Упозорење: Истечени домени лако су изабрани за хакере

Тешку лекцију сам научио ове недеље. Укратко, спамер из Вијетнама украо је мој Гоогле Аппс за домене (који се сада назива Гоогле Аппс фор Бусинесс) и тренутно шаље е-пошту људима са моје старе адресе е-поште (јацк@антхроцопи.цом) заједно са мојим потписом, бројем телефона ииме и све на њему. Антхроцопи.цом је било неформално дба име које сам пре година користио за своје самостално писање посла, али полако сам га укинуо и пустио да домен истекне. Сада се у то место уселио неко други, пустињачки-раковички стил и вероватно контактира све моје старе пословне контакте око јефтине Виагре.

Јавио сам се Гооглеу због тога и њихов званични одговор је био „Жао ми је што вам могу рећи да вам не можемо помоћи у вези с тим проблемом јер више не поседујете тај домен“.

Поштено. Уосталом, дозволио сам да домен истекне, те на тај начин дозвољавам да га купи неко други, и чинећи то, дозвољавам им да заповеду мој стари Гмаил налог, Гоогле Доцс налог и било коју другу веб услугу треће стране за коју сам се можда користио Гоогле аутентификацијом за пријаву . Гоогле техничка подршка препоручила је да контактирам полицијску службу, али мислим да ФБИ има већу рибу за пржење од неког вијетнамског нежељеног поштара који се претвара да је благонаклони слободни писац.

Дакле, чини ми се да је једини захтев за повраћај преостаобило је ширење речи да сам отет и можда у току процеса пружити саопштење о јавном сервису о пуштању регистрације вашег домена без укидања свих осталих повезаних услуга. Следе детаљи о та два напора.

Зашто добивам неуспјеле обавијести о испоруци за е-поруке које нисам послао?

Нисам сигуран зашто ми се то догодило, али у последње време,Добијао сам доста неуспелих обавештења о испоруци или аутоматски одговоре на службене адресе за е-поруке које никада нисам послао. Један од тих мејлова је оно што ме наговештавало да се нешто лоше догодило с мојим интернетским идентитетом.

Спооф е-поште у односу на компромитовани рачун е-поште

Првих неколико случајева које сам примио били су једноставан случај преваре путем е-поште. То јест, неко је слао е-пошту говорећи да су од мене, али заглавцие-маил је доказао да им заиста нису послани са мог налога. Превара путем е-поште уобичајен је, често аутоматизовани напад и углавном је безопасна, јер већина послужитеља поште зна како препознати спофирани е-маил. СПФ записи могу помоћи овом напору.

Ево примера једноставне спооф поруке е-поште:

Испорука није стигла до примаоца или група:
тедди-метссеук@гаммонинсуранце.цом <маилто: тедди-метссеук@гаммонинсуранце.цом>
Е-маил адресу коју сте унели није могуће пронаћи. Проверите примаочеву е-маил адресу и покушајте да је поново пошаље. Ако се проблем настави, обратите се служби за помоћ.
Дијагностичке информације за администраторе:
Генерисање сервера: хиггинботхам.нет
тедди-метссеук@гаммонинсуранце.цом
# 550 5.1.1 РЕСОЛВЕР.АДР.РеципНотФоунд; није пронађен ##
Оригиналне заглаве поруке:
Примљено: од ецсдел01.аппривер.цом (72.32.253.39) од маил.хиггинботхам.нет
(10.5.2.56.) Са Мицрософт СМТП сервером ИД 14.1.218.12; Уторак, 29. април 2014
00:41:57 -0500
Примљено: од [10.238.8.145] (ХЕЛО инбоунд.аппривер.цом) од
ецсдел01.аппривер.цом (ЦоммуниГате Про СМТП 5.3.12) са ЕСМТП ид 401638471
за тедди-метссеук@гаммонинсуранце.цом; Уторак, 29. април 2014. 00:41:58 -0500
Кс-Ноте-АР-СцанТимеЛоцал: 29.4.2014 12:41:56
Кс-политика: хиггинботхам.нет
Кс-Примари: тедди-метссеук@хиггинботхам.нет
Кс-напомена: Овај е-маил је скенирао АппРивер СецуреТиде
Кс-вирус скенирање: В-
Кс-Ноте-СнифферИД: 100
Кс-ГБУдб-анализа: 0, 97.67.222.18, ружно ц = 0.425302 п = 0.483871 Извор Нормал
Кршења Кс-потписа: 100-5950968-462-494-м
100-5948747-463-494-м
100-5946619-2051-2065-м
100-5946619-7869-7883-м
100-5946619-9947-9961-м
100-5946619-11129-11143-м
100-5950968-0-11316-ф
Кс-Ноте-419: 0 мс. Неуспех: 0 Цхк: 1342 од 1342 укупно
Кс-Ноте: СЦХ-ЦТ / СИ: 0-1342 / СГ: 1 29.4.2014. 12:41:55
Кс-Варн: Пронађено је праћење корисника БОУНЦЕТРАЦКЕР
Кс-упозорење: ОПТОУТ
Кс-Варн: РЕВДНС Нема повратног ДНС записа за 97.67.222.18
Кс-Варн: ХЕЛОБОГУС наредба ХЕЛО издата без домена.
Кс-упозорење: БУЛКМАИЛЕР
Кс-упозорење: ТЕЖА10
Кс-упозорење: ТЕЖА15
Кс-Ноте: Испитивање нежељене поште није успело: БОУНЦЕТРАЦКЕР, ОПТОУТ, РЕВДНС, ХЕЛОБОГУС, БУЛКМАИЛЕР, ВЕИГХТ10, ВЕИГХТ15
Кс-Цоунтри-Патх: УЈЕДИЊЕНЕ ДРЖАВЕ-> УЈЕДИЊЕНЕ ДРЖАВЕ
Кс-Ноте-Слање-ИП: 97.67.222.18
Кс-Ноте-Реверсе-ДНС:
Кс-Ноте-Ретурн-Патх: тедди-метссеук@антхроцопи.цом
Кс-Ноте: Хитови правила корисника:
Кс-Ноте: Хитови глобалног правила: Г327 Г328 Г329 Г330 Г332 Г337 Г384 Г405 Г417 Г419 Г427 Г437 Г438 Г479
Кс-Ноте: Шифрирање правила поседова:
Кс-напомена: Класа поште: ВАЛИД
Кс-напомена: убризгавају се заглавља
Примљено: од [97.67.222.18] (ХЕЛО [97.67.222.18]) од инбоунд.аппривер.цом
(ЦоммуниГате Про СМТП 5.4.1) са ЕСМТП ид 191929257 фор
тедди-метссеук@гаммонинсуранце.цом; Уторак, 29. април 2014. 00:41:56 -0500
Од: ДрОЗНетворк Невслеттер <тедди-метссеук@антхроцопи.цом>
За: <тедди-метссеук@гаммонинсуранце.цом>
Тема: Изгубит ћете се најмање у свакој вечери
Датум: Уторак, 29. април 2014. 01:41:57 -0400
Лист-Откажите претплату: <маилто: лефт-б3дб3ц9506б063бце889д7-978бе4013це282фцд5д6-256ааб091бе3е6ц64а2ц8-а86ф159б1д43а9б5ф2-б4б398@леаве.е.гаммонинсуранце.цом
МИМЕ-верзија: 1.0
Одговори до: „ДрОЗНетворк Невслеттер“ <репли-тедди-метссеук@антхроцопи.цом>
к-посао: 00645_45748849
ИД поруке: <а0ц7833а-67бб-цф14-ф329-40а11еб37ц6а@гаммонинсуранце.цом.лоцал>
Тип садржаја: вишестатни / алтернативни; бордер = "МеДнвМАИвТЦЈ = _ ?:"
Повратни пут: тедди-метссеук@антхроцопи.цом

Али тада сам примио неуспелу доставуобавештење које је укључивало оригиналну поруку. И приметио сам да има стварну адресу е-поште коју сам некада користио (јацк@антхроцопи.цом) и свој е-маил потпис такође. Ово је био доказ да не само да је неко рекао да сам ја, већ су заправо слали легитимне е-поруке са моје старе адресе. Заправо је послата преко Гмаил-а.

Како би то могло бити? Изгледало је да мој стари Гоогле Аппс за домене има акредитиве за моју још увек активну главну адресу е-поште у њему. Није добро.

Прво сам се бринуо да ли имам рачунарнедавно предана пријатељу злостављана је. Али погледао сам ИП адресу (1.54.46.59) из заглавља пошиљаоца и чини се да је е-маил послан од некога из Вијетнама. Проверио сам свој СтатЦоунтер дневник и такође сам утврдио да је хакер посетио моју веб страницу:

Чини се да је неко конкретно иупорно покушавам да ми украду идентитет. Немам појма зашто. Али крађу Антхроцопи.цом од мене и мог повезаног налога за Гоогле Аппс за домене, чини се да су направили неки напредак.

Како хакери могу приступити вашем Гмаилу купујући истекли домен

Гоогле Аппс за домене разликује се одуобичајени Гмаил или Гоогле Доцс или Гоогле Дриве налог јер је повезан са доменом коју сте можда регистровали од компаније која није Гоогле. Још 2010. године регистровао сам Антхроцопи.цом помоћу Намецхеап.цом. Након што сам прекинуо слободну каријеру да радим као стални технички писац, пустио сам да домен истекне. Некако је хакер открио да имам рачун за Гоогле Аппс за домену иако више нисам власник домена. Дакле, 20. јуна 2014, неко га је купио преко моникер.цом, преноси Вхоис.

То је фер игра. Ако више не желим име домена, неко други га је слободан купити. Међутим, направили су корак даље и упали у мој рачун за Гоогле Аппс за домене. То су учинили коришћењем обрасца за опоравак налога за Гоогле Аппс фор Бусинесс, који ће вам омогућити приступ било којем Гоогле Аппс налогу ако можете доказати да имате име домене. Уместо да користите лозинку за поништавање или наговештај лозинке, можете једноставно да креирате ЦНАМЕ запис за домен који доказује да сте власник домена. Затим вам Гоогле даје кључеве рачуна. За 10 долара, неко у Вијетнаму је управо добио приступ свим мојим старим Гмаил подешавањима, историји и сачуваним повериоцима за пријаву.

Опоравак отетог Гоогле Аппс фор Бусинесс рачуна

Упозорење за спојлер: не можете да вратите компромитовани налог за Гоогле Аппс фор Бусинесс. Ако неко има домен, власник је повезаног рачуна за Гоогле Аппс фор Бусинесс. То је Гоогле-ово стајалиште о томе, а ја се не слажем с тим, али још увек их нисам убеђивао да учине било шта у вези с тим.

Када сам сазнао шта се догодило, контактирао самПодршка за Гоогле Ентерприсе путем овог обрасца. Око 12 сати касније (у суботу, није лоше), примио сам позив од љубазне колеге који је тачно поновио мој инцидент. Нажалост, рекао ми је да не могу ништа учинити ако не могу доказати да сам власник домене. Рекао сам му да ме не занима домен, само желим да моје личне и професионалне информације и веродостојности буду из руку те случајне особе. Техничар је рекао да ће ескалирати ситуацију, али убрзо након тога, добио сам следећи емаил:

Здраво Јацк,

Хвала што сте се одазвали мом позиву. Разумијем да сте били власник „антхроцопи.цом“ и створили сте Гоогле Аппс налог користећи тај домен, али нисте га обновили да би се неко други регистровао и преузео контролу над вашим Гоогле Аппс налогом.

Према нашем разговору, да бисмо ималиГоогле Аппс налог морате да поседујете домен који користите. Још једна особа преузела је контролу над доменом откад је могла да докаже власништво путем поставки ДНС-а. Саветовао сам се у овом случају и жао ми је што вам могу рећи да вам не можемо помоћи с тим проблемом јер више не поседујете тај домен. Као добављач алата за креирање садржаја и услуга хостинга, Гоогле није у могућности да посредује или одлучује о споровима између трећих страна. Препоручујемо да своје бриге поставите директно са спорним администратором.

Ако сматрате да дотични администратор незаконито ограничава приступ вашем налогу, препоручујемо да се обратите полицији.

С поштовањем,
Гуиллермо.
Гоогле Ентерприсе подршка.

Дакле, у овом тренутку сам заглавио.

Шта да радим у вези са својом мрежном репутацијом?

Мој следећи корак је слање личног е-маила насви на које могу помислити могу бити на тој листи контаката. А можда објавити обавештење на веб локацијама за домене које још увек контролишем. Али осим тога, чини се да не могу ништа друго осим да изнесем у јавност оно што се догодило и да покушам да се извиним и објасним свакој погођеној особи. Надам се да ћу победити у борби за ПР тако што ћу дати до знања да су Антхроцопи.цом и јацк@антхроцопи.цом лажни и да је прави Јацк Бусцх веома узнемирен и врло жао.

Сазнајте из мојих грешака: не дозволите да се домене истекну

Купио сам домене попут луда кад год је билоимао 99-постотну продају домена или сам смислио смешну идеју за веб локацију. Сада схватам да је сваки од њих донекле одговоран. Свака особа коју поседујем, а затим одустајем, постаје пут некоме да кооптира мој идентитет. Уз Антхроцопи, који је био једини код кога сам регистровао Гоогле Аппс налог, тај домен који сам купио пре четири године и пустио да истекне претворио се у велику рањивост.

Шира лекција овога је да никада не дозволимо да се старарачуни престају или истјечу. Држите картице на сваком рачуну који отворите на мрежи. Ако одлучите да престанете са коришћењем налога, избришите га. Не верујте добављачу услуга да смеће ваше податке након што вам више не буду корисни. Било да се ради о старом Твиттер налогу, старом Фацебоок налогу (прочитајте наш чланак о трајном брисању вашег Фацебоок налога), старом блогу Ксанга или чак старом АОЛ налогу, ископите га сада и избришите или га барем очистите. од било каквих личних података. На мрежи су власници трагача, а оно што изгубите биће премало кромпира да би се законске службе укључиле.

Препорука Гоогле-у

Иако ценим колико брзо Гооглепредставник је посегнуо за мном, разочаран сам што нема више приговора. Једна је ствар купити некретнину коју је неко напустио. Друга ствар је моћи откупити ту некретнину и након тога преузети идентитет. Схваћам да сам требао бити пажљивији у вези са својим старим, неактивним рачунима, али сматрам да би било продуктивна политика имати и датум истека неактивних рачуна. Регистровао сам Антрокопију пре четири године и престао са коришћењем пре више од две године. Мислим да у том тренутку Гооглеу не би било неугодно да ми пошаље брзу поруку е-поште: „Хеј, још увек ово користиш? Ако не, избрисаћемо га. "

Мислим да би то требало да буде политика за било шта. Твиттер, Фацебоок, МиСпаце, Гмаил итд. Требало би да постоји административно чишћење података за напуштене налоге. Ово правило би требало да буде унапред у погледу услуге и, можда, можете дати могућност да онемогућите аутоматско брисање неактивних налога.

Замишљам да се овако нападајууправо сада и даље ће се дешавати све док не напишемо и избришемо старе рачуне (дебела шанса) или пружаоци услуга не почну да спроводе мере како би спречили повратак зомби рачуна и појели мозак наших бивших колега нежељеном снагом (или још горе).

Закључак

Погрешио сам и научио сам лекцију. Дајем све од себе да извршим контролу штете и спречим да се ово поново не догоди. Али ако сте имали слично искуство или имате додатни увид или сугестије, волео бих да знам.