Попередження: Домени з простроченим терміном для хакерів є простими
Цього тижня я засвоїв важкий урок. Коротше кажучи, спамер з В’єтнаму захопив мій обліковий запис Google Apps for Domains (тепер він називається Google Apps for Business) і наразі надсилає людям електронні листи зі моєї старої адреси електронної пошти (jack@anthrocopy.com) в комплекті з моїм підписом, номером телефону таім'я та все на ньому. Anthrocopy.com - це неформальна назва бази даних, яку я використовував багато років тому для свого позаштатного письмового бізнесу, але я повільно припинив її і дозволив домену закінчитися. Зараз хтось інший переїхав сюди, у відлюдницькому стилі, і, мабуть, зв’язується зі всіма моїми старими діловими контактами щодо дешевої Віагри.
Я зв’язався з Google щодо цього, і їхня офіційна відповідь була: "Мені шкода сказати вам, що ми не можемо допомогти вам у вирішенні цієї проблеми, оскільки ви більше не є власником цього домену".
Досить справедливо. Зрештою, я дозволяю домену закінчитися, тим самим дозволяючи комусь іншому його купувати, і, роблячи це, я дозволяю їм керувати моїм старим обліковим записом Gmail, обліковим записом Google Docs та будь-якою іншою стороннім веб-сервісом, для якого я міг використовувати автентифікацію Google для входу . Технічна підтримка Google рекомендувала мені зв’язатися з правоохоронними органами, але, на мою думку, у ФБР смажать більше риби, ніж деякі в’єтнамські спамери, які видають себе за м’якого вихователя.
Отже, це, здається, єдиний засіб, що залишився для менемав поширити інформацію про те, що мене викрали, і, в процесі, можливо, надати публічну службову заяву про те, що реєстрація вашого домену втратить чинність, не припиняючи всі інші пов’язані служби. Деталі цих двох зусиль подаються далі.
Чому я отримую сповіщення про невдалу доставку електронних листів, які я не надсилав?
Я не знаю, чому це сталося зі мною, але останнім часом,Я отримував багато сповіщень про невдалу доставку або автоматичні відповіді про відсутність пошти на електронні листи, які я ніколи не надсилав. Один із цих електронних листів - це те, що повідомило мене про те, що з моєю особистістю в Інтернеті відбувається щось недобре.
Підробка електронної пошти проти компрометованого облікового запису електронної пошти
Перші кілька, що я отримав, були простим випадком підробки електронної пошти. Тобто хтось надсилав електронні листи кажучи що вони були від мене, але заголовкиелектронною поштою доведено, що вони дійсно не надсилалися з мого облікового запису. Підробка електронної пошти є поширеною, часто автоматизованою атакою і в основному нешкідлива, оскільки більшість поштових серверів знають, як розпізнати підроблену електронну пошту. Записи SPF можуть допомогти цим зусиллям.
Ось приклад простої підробленої електронної пошти:
Не вдалося доставити листа до таких отримувачів чи груп:
teddy-metsseuk@gammoninsurance.com <mailto: teddy-metsseuk@gammoninsurance.com>
Введену електронну адресу не вдалося знайти. Перевірте адресу електронної пошти одержувача та спробуйте надіслати повідомлення повторно. Якщо проблема не зникне, зв’яжіться зі службою підтримки.
Діагностична інформація для адміністраторів:
Сервер генерації: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; не знайдено ##
Оригінальні заголовки повідомлень:
Отримано: від ecsdel01.appriver.com (72.32.253.39) на mail.higginbotham.net
(10.5.2.56) з ідентифікатором сервера SMTP Microsoft 14.1.218.12; Вівторок, 29 квітня 2014 р
00:41:57 -0500
Отримано: від [10.238.8.145] (HELO inbound.appriver.com) користувачем
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) з ідентифікатором ESMTP 401638471
для teddy-metsseuk@gammoninsurance.com; Вівторок, 29 квітня 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 29.04.2014 00:41:56
Політика X: higginbotham.net
X-Primary: teddy-metsseuk@higginbotham.net
Примітка X: Цей електронний лист відскановано AppRiver SecureTide
Сканування вірусів X: V-
X-Note-SnifferID: 100
X-GBUdb-аналіз: 0, 97.67.222.18, потворне c = 0.425302 p = 0.483871 Джерело Нормальне
Порушення підпису X: 100-5950968-462-494-м
100-5948747-463-494-м
100-5946619-2051-2065-м
100-5946619-7869-7883-м
100-5946619-9947-9961-м
100-5946619-11129-11143-м
100-5950968-0-11316-ф
X-Note-419: 0 мс. Помилка: 0 Chk: 1342 із 1342 загалом
Примітка X: SCH-CT / SI: 0-1342 / SG: 1 29.04.2014 00:41:55
X-Warn: Знайдено відстеження користувачів BOUNCETRACKER
X-Warn: OPTOUT
X-Warn: REVDNS Немає зворотного запису DNS для 97.67.222.18
X-Warn: Команда HELOBOGUS HELO видана без домену.
X-Warn: BULKMAILER
X-Warn: ВАГА10
X-Warn: ВАГА15
X-Примітка: Невдалі тести на спам: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: Сполучені Штати-> США
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
Примітка X: Перегляди правил користувача:
X-Note: Загальні правила: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
Примітка X: Шифрування звернень за правилами:
Примітка X: Клас пошти: ДІЙСНИЙ
Примітка X: Вводяться заголовки
Отримано: від [97.67.222.18] (HELO [97.67.222.18]) від inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) з ідентифікатором ESMTP 191929257 для
teddy-metsseuk@gammoninsurance.com; Вівторок, 29 квітня 2014 00:41:56 -0500
Від: Інформаційний бюлетень DrOZNetwork <teddy-metsseuk@anthrocopy.com>
Кому: <teddy-metsseuk@gammoninsurance.com>
Тема: Ви втратите щонайменше кожного розміру кожні два тижні
Дата: Вівторок, 29 квітня 2014 01:41:57 -0400
Список скасувати: <mailto: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com
Версія MIME: 1.0
Відповідь: «Інформаційний бюлетень DrOZNetwork» <reply-teddy-metsseuk@anthrocopy.com>
x-job: 00645_45748849
Ідентифікатор повідомлення: <a0c7833a-67bb-cf14-f329-40a11eb37c6a@gammoninsurance.com.local>
Тип вмісту: багаточастинний / альтернативний; border = ”MeDnwMAYvTCJ = _ ?:”
Зворотний шлях: teddy-metsseuk@anthrocopy.com
Але потім я отримав невдалу доставкуповідомлення, яке включало оригінальне повідомлення. І я помітив, що у нього була фактична електронна адреса, яку я колись використовував (jack@anthrocopy.com), і мій електронний підпис теж. Це було свідченням того, що хтось не тільки казав, що це я, вони насправді надсилали законні електронні листи зі моєї старої адреси. Насправді його надіслали через Gmail.
Як це могло бути? Здавалося, у моєму старому обліковому записі Google Apps for Domains були дані про мою все ще активну основну електронну адресу. Не добре.
По-перше, я переживав, що у мене є комп’ютернещодавно подарований другові знущався. Але я подивився IP-адресу (1.54.46.59) у заголовку відправника, і виявилося, що електронний лист надіслано від когось із В’єтнаму. Я перевірив свій журнал StatCounter і також виявив, що хакер відвідував мою веб-сторінку:
Здається, хтось конкретно інаполегливо намагався викрасти мою особу. Я не уявляю, чому. Але, викравши Anthrocopy.com у мене та мого пов’язаного облікового запису Google Apps for Domains, схоже, вони досягли певного прогресу.
Як хакери можуть отримати доступ до вашого Gmail, купуючи домен, термін дії якого закінчився
Служби Google для доменів відрізняються відзвичайний обліковий запис Gmail або Google Docs або Google Drive, оскільки він пов’язаний з доменом, який ви могли зареєструвати в іншій компанії, ніж Google. Ще в 2010 році я зареєстрував Anthrocopy.com на Namecheap.com. Після того, як я закінчив кар’єру фрілансера, працюючи штатним технічним автором, дозволив домену закінчитися. Якось хакер дізнався, що у мене є обліковий запис Google Apps for Domain, хоча я більше не належав домену. Тож 20 червня 2014 року хтось купив його через moniker.com, повідомляє Whois.
Це чесна гра.Якщо я більше не хочу доменного імені, хтось інший може вільно його придбати. Однак вони зробили крок далі і зламали мій обліковий запис Google Apps for Domains. Вони зробили це за допомогою форми відновлення облікового запису Google Apps for Business, яка надасть вам доступ до будь-якого облікового запису Google Apps, якщо ви зможете довести, що ви є власником доменного імені. Замість того, щоб використовувати скидання пароля або підказку для пароля, ви можете просто створити запис CNAME для домену, який підтверджує, що ви є власником домену. Потім Google надає вам ключі від облікового запису. За 10 доларів хтось у В’єтнамі щойно отримав доступ до всіх моїх старих налаштувань Gmail, історії та збережених облікових даних для входу.
Відновлення викраденого облікового запису Google Apps for Business
Спойлер попередження: немає можливості відновити скомпрометований обліковий запис Google Apps for Business. Якщо хтось володіє доменом, він володіє пов’язаним обліковим записом Google Apps for Business. Це позиція Google щодо цього, і я категорично не погоджуюсь, але я ще не переконав їх нічого з цим робити.
Дізнавшись, що сталося, я зв’язавсяПідтримка Google Enterprise через цю форму. Приблизно через 12 годин (у суботу, непогано) мені зателефонував приятель, який точно підсумував мій випадок. На жаль, він сказав мені, що я нічого не можу зробити, якщо я не зможу довести, що володію доменом. Я сказав йому, що мене не хвилює домен, я просто хочу, щоб моя особиста та професійна інформація та облікові дані були в руках цієї випадкової людини. Технолог сказав, що він загострить ситуацію, але незабаром після цього я отримав такий електронний лист:
Привіт Джеку,
Дякую, що відповіли на мій дзвінок. Я розумію, що ви були власником веб-сайту „anthrocopy.com” і створили обліковий запис Google Apps за допомогою цього домену, але не продовжили його, тому хтось інший зареєструвався та взяв під контроль ваш обліковий запис Google Apps.
Відповідно до нашої розмови, щоб матиОбліковий запис Google Apps потрібно мати у власності домену, який ви пов'язуєте. Інша особа взяла під контроль домен, оскільки вона / вона змогла довести право власності через налаштування DNS. Я проконсультувався у цій справі, і мені шкода сказати, що ми не можемо допомогти вам у вирішенні цієї проблеми, оскільки ви більше не є власником цього домену. Як постачальник інструментів для створення вмісту та хостингових послуг, Google не може здійснювати посередницьку діяльність або вирішувати суперечки між третіми сторонами. Рекомендуємо звертатися безпосередньо до відповідного адміністратора.
Якщо ви вважаєте, що відповідний адміністратор незаконно обмежує доступ до вашого облікового запису, рекомендуємо звернутися до правоохоронних органів.
З повагою,
Гільєрмо.
Підтримка Google Enterprise.
Отже, на даний момент я застряг.
Що я буду робити щодо своєї репутації в Інтернеті?
Мій наступний крок - надіслати особистий електронний лист на адресуусі, кого я можу подумати, можуть бути в цьому списку контактів. І, можливо, опублікувати повідомлення на веб-сайтах про ті домени, які я все ще контролюю. Але крім цього, схоже, я не можу багато чого зробити, крім того, щоб оприлюднити те, що сталося, і спробувати вибачитися та пояснити кожному постраждалому. Я сподіваюся виграти PR-бітву, зробивши широко відомим, що Anthrocopy.com та jack@anthrocopy.com неправдиві і що справжній Джек Буш дуже засмучений і дуже шкодує.
Вчіться на моїх помилках: не дозволяйте доменам лапсувати
Раніше я купував домени як божевільні, щоразу, коли Годадіпродали доменні імена на 99 центів, або я придумав смішну ідею для веб-сайту. Тепер я усвідомлюю, що кожен із них є певною мірою відповідальністю. Кожна з них, якою я володію, а потім від неї відрікаюся, стає для когось способом прийняти мою особу. Завдяки Anthrocopy, який був єдиним, на який я зареєстрував обліковий запис Google Apps, той домен, який я придбав чотири роки тому і дозволив закінчитися, перетворився на величезну вразливість.
Ширший урок з цього - ніколи не пускати стареоблікові записи втрачають чи діють. Слідкуйте за кожним обліковим записом, який ви створюєте в мережі. Якщо ви вирішите припинити користуватися обліковим записом, видаліть його. Не довіряйте постачальнику послуг переносити ваші дані в кошик, коли вони вам більше не будуть корисні. Будь то старий обліковий запис Twitter, старий обліковий запис Facebook (прочитайте нашу статтю про те, як назавжди видалити свій обліковий запис Facebook), старий блог Xanga або навіть старий обліковий запис AOL, викопайте його зараз і видаліть, або принаймні очистіть з будь-якої особистої інформації. В Інтернеті це зберігачі пошукачів, і те, що ви втратите, буде занадто маленьким картоплею, щоб правоохоронні органи могли до них долучитися.
Рекомендація Google
Хоча я ціную, як швидко Googleпредставник звернувся до мене, я розчарований тим, що подальшого звернення немає. Одна справа - придбати нерухомість, від якої хтось кинув. Інша справа мати можливість викупити це майно, а потім припустити їх особу. Я усвідомлюю, що мав би бути пильнішим щодо своїх старих неактивних облікових записів, але я вважаю, що продуктивною політикою було б мати термін дії і для неактивних облікових записів. Я зареєстрував «Антрокопію» чотири роки тому і повністю перестав користуватися нею більше двох років тому. Думаю, на той момент Google не дратував би надіслати мені швидкий електронний лист: «Гей, ти все ще цим користуєшся? Якщо ні, ми видалимо його ".
Я думаю, що це повинна бути політика для будь-чого. Twitter, Facebook, MySpace, Gmail тощо. Потрібно провести адміністративне очищення даних для залишених облікових записів. Ця політика повинна бути попередньою в плані обслуговування, і, можливо, ви можете дати можливість вимкнути автоматичне видалення неактивних облікових записів.
Я думаю, що такі атаки триваютьзараз і буде продовжуватися, доки ми всі не обдумаємо і не видалимо старі облікові записи (непомітний шанс) або постачальники послуг не почнуть впроваджувати заходи, щоб запобігти поверненню облікових записів зомбі та з’їсти мізки наших колишніх колег спамом (або гірше).
Висновок
Я помилився і засвоїв свій урок. Я роблю все можливе, щоб контролювати пошкодження і не допускати цього більше. Але якщо у вас був подібний досвід або у вас є подальша інформація чи пропозиції, я хотів би знати.
Залишити коментар