Figyelmeztetés: A lejárt domainek egyszerűek a hackerek számára

Ezen a héten kemény leckét tanultam. Hosszú történet rövid, a Vietnamból származó spammer elvesztette Google Apps for Domains (jelenleg Google Apps for Business) fiókját, és jelenleg e-maileket küldi a régi e-mail címemről ( [email protected] ) az aláírásommal, telefonszámmal és nevét és mindent rajta. Az Anthrocopy.com olyan informális dba név volt, amelyet évekkel ezelőtt használtam a szabadúszó íróművem számára, de lassan eltávolítottam, és hagytam, hogy a domain lejár. Most, valaki más költözött be a helyre, a remete-rák stílus, és valószínűleg kapcsolatba lépnek az összes régi üzleti kapcsolatok olcsó Viagra.

Kapcsolatba léptem a Google-val, és hivatalos válaszuk: "Sajnálattal azt mondom, hogy nem tudunk segíteni ezzel a problémával, mivel már nem a domained van."

Elfogadható. Végül is hagytam, hogy a domain lejár, és így valaki más megvásárolja, és így engedtem, hogy irányítsák a régi Gmail-fiókomat, a Google Dokumentum-fiókot és bármely más, harmadik féltől származó webes szolgáltatást. . A Google technikai támogatója ajánlotta a bűnüldözést, de azt hiszem, az FBI-nak nagyobb halja van, mint egy vietnami spammer, aki úgy tesz, mintha enyhe formájú szabadúszó író lenne.

Tehát úgy tűnik, hogy az egyetlen megoldás maradt nekem, hogy elterjessze azt a szót, hogy átvettem, és ebben a folyamatban talán közszolgálati bejelentést nyújtanak arról, hogy a domainregisztrálások megszűnnek anélkül, hogy lefaragnák az összes többi kapcsolódó szolgáltatást. E két erőfeszítés részleteit követi.

Miért nem sikerült elküldeni az e-mailekre vonatkozó értesítéseket, amelyeket nem küldtem?

Nem tudom, miért történt velem ez a helyzet, de az utóbbi időben sok sikertelen kézbesítési értesítést kaptam, vagy az irodai automatikus válaszokat kaptam olyan e-mailekért, amelyeket soha nem küldtem. Ezek közül az e-mailek közül az egyik azt jelentette, hogy valami rossz történik az online identitásomban.

Email Spoofing - Ellenőrzött e-mail fiók

Az első néhány megkaptam egyszerű esetben az e-mail spoofing. Vagyis valaki küldött e-maileket, mondván, hogy nekem voltak, de az e-mail címsorai bizonyították, hogy tényleg nem küldték el a fiókomból. Az e-mail spoofing egy gyakori, gyakran automatizált támadás, és többnyire ártalmatlan, hiszen a legtöbb levélkiszolgáló tudja, hogyan ismeri fel a hamisított e-maileket. Az SPF rekordok segíthetik ezt az erőfeszítést.

Íme egy példa egy egyszerű hamis e-mailre:

Az informació nem jutott el a következő cimzettekhez és csoportokhoz:
[email protected]
A megadott e-mail cím nem található. Ellenőrizze a címzett e-mail címét, és próbálja meg újból elküldeni az üzenetet. Ha a probléma továbbra is fennáll, forduljon a helpdeskhez.
Diagnosztikai információk a rendszergazdák számára:
Szerver létrehozása: higginbotham.net
[email protected]
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nem található ##
Eredeti üzenet fejlécek:
Fogadott: ecsdel01.appriver.com (72.32.253.39) mail.higginbotham.net
(10.5.2.56) a Microsoft SMTP Server azonosítója 14.1.218.12; K, 2014. április 29
00:41:57 -0500
Fogadott: a [10.238.8.145] (HELO inbound.appriver.com) által
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) az ESMTP azonosítóval 401638471
a [email protected]; Kedd, 29 Ápr 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 2014.04.24. 12:41:56
X-politika: higginbotham.net
X-Primary: [email protected]
X-Megjegyzés: Ezt az e-mailt az AppRiver SecureTide szkennelte
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analízis: 0, 97, 67, 222, 18, Ugly c = 0, 425302 p = 0, 483871 Forrás Normál
X-aláírás-megsértés: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Fail: 0 Chk: 1342 összesen 1342 összesen
X-Megjegyzés: SCH-CT / SI: 0-1342 / SG: 1 2014.04.24. 12:41:55
X-Warn: BOUNCETRACKER ugrál felhasználói követés
X-Warn: OPTOUT
X-Warn: REVDNS Nem fordított DNS rekord a 97.67.222.18 verzióhoz
X-Warn: A HELOBOGUS HELO parancs nem rendelkezik domainnel.
X-Warn: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
X-Megjegyzés: Spam tesztek sikertelenek: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-országút: AMERIKAI EGYESÜLT ÁLLAMOK
X-Note-Sending-IP: 97.67.222.18
X-Note-fordított DNS:
X-Note-Return-Path: [email protected]
X-Megjegyzés: Felhasználó Szabály Találatok:
X-Megjegyzés: Globális szabálymegjelenések: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Megjegyzés: Encrypt Rule Hits:
X-Megjegyzés: Levelezési osztály: VALID
X-Megjegyzés: Fejlécek befecskendezve
Megkapott: a [97.67.222.18] (HELO [97.67.222.18]) által inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) az ESMTP azonosítószámon 191929257
[email protected]; Tue, 29 Apr 2014 00:41:56 -0500
Feladó: DrOZNetwork hírlevél
Nak nek:
Tárgy: Legalább legkevesebb méretet veszít minden negyvennéven
Dátum: 2012. április 29., csütörtök, 01:41:57 -0400
Sorolja-Leiratkozás:
MIME-verzió: 1.0
Válasz: "DrOZNetwork hírlevél"
x-feladat: 00645_45748849
Üzenet-ID:
Tartalom-típus: több rész / alternatív; boundary =”MeDnwMAYvTCJ = _ ?:”
Visszatérési útvonal: [email protected]

De akkor kaptam egy sikertelen kézbesítési értesítést, amely tartalmazza az eredeti üzenetet. És észrevettem, hogy volt egy valódi e-mail címem, amelyet egyszer használtam ([email protected]) és az e-mail aláírásom is. Ez bizonyíték volt arra, hogy nem csak azt mondták valaki, hogy én vagyok, hanem a régi címemről küldött legitim e-maileket. Ezt ténylegesen a Gmailen keresztül küldte el.

Hogy lehet ez? Úgy tűnt, hogy a régi Google Apps for Domains fiókhoz tartozó hitelesítő adatok voltak a még aktív fő e-mail címemben. Nem jó.

Először is aggódtam, hogy egy számítógépet, amelyet nemrég adtam egy barátnak, bántalmazták. De felnéztem az IP címet (1.54.46.59) a feladó fejlécéből, és úgy tűnt, hogy az e-mailt Vietnamból küldte. Megnéztem a StatCounter naplót, és azt is megállapítottam, hogy a hacker meglátogatta a weblapomat:

Úgy tűnik, hogy valaki kifejezetten és tartósan próbál ellopni személyazonosságomat. Fogalmam sincs miért. De azáltal, hogy elloptam az Anthrocopy.com-ot tőlem és a társított Google Apps for Domains fiókjával, úgy tűnik, hogy némi előrelépés történt.

Hogyan férhetnek hozzá a hackerek a Gmailhez a lejárt domain megvásárlásával?

A Google Apps for Domains eltér a szokásos Gmail- vagy Google Dokumentumoktól vagy a Google Drive-fióktól, mivel olyan tartományhoz van hozzárendelve, amelyet regisztrálhat a Google-tól eltérő vállalattól. 2010-ben regisztráltam az Anthrocopy.com-ot a Namecheap.com-ra. Miután felszabadítottam a szabadúszó karrieremet, hogy teljes munkaidős technikai íróként dolgozhassak, hagytam, hogy lejárjon a domain. A hacker valahogy megtudta, hogy rendelkezem Google Apps Domain fiókkal, még akkor is, ha már nem vagyok a domain tulajdonosa. Tehát 2014. június 20-án valaki a moniker.com-on keresztül vásárolta meg, a Whois szerint.

Ez tisztességes játék. Ha nem akarok többé domainnevet, akkor valaki más szabadon vásárolhatja meg. Azonban még egy lépést tettek, és csapkodtak a Google Apps for Domains fiókjába. Ezt a Google Apps cégeknek fiók-helyreállítási űrlap használatával végezte el, amely hozzáférést biztosít bármely Google Apps-fiókhoz, ha bebizonyíthatja, hogy Ön rendelkezik domainnévvel. Ahelyett, hogy egy jelszó-visszaállító vagy jelszó-utalást használna, létrehozhat egy CNAME-rekordot azon domain számára, amely igazolja, hogy a domain tulajdonosa. Ezután a Google megadja a fiók kulcsát. 10 dollárért Vietnamban tartózkodó valaha épp most szerezte be az összes régi Gmail-beállításomat, előzményeit és mentett bejelentkezési adatait.

Egy átszúrt Google Apps for Business fiók helyreállítása

Spoiler figyelmeztetés: nincs lehetőség a kompromisszumos Google Apps for Business-fiók visszaszerzésére. Ha valaki birtokolja a domainet, akkor a Google Apps cégeknek fiókhoz tartozik. Ez a Google álláspontja, és nagyon nem értek egyet, de nem tudtam meggyőzni őket, hogy mégis megtegyenek erről.

Amikor megtudtam, mi történt, ezzel a formanyomtatványon kapcsolatba léptem a Google Enterprise Support szolgáltatással. Körülbelül 12 órával később (szombaton, nem rosszul) hívást kaptam egy barátságos fickótól, aki pontosan lefordította az incidensemet. Sajnos azt mondta nekem, hogy nem tehetek semmit, ha nem tudnám bizonyítani, hogy a domain tulajdonában vagyok. Mondtam neki, hogy nem érdekel a domain, csak a személyes és szakmai információimat és megbízómat akartam a véletlen ember kezéből. A tech azt mondta, hogy fokozza a helyzetet, de röviddel ezután megkaptam a következő e-mailt:

Hello Jack,

Köszönöm, hogy válaszoltam a hívásomra. Tudomásul veszem, hogy Ön az 'anthrocopy.com' tulajdonosa volt, és létrehozott egy Google Alkalmazások-fiókot az adott domain használatával, de nem újította meg azt, hogy valaki más regisztrált és átvette a Google Apps-fiókját.

Beszélgetésünk szerint, ahhoz, hogy rendelkezzen a Google Apps-fiókkal, meg kell adnia a használni kívánt domaint. Egy másik személy átvette a domain vezérlését, mivel DNS-beállítások révén tudta igazolni a tulajdonjogot. Konzultáltam ezzel az ügyemmel, és sajnálom, hogy elmondom neked, hogy nem tudunk segíteni ezzel a problémával, mivel már nem a domained van. A tartalomkészítő eszközök és a tárhelyszolgáltatók számára a Google nem képes harmadik felek közötti viták közvetítésére vagy megítélésére. Javasoljuk, hogy aggodalmait közvetlenül a kérdéses rendszergazdával emelje fel.

Ha úgy gondolja, hogy a kérdéses rendszergazda jogellenesen korlátozza a fiókjához való hozzáférést, javasoljuk, hogy vegye fel a kapcsolatot a bűnüldözéssel.

Tisztelettel,
Guillermo.
Google vállalati támogatás.

Tehát ebben a pillanatban elakadok.

Mit fogok csinálni az online hírnévvel kapcsolatban?

A következő lépés az, hogy személyes e-mailt küldenek mindenkinek, akiről azt gondolhatom, hogy ez a névjegyzékben szerepelhet. És talán értesítést küldhet a webhelyekről azokon a domaineken, amelyeket még mindig felügyelek. De másként, úgy tűnik, hogy nem sok mindent tudok tenni, mint hogy nyilvánosságra hozzák a történteket, és megpróbálok elnézést kérni és elmagyarázni minden érintettnek. Remélem, hogy megnyerem a PR csatát, széles körben ismertem, hogy az Anthrocopy.com és a [email protected] hamisak, és hogy az igazi Jack Busch nagyon ideges és nagyon sajnálja.

Ismerje meg a hibáimat: Ne hagyja, hogy a tartományok lemaradjanak

Hazudtam olyan doméneket, mint az őrültek, amikor Godaddy 99 százalékos domain névértékesítéssel rendelkezett, vagy egy vicces ötletet gondoltam egy weboldalra. Most rájöttem, hogy ezek mindegyike valamilyen felelősség. Mindazok, amiket én tulajdonítok, majd elutasítanak, lehetőséget adnak arra, hogy valaki beilleszkedjen az én identitásomba. Az Anthrocopy-tal, amelyik az egyetlen, regisztráltam egy Google Alkalmazások-fiókot, négy évvel ezelőtt vásárolt domaint, és a lejárat hatalmas sebezhetővé vált.

A tágabb lecke, hogy soha ne hagyja, hogy a régi számlák elévüljenek vagy lejárjanak. Tartsuk a lapokat minden online fiókhoz. Ha úgy dönt, hogy abbahagyja a fiók használatát, törölje azt. Ne bízz a szolgáltatóban az adatok eldobásával, ha már nem hasznos az Ön számára. Függetlenül attól, hogy ez egy régi Twitter-fiók, egy régi Facebook-fiók (olvasd el a Facebook-fiókod végleges törléséről szóló cikkünket), egy régi Xanga blogot, vagy akár egy régi AOL-fiókot, vegyük fel és töröljük le, minden személyes információtól. Az interneten megtalálják a keresőket, és amit elveszít, túl kicsi a burgonya a bűnüldöző szervek számára, hogy részt vegyenek.

Ajánlás a Google-nak

Annak ellenére, hogy nagyra értékelem, hogy a Google képviselője milyen gyorsan jutott el hozzám, csalódott vagyok, hogy nincs további igény. Egy dolog, hogy megvásárolj egy olyan ingatlanot, amelyet valaki elhagyott. Egy másik dolog, hogy képesek legyenek megvásárolni azt az ingatlant, és utána átvennék a személyazonosságukat. Rájöttem, hogy inkább ébernek kellene lennem a régi, inaktív beszámolóimban, de úgy érzem, olyan produktív politika lenne, amellyel az inaktív beszámolók lejárati dátumát is elérheti. Négy évvel ezelőtt regisztráltam Anthrocopy-t, és két évvel ezelõtt nem használtam teljesen. Azt hiszem, hogy nem lenne bosszantó, hogy a Google küldjön nekem egy gyors e-mailt: "Hé, még mindig ezt használja? Ha nem, töröljük. "

Azt hiszem, ez mindenki számára a politika. Twitter, Facebook, MySpace, Gmail, stb. Az elbocsátott számlákra vonatkozó adatok adminisztratív tisztítása szükséges. Ezt a házirendet előzetesen a szolgáltatás feltételeinek megfelelően kell kezelnie, és talán megadhatja az inaktív fiókok automatikus törlésének letiltását.

Gondolom, hogy az ilyen típusú támadások most is megtörténnek, és továbbra is fennállnak mindaddig, amíg mindannyian nem bölcsünk és töröljük a régi számlákat (zsíros esély), vagy a szolgáltatók megkezdik az intézkedések végrehajtását, hogy megakadályozzák a zombi számlák visszatérését és étkezési szokásait spam (vagy rosszabb).

Következtetés

Hibáztam, és megtanultam a leckét. Minden tőlem telhetőt megteszek, hogy végre lehessen hajtani a kárellenőrzést, és megakadályozhatja, De ha hasonló tapasztalattal vagy további betekintéssel vagy javaslatokkal rendelkezel, szeretnék tudni.