Google Apps pre domény sa zdá, že dosiahli určitý pokrok.

Ako hackeri môžu získať prístup k vášmu Gmailu nákupom vypršanej domény

Aplikácie Google pre domény sa líšia od verziebežný účet Gmail alebo Dokumenty Google alebo účet Disk Google, pretože je priradený k doméne, ktorú ste si možno zaregistrovali od inej spoločnosti ako Google. V roku 2010 som si na webe Namecheap.com zaregistroval (a) Anthrocopy.com. Po tom, čo som ukončil svoju kariéru na voľnej nohe, aby som pracoval ako technický spisovateľ na plný úväzok, nechám doménu vypršať. Hacker nejako zistil, že mám účet Google Apps pre doménu, aj keď už doménu nevlastním. Takže 20. júna 2014 to niekto kúpil prostredníctvom stránky moniker.com, podľa Whois.

To je férová hra. Ak už nechcem názov domény, môže si ho kúpiť niekto iný. Urobili to však o krok ďalej a vnikli do môjho účtu Google Apps for Domains. Urobili to pomocou formulára na obnovenie účtu Google Apps for Business, ktorý vám umožní prístup k akémukoľvek účtu Google Apps, ak môžete preukázať, že vlastníte názov domény. Namiesto použitia resetovania hesla alebo nápovedy k heslám môžete pre doménu vytvoriť záznam CNAME, ktorý preukáže, že doménu vlastníte. Spoločnosť Google vám potom dá kľúče od účtu. Za 10 dolárov niekto vo Vietname práve získal prístup ku všetkým mojim starým nastaveniam, histórii a uloženým prihlasovacím údajom v službe Gmail.

Obnovenie ukradnutého účtu Google Apps pre firmy

Upozornenie na spojler: neexistuje žiadny spôsob, ako obnoviť kompromitovaný účet Google Apps for Business. Ak niekto vlastní doménu, vlastní pridružený účet Google Apps for Business. Toto je pozícia spoločnosti Google k tomu a ja veľmi nesúhlasím, ale ešte som ich nepresvedčil, aby s tým niečo urobili.

Keď som sa dozvedel, čo sa stalo, kontaktoval somPodpora Google Enterprise prostredníctvom tohto formulára. Asi o 12 hodín neskôr (v sobotu, nie zlé) som dostal hovor od priateľského kolegu, ktorý presne zachytil môj incident. Bohužiaľ mi povedal, že nemôžem urobiť nič, keby som nedokázal, že som vlastníkom tejto domény. Povedal som mu, že sa o doménu nezaujímam, len som chcel, aby moje osobné a profesionálne informácie a poverenia boli z rúk tejto náhodnej osoby. Technik povedal, že eskaloval situáciu, ale krátko nato som dostal tento e-mail:

Ahoj Jack,

Ďakujem za odpoveď na môj hovor. Vyrozumeli sme, že ste boli vlastníkom stránky „anthrocopy.com“ a vytvorili ste si účet Google Apps pomocou tejto domény, ale neobnovili ste ho, takže sa niekto iný zaregistroval a prevzal kontrolu nad svojím účtom Google Apps.

Podľa našej konverzácie, aby saÚčet Google Apps musíte vlastniť doménu, ktorú chcete používať. Iná osoba prevzala kontrolu nad doménou, pretože bola schopná preukázať vlastníctvo prostredníctvom nastavení DNS. Konzultovali sme tento prípad a je mi ľúto, že vám nemôžeme pomôcť s týmto problémom, pretože už túto doménu nevlastníte. Ako poskytovateľ nástrojov na vytváranie obsahu a hostingových služieb spoločnosť Google nemôže sprostredkovať alebo rozhodovať spory medzi tretími stranami. Odporúčame, aby ste svoje obavy vzniesli priamo u príslušného správcu.

Ak sa domnievate, že príslušný správca nezákonne obmedzuje prístup k vášmu účtu, odporúčame vám obrátiť sa na orgány činné v trestnom konaní.

S pozdravom,
Guillermo.
Podpora Google Enterprise.

Takže v tomto bode som zaseknutý.

Čo urobím s mojím online reputáciou?

Mojím ďalším krokom je poslať osobný e-mail na adresukaždý, na koho môžem myslieť, môže byť v tomto zozname kontaktov. A možno uverejníme na webových stránkach upozornenie týkajúce sa domén, ktoré stále kontrolujem. Zdá sa však, že nemôžem robiť nič iné, než aby som zverejnil to, čo sa stalo, a pokúsil sa ospravedlniť a vysvetliť každú postihnutú osobu. Dúfam, že vyhrám bitku PR tým, že sa všeobecne známe, že Anthrocopy.com a jack@anthrocopy.com sú falošní a že skutočný Jack Busch je veľmi rozrušený a veľmi ľúto.

Učte sa z mojej chyby: Nenechajte uplynúť platnosť domén

Vždy som si kupoval domény ako blázon, kedykoľvek Godaddymal predaj názvu domény 99 centov alebo som myslel na zábavný nápad pre web. Teraz si uvedomujem, že každý z nich je trochu zodpovedný. Každý z nich, ktorý vlastním, a potom ho odmietnem, sa stane cestou, ako si niekto môže zvoliť moju totožnosť. S Anthrocopy, ktorý bol jediný, s ktorým som zaregistroval účet Google Apps, sa táto doména, ktorú som si kúpil pred štyrmi rokmi a ktorá uplynula, stala obrovskou zraniteľnosťou.

Širšie ponaučenie z tohto je nikdy nenechať starnúťúčty vypršia alebo vyprší. Majte karty na každom účte, ktorý vytvoríte online. Ak sa rozhodnete účet prestať používať, odstráňte ho. Nedôverujte poskytovateľovi služieb, aby údaje zlikvidoval, keď už pre vás nebudú užitočné. Či už ide o starý účet Twitter, starý účet Facebook (prečítajte si náš článok o tom, ako natrvalo odstrániť váš účet Facebook), starý blog Xanga alebo dokonca starý účet AOL, teraz ho vykopajte a vymažte, alebo ho aspoň vyčistite z akýchkoľvek osobných údajov. Na webe sú strážcovia nálezov a to, čo stratíte, bude príliš malé množstvo zemiakov na zapojenie orgánov činných v trestnom konaní.

Odporúčanie spoločnosti Google

Aj keď si vážim, ako rýchlo Googlepredstaviteľ ma oslovil, som sklamaný, že už nie sú k dispozícii žiadne ďalšie prostriedky. Jedna vec je kúpiť nehnuteľnosť, ktorú niekto opustil. Je to ďalšia vec, ktorú si môžeme kúpiť, a potom prevziať svoju totožnosť. Uvedomujem si, že som mal byť viac ostražití vo vzťahu k svojim starým neaktívnym účtom, ale myslím si, že by bolo produktívne pravidlo mať dátum vypršania platnosti aj na neaktívnych účtoch. Antroskopiu som zaregistroval pred štyrmi rokmi a prestal som ju úplne používať pred viac ako dvoma rokmi. Myslím si, že by pre mňa nebolo nepríjemné, keby mi Google zaslal rýchly e-mail: „Hej, stále to používate? Ak nie, odstránime ho. “

Myslím si, že by to mala byť politika pre čokoľvek. Twitter, Facebook, MySpace, Gmail atď. Pre opustené účty by sa malo vykonať administratívne vyčistenie údajov. Táto zásada by mala byť vopred dohodnutá z hľadiska služieb a pravdepodobne by ste mohli dať možnosť zakázať automatické mazanie neaktívnych účtov.

Viem si predstaviť, že takéto útoky prebiehajúpráve teraz a bude sa vyskytovať dovtedy, kým nebudeme všetci múdri a odstraňujeme staré účty (tučné šance) alebo poskytovatelia služieb nezačnú implementovať opatrenia, ktoré zabránia návratu zombie účtov a jedeniu mozgu našich bývalých kolegov spamom (alebo horším).

záver

Urobil som chybu a naučil som sa lekciu. Snažím sa robiť kontrolu škôd a zabrániť tomu, aby sa to opakovalo. Ale ak ste mali podobnú skúsenosť alebo máte ďalšie informácie alebo návrhy, rád by som to vedel.