Varning: Utgått domäner är enkla val för hackare

Jag lärde mig en svår lektion den här veckan. Lång historia kort, en spammare från Vietnam har kapat mitt Google Apps for Domains (nu kallad Google Apps for Business) -konto och skickar för närvarande e-postmeddelanden från min gamla e-postadress (jack@anthrocopy.com) komplett med min signatur, telefonnummer ochnamn och allt på det. Anthrocopy.com var ett informellt dba-namn som jag använde för flera år sedan för min frilansskrivningsverksamhet, men jag fasade långsamt ut det och lät domänen upphöra. Nu har någon annan flyttat till platsen, eremitkrabba-stil, och kontaktar förmodligen alla mina gamla affärskontakter om billig Viagra.

Jag kontaktade Google om det och deras officiella svar var "Jag är ledsen att säga att vi inte kan hjälpa dig med det här problemet eftersom du inte äger den domänen längre."

Rimligt nog. När allt kommer omkring låter jag domänen löpa ut och låter därmed någon annan köpa den, och på det sättet låter jag dem kommandera mitt gamla Gmail-konto, Google Docs-konto och alla andra tredjeparts webbtjänster som jag kanske har använt Google-autentisering för att logga in . Googles tekniska support rekommenderade att jag kontaktar brottsbekämpning, men jag tror att FBI har större fisk att steka än vissa vietnamesiska spammare som låtsas vara en mild manad frilansförfattare.

Så det verkar som det enda sättet kvar för migvar att sprida ordet att jag hade blivit kapad och i processen kanske tillhandahåller ett offentligt tillkännagivande om att låta dina domänregistreringar upphöra utan att avveckla alla andra tillhörande tjänster. Detaljerna om dessa två ansträngningar följer.

Varför får jag misslyckade leveransmeddelanden för e-postmeddelanden som jag inte skickade?

Jag är inte säker på varför det hände mig, men på sistoneJag har fått många misslyckade leveransmeddelanden eller autosvar på kontoret för e-postmeddelanden som jag aldrig skickat. En av dessa e-postmeddelanden är det som tippade mig till det faktum att någonting som inte fanns med min online identitet.

E-post Spoofing kontra kompromiserat e-postkonto

De första par som jag fick var ett enkelt fall av e-post spoofing. Det vill säga att någon skickade e-postmeddelanden säger att de var från mig, men rubrikernae-postmeddelandet bevisade att de verkligen inte skickades från mitt konto. E-postforfalskning är en vanlig, ofta automatiserad attack, och är mestadels ofarlig, eftersom de flesta e-postservrar vet hur man identifierar en förfalskad e-post. SPF-poster kan hjälpa denna ansträngning.

Här är ett exempel på ett enkelt falskt e-postmeddelande:

Leveransen har misslyckats med dessa mottagare eller grupper:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
E-postadressen du angav kunde inte hittas. Kontrollera mottagarens e-postadress och försök skicka meddelandet igen. Om problemet kvarstår, kontakta din support.
Diagnosinformation för administratörer:
Genererar server: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; hittades inte ##
Originalmeddelande rubriker:
Mottaget: från ecsdel01.appriver.com (72.32.253.39) via mail.higginbotham.net
(10.5.2.56) med Microsoft SMTP-server-id 14.1.218.12; Tis 29 april 2014
00:41:57 -0500
Mottaget: från [10.238.8.145] (HELO inbound.appriver.com) av
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) med ESMTP-id 401638471
för teddy-metsseuk@gammoninsurance.com; Tis 29 april 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56 AM
X-policy: higginbotham.net
X-Primär: teddy-metsseuk@higginbotham.net
X-Obs: Det här e-postmeddelandet skannades av AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analys: 0, 97.67.222.18, ful c = 0,425302 p = 0,483871 Källa Normal
X-Signature-Violations: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Fail: 0 Chk: 1342 av totalt 1342
X-Obs: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Warn: BOUNCETRACKER Spårning av Bounce-användare hittades
X-varning: OPTOUT
X-Warn: REVDNS Ingen omvänd DNS-post för 97.67.222.18
X-Warn: HELOBOGUS HELO-kommando utfärdad utan domän.
X-varning: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
X-Obs: Skräpprogram misslyckades: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: FÖRENADE STATER-> FÖRENTA STATER
X-Obs-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Obs: Användarregelträffar:
X-Obs: Globala regelträffar: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Obs: Kryptera regelträffar:
X-Obs: Mail Class: VALID
X-Obs: Injektionshuvud
Mottaget: från [97.67.222.18] (HELO [97.67.222.18]) av inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) med ESMTP-id 191929257 för
teddy-metsseuk@gammoninsurance.com; Tis 29 april 2014 00:41:56 -0500
Från: DrOZNetwork Nyhetsbrev <teddy-metsseuk@anthrocopy.com>
Till: <teddy-metsseuk@gammoninsurance.com>
Ämne: Du kommer att förlora minst en storlek var fjorton dagar
Datum: Tis 29 april 2014 01:41:57 -0400
Lista bort prenumeration: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
MIME-version: 1.0
Svara till: "DrOZNetwork-nyhetsbrev" <svar-teddy-metsseuk@anthrocopy.com>
x-jobb: 00645_45748849
Meddelande-ID: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Innehållstyp: multipart / alternativ; gräns =”MeDnwMAYvTCJ = _ ?:”
Returväg: teddy-metsseuk@anthrocopy.com

Men då fick jag en misslyckad leveransmeddelande som inkluderade det ursprungliga meddelandet. Och jag märkte att den hade en verklig e-postadress som jag en gång använde (jack@anthrocopy.com) och min e-postsignatur också. Detta var bevis på att inte bara någon sa att de var jag, de skickade faktiskt legitima e-postmeddelanden från min gamla adress. Det skickades faktiskt via Gmail.

Hur kan detta vara? Det verkade som om mitt gamla Google Apps for Domains-konto hade referenser för min fortfarande aktiva huvud-e-postadress i den. Inte bra.

Först var jag orolig för att jag hade en datorsom nyligen gavs till en vän missbrukades. Men jag letade upp IP-adressen (1.54.46.59) från avsändarens rubrik, och det verkade som e-postmeddelandet skickades från någon i Vietnam. Jag kontrollerade min StatCounter-logg och fann också att hackaren hade besökt min webbsida:

Det verkar som att någon är specifikt ochförsöker ständigt stjäla min identitet. Jag har ingen aning om varför. Men genom att stjäla Anthrocopy.com från mig och mitt tillhörande Google Apps for Domains-konto verkar det som om de har gjort några framsteg.

Hur hackare kan få åtkomst till din Gmail genom att köpa en löpt ut domän

Google Apps för domäner skiljer sig från ennormalt Gmail- eller Google Docs-konto eller Google Drive-konto eftersom det är kopplat till en domän som du kanske har registrerat från ett annat företag än Google. Tillbaka 2010 registrerade jag Anthrocopy.com på Namecheap.com. Efter att jag avslutat min frilanskarriär för att arbeta som heltidsteknisk författare, låter jag domänen upphöra. På något sätt fick hackaren veta att jag hade ett Google Apps for Domain-konto, även om jag inte längre ägde domänen. Så den 20 juni 2014 köpte någon det via moniker.com, enligt Whois.

Det är rättvist spel. Om jag inte vill ha ett domännamn längre kan någon annan köpa det. Men de tog det ett steg längre och hackade till mitt Google Apps for Domains-konto. De gjorde detta genom att använda Google Apps for Business-kontoåterställningsformuläret, vilket ger dig tillgång till alla Google Apps-konton om du kan bevisa att du äger ett domännamn. Istället för att använda en lösenordsåterställning eller ett lösenordstips kan du bara skapa en CNAME-post för domänen som bevisar att du äger domänen. Därefter ger Google dig nycklarna till kontot. För 10 dollar har någon i Vietnam just fått tillgång till alla mina gamla Gmail-inställningar, historik och sparade inloggningsuppgifter.

Återställa ett kapade Google Apps for Business-konto

Spoiler varning: det finns inget sätt att återställa ett kompromissat Google Apps for Business-konto. Om någon äger domänen äger de tillhörande Google Apps for Business-konto. Det är Googles ståndpunkt om det, och jag håller inte mycket om, men jag har inte övertygat dem om att göra någonting åt det ännu.

När jag fick veta vad som hade hänt kontaktade jagGoogle Enterprise Support via detta formulär. Cirka 12 timmar senare (på en lördag, inte illa), fick jag ett samtal från en vänlig kollega som exakt återkallade min incident. Tyvärr sa han till mig att jag inte kunde göra något om jag inte kunde bevisa att jag ägde domänen. Jag sa till honom att jag inte brydde mig om domänen, jag ville bara ha min personliga och professionella information och referenser från den slumpmässiga personens händer. Tekniken sa att han skulle eskalera situationen, men kort därefter fick jag följande e-post:

Hej Jack,

Tack för att du besvarade mitt samtal. Jag förstår att du var ägare till "anthrocopy.com" och skapade ett Google Apps-konto med den domänen men du förnyade inte det så att någon annan registrerade sig och tog kontroll över ditt Google Apps-konto.

Enligt vår konversation, för att ha enGoogle Apps-konto måste du äga den domän du kopplar för att använda. En annan person tog kontroll över domänen eftersom hon / han kunde bevisa ägande via DNS-inställningar. Jag har konsulterat det här fallet och jag är ledsen att säga att vi inte kan hjälpa dig med det här problemet eftersom du inte äger den domänen längre. Som leverantör av verktyg för skapande av innehåll och webbhotell är Google inte i stånd att förmedla eller bedöma tvister mellan tredje parter. Vi rekommenderar att du tar upp dina problem direkt med administratören i fråga.

Om du tror att administratören i fråga olagligt begränsar åtkomsten till ditt konto, rekommenderar vi att du kontaktar brottsbekämpning.

Vänliga hälsningar,
Guillermo.
Google Enterprise Support.

Så just nu är jag fast.

Vad ska jag göra om min online-rykte?

Mitt nästa steg är att skicka ett personligt e-postmeddelande tillalla jag kan tänka på det kan finnas i den kontaktlistan. Och kanske lägger ett meddelande på webbplatserna för de domäner som jag fortfarande kontrollerar. Men förutom det ser det ut som det inte finns mycket jag kan göra, annat än att offentliggöra vad som hände och försöka be om ursäkt och förklara för varje person som drabbats. Jag hoppas vinna PR-striden genom att göra det allmänt känt att Anthrocopy.com och jack@anthrocopy.com är falska och att den verkliga Jack Busch är väldigt upprörd och väldigt ledsen.

Lär dig av Mina misstag: Don’t Let Domains Lapse

Jag brukade köpa domäner som galen när Godaddyhade en försäljning av domännamn på 99 cent eller jag tänkte på en rolig idé för en webbplats. Nu inser jag att var och en av dem är något ansvar. Var och en som jag äger och sedan förnekar blir en väg för någon att kooperera min identitet. Med Anthrocopy, som var den enda jag registrerade ett Google Apps-konto med, förvandlades den domänen som jag köpte för fyra år sedan och lade ut till en enorm sårbarhet.

Den bredare lektionen härifrån är att aldrig låta gamlakonton förfaller eller löper ut. Håll koll på alla konton du skapar online. Om du väljer att sluta använda kontot tar du bort det. Lita inte på att tjänsteleverantören ska skräpa dina data när de inte längre är användbara för dig. Oavsett om det är ett gammalt Twitter-konto, ett gammalt Facebook-konto (läs vår artikel om hur du tar bort ditt Facebook-konto permanent), en gammal Xanga-blogg eller till och med ett gammalt AOL-konto, gräva upp det nu och ta bort det, eller åtminstone skrubba det från personlig information. På webben är det fyndare, och det du förlorar är för lite potatis för att brottsbekämpande kan engagera sig.

Rekommendation till Google

Medan jag uppskattar hur snabbt en Googlerepresentant räckte ut till mig, jag är besviken över att det inte finns någon ytterligare möjlighet. Det är en sak att köpa en fastighet som någon har övergivit. Det är en annan sak att kunna köpa upp den egendomen och sedan anta sin identitet efteråt. Jag inser att jag borde ha varit mer vaksam om mina gamla, inaktiva konton, men jag känner att det vore en produktiv policy att ha ett utgångsdatum för inaktiva konton också. Jag registrerade Anthrocopy för fyra år sedan och slutade använda den helt för mer än två år sedan. Jag tror då att det inte skulle vara irriterande för Google att skicka ett snabbt e-postmeddelande: “Hej, använder du fortfarande det här? Om inte, tar vi bort det. "

Jag tycker att detta borde vara policyn för vad som helst. Twitter, Facebook, MySpace, Gmail osv. Det bör finnas en administrativ rensning av data för övergivna konton. Den här policyn borde vara på förhand med servicevillkoren och du kanske kan ge möjlighet att inaktivera automatisk radering av inaktiva konton.

Jag föreställer mig att attacker som dessa pågårjust nu och kommer att fortsätta att inträffa tills vi alla klickar upp och tar bort gamla konton (fet chans) eller tjänsteleverantörer börjar genomföra åtgärder för att förhindra att zombiekonton kommer tillbaka och äter hjärnan från våra tidigare kollegor med skräppost (eller värre).

Slutsats

Jag gjorde ett misstag och lärde mig min lektion. Jag gör mitt bästa för att utföra skadekontroll och förhindra att detta händer igen. Men om du har haft en liknande upplevelse eller har ytterligare inblick eller förslag skulle jag gärna vilja veta.