Ostrzeżenie: wygasłe domeny są łatwym wyborem dla hakerów

W tym tygodniu nauczyłem się trudnej lekcji. Krótko mówiąc, spamer z Wietnamu porwał moje konto Google Apps dla domen (obecnie nazywane Google Apps dla Firm) i obecnie wysyła wiadomości e-mail od mojego starego adresu e-mail ( [email protected] ) wraz z moim podpisem, numerem telefonu i imię i wszystko na nim. Anthrocopy.com było nieformalną nazwą domeny dba, której używałem wiele lat temu dla mojej niezależnej firmy pisarskiej, ale powoli ją wycofywałem i pozwoliłem, aby domena wygasała. Teraz ktoś inny przeniósł się na miejsce, w stylu pustelnika i prawdopodobnie kontaktuje się ze wszystkimi moimi starymi kontaktami biznesowymi o taniej Viagrze.

Skontaktowałem się z Google na ten temat, a ich oficjalna odpowiedź brzmiała: "Przykro mi mówić, że nie możemy pomóc Ci w rozwiązaniu tego problemu, ponieważ nie jesteś już właścicielem tej domeny."

Słusznie. W końcu pozwoliłem, by domena wygasła, pozwalając komuś na jej zakup, i pozwoliłam im przejąć stare konto Gmail, konto Dokumentów Google i wszelkie inne usługi stron trzecich, które mogły używać uwierzytelniania Google, aby się zalogować. . Zalecane przez Google wsparcie techniczne polecam skontaktować się z organami ścigania, ale myślę, że FBI ma więcej ryb do smażenia niż jakiś wietnamski spamer udający słabo wychowanego niezależnego pisarza.

Wydaje mi się, że jedyne, co mi pozostało, to rozpowszechnić informację o tym, że zostałem porwany i, być może, zapewnić publiczne ogłoszenie o zaprzestaniu rejestracji domeny bez likwidacji wszystkich powiązanych usług. Szczegóły tych dwóch wysiłków są następujące.

Dlaczego nie otrzymuję powiadomienia o dostarczeniu wiadomości e-mail, których nie wysłałem?

Nie wiem, dlaczego to mi się przydarzyło, ale ostatnio otrzymywałem wiele powiadomień o nieudanych dostawach lub nieautoryzowanych automatycznych odpowiedzi na e-maile, których nigdy nie wysłałem. Jeden z tych e-maili był dla mnie tym, co stało się z moją tożsamością online.

Skandowanie e-mailem a skrzywdzone konto e-mail

Pierwsze kilka otrzymałem to prosty przypadek podszywania się pod e-maila. Oznacza to, że ktoś wysyłał e-maile z informacją, że pochodzą ode mnie, ale nagłówki wiadomości e-mail potwierdziły, że nie zostały wysłane z mojego konta. Posługiwanie się wiadomościami e-mail jest częstym, często zautomatyzowanym atakiem i jest w większości nieszkodliwe, ponieważ większość serwerów pocztowych wie, jak rozpoznać fałszywą wiadomość e-mail. Rekordy SPF mogą wspomóc ten wysiłek.

Oto przykład prostej sfałszowanej wiadomości e-mail:

Nie udało się dostarczyć do tych odbiorców lub grup:
[email protected]
Podany adres e-mail nie został znaleziony. Sprawdź adres e-mail odbiorcy i spróbuj ponownie wysłać wiadomość. Jeśli problem będzie się utrzymywał, skontaktuj się z działem pomocy technicznej.
Informacje diagnostyczne dla administratorów:
Generowanie serwera: higginbotham.net
[email protected]
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nie znaleziono ##
Oryginalne nagłówki wiadomości:
Otrzymano: od ecsdel01.appriver.com (72.32.253.39) przez mail.higginbotham.net
(10.5.2.56) z identyfikatorem Microsoft SMTP Server 14.1.218.12; Wt, 29 kwietnia 2014
00:41:57 -0500
Otrzymano: od [10.238.8.145] (HELO inbound.appriver.com) o
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) o identyfikatorze ESMTP 401638471
dla [email protected]; Wt, 29 kwietnia 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56 AM
X-Policy: higginbotham.net
X-Primary: [email protected]
X-Note: Ten e-mail został zeskanowany przez AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-Analiza: 0, 97, 67.22, 18, Ugly c = 0, 425302 p = 0, 483871 Źródło normalne
Naruszenie podpisu-X: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Fail: 0 Chk: 1342 z łącznej liczby 1342
X-Uwaga: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55
X-Warn: Znalezione śledzenie użytkownika BUNKETRACKER Bounce
X-Warn: OPTOUT
X-Warn: REVDNS Brak rekordu Reverse DNS dla 97.67.222.18
X-Warn: HELOBOGUS HELO komenda wydana bez domeny.
X-Warn: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
X-Uwaga: Testy spamu nie powiodły się: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: STANY ZJEDNOCZONE-> STANY ZJEDNOCZONE
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: [email protected]
X-Note: Hity reguł użytkownika:
X-Note: Global Rule Hits: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Encrypt Hits Hits:
X-Note: Mail Class: VALID
X-Note: Injected Headers
Otrzymano: od [97.67.222.18] (HELO [97.67.222.18]) przez inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) z identyfikatorem ESMTP 191929257 dla
[email protected]; Wt, 29 kwietnia 2014 00:41:56 -0500
Od: Biuletyn DrOZNetwork
Do:
Temat: stracisz przynajmniej raz na dwa tygodnie
Data: wtorek, 29 kwietnia 2014 01:41:57 -0400
Lista-Wypisz się:
Wersja MIME: 1.0
Reply-To: "Biuletyn DrOZNetwork"
x-job: 00645_45748849
ID wiadomości:
Typ treści: wieloczęściowy / alternatywny; boundary = "MeDnwMAYvTCJ = _ ?:"
Return-Path: [email protected]

Ale potem otrzymałem powiadomienie o nieudanym dostarczeniu, które zawierało oryginalną wiadomość. Zauważyłem, że miał aktualny adres e-mail, który kiedyś użyłem ([email protected]) i mój podpis e-mailowy. Było to dowodem na to, że nie tylko ktoś mówił, że to ja, ale wysyłali prawdziwe e-maile z mojego starego adresu. Został wysłany przez Gmaila.

Jak to możliwe? Wygląda na to, że moje stare konto Google Apps dla domen zawierało dane uwierzytelniające dla mojego nadal aktywnego głównego adresu e-mail. Niedobrze.

Po pierwsze martwiłem się, że komputer, który niedawno przekazałem znajomemu, był nadużywany. Ale sprawdziłem adres IP (1.54.46.59) z nagłówka nadawcy i okazało się, że wiadomość została wysłana przez kogoś z Wietnamu. Sprawdziłem mój dziennik StatCounter i odkryłem, że haker odwiedzał moją stronę:

Wygląda na to, że ktoś konkretnie i uporczywie próbuje ukraść moją tożsamość. Nie mam pojęcia dlaczego. Ale kradnąc Anthrocopy.com ze mnie i mojego powiązanego konta Google Apps for Domains, wygląda na to, że zrobili pewne postępy.

Jak hakerzy mogą uzyskać dostęp do Gmaila, kupując domenę, która wygasła

Google Apps dla domen różni się od zwykłego konta Gmail, Dokumentów Google lub Dysku Google, ponieważ jest powiązane z domeną zarejestrowaną przez inną firmę niż Google. W 2010 roku zarejestrowałem Anthrocopy.com z Namecheap.com. Po tym, jak zakończyłem karierę niezależną, aby pracować jako pełnoetatowy pisarz techniczny, pozwoliłem, by domena wygasła. W jakiś sposób haker dowiedział się, że mam konto Google Apps for Domain, mimo że nie jestem już właścicielem domeny. Tak więc, w dniu 20 czerwca 2014 r., Ktoś kupił go za pośrednictwem moniker.com, zgodnie z Whois.

To uczciwa gra. Jeśli nie chcę już nazwy domeny, ktoś inny może ją kupić. Jednak zrobili to o krok dalej i włamali się na moje konto Google Apps for Domains. Zrobili to za pomocą formularza odzyskiwania konta Google Apps dla Firm, który zapewni Ci dostęp do konta Google Apps, jeśli możesz udowodnić, że jesteś właścicielem nazwy domeny. Zamiast resetowania hasła lub podpowiedzi do hasła możesz po prostu utworzyć rekord CNAME dla domeny, która udowodni, że jesteś właścicielem domeny. Następnie Google daje klucze do konta. Za 10 USD ktoś w Wietnamie właśnie uzyskał dostęp do wszystkich moich starych ustawień Gmaila, historii i zapisanych danych logowania.

Odzyskiwanie przejętego konta Google Apps dla Firm

Uwaga na temat spoilerów: nie można odzyskać zaatakowanego konta Google Apps dla Firm. Jeśli ktoś jest właścicielem domeny, jest właścicielem powiązanego konta Google Apps dla Firm. To jest stanowisko Google w tej sprawie i bardzo się z tym nie zgadzam, ale nie przekonałem ich jeszcze do zrobienia tego.

Gdy dowiedziałem się, co się stało, skontaktowałem się z pomocą techniczną Google Enterprise za pośrednictwem tego formularza. Około 12 godzin później (w sobotę, nieźle) otrzymałem telefon od przyjaznego kolegi, który dokładnie podsumował mój incydent. Niestety, powiedział mi, że nic nie mogę zrobić, jeśli nie udowodnię, że posiadam domenę. Powiedziałem mu, że nie dbam o domenę, po prostu chciałem, aby moje osobiste i zawodowe informacje i referencje wyszły spod ręki tej przypadkowej osoby. Technik powiedział, że eskaluje sytuację, ale wkrótce potem otrzymałem następujący e-mail:

Cześć Jack,

Dziękuję za odpowiedź na moje wezwanie. Rozumiem, że jesteś właścicielem "anthrocopy.com" i utworzyłeś konto Google Apps przy użyciu tej domeny, ale nie odnowiłeś go, więc ktoś inny zarejestrował się i przejął kontrolę nad Twoim kontem Google Apps.

Zgodnie z naszą konwersacją, aby mieć konto Google Apps, musisz posiadać domenę, z której chcesz korzystać. Inna osoba przejęła kontrolę nad domeną, ponieważ była w stanie udowodnić własność za pomocą ustawień DNS. Skonsultowałem się z tą sprawą i przykro mi jest mówić, że nie możemy pomóc Ci z tym problemem, ponieważ nie jesteś już właścicielem tej domeny. Jako dostawca narzędzi do tworzenia treści i usług hostingowych Google nie może pośredniczyć ani rozstrzygać sporów między stronami trzecimi. Zalecamy zgłaszanie swoich wątpliwości bezpośrednio do danego administratora.

Jeśli uważasz, że dany administrator bezprawnie ogranicza dostęp do Twojego konta, zalecamy skontaktowanie się z organami ścigania.

Z poważaniem,
Guillermo.
Wsparcie Google Enterprise.

W tym momencie utknąłem.

Co mam zamiar zrobić o mojej reputacji w Internecie?

Następnym krokiem jest wysłanie osobistego e-maila do wszystkich osób, o których myślę, że mogą znajdować się na tej liście kontaktów. I może zamieścić powiadomienie na stronach dla domen, które nadal kontroluję. Ale poza tym wygląda na to, że niewiele mogę zrobić, poza publicznym ujawnieniem tego, co się stało, i staram się przeprosić i wyjaśnić każdą dotkniętą osobę. Mam nadzieję wygrać bitwę PR, sprawiając, że powszechnie wiadomo, że Anthrocopy.com i [email protected] są fałszywe, a prawdziwy Jack Busch jest bardzo zmartwiony i bardzo przykro.

Ucz się od moich błędów: nie pozwól domenom wygasnąć

Kiedyś kupowałem domeny takie jak szalone, gdy Godaddy miał sprzedaż domeny o wartości 99 centów lub pomyślałem o zabawnym pomyśle na stronę internetową. Teraz zdaję sobie sprawę, że każdy z nich jest w pewnym sensie odpowiedzialny. Każda, którą posiadam, a następnie odrzucam, staje się dla kogoś alternatywą do kooptowania mojej tożsamości. Dzięki Antykopii, która jako jedyna zarejestrowałem konto Google Apps w tej domenie, którą kupiłem cztery lata temu, wygasłem i przekształciłem się w ogromną lukę.

Szerszą lekcją jest to, aby stare konta nie wygasły ani nie wygasły. Zachowaj zakładki na każdym koncie, które tworzysz online. Jeśli zdecydujesz się przerwać korzystanie z konta, usuń je. Nie ufaj usługodawcy, który wyrzuci twoje dane, gdy przestaną ci się przydać. Niezależnie od tego, czy jest to stare konto na Twitterze, stare konto na Facebooku (przeczytaj nasz artykuł o tym, jak trwale usunąć swoje konto na Facebooku), stary blog Xanga, czy nawet stare konto AOL, teraz je wykopuj i usuń lub przynajmniej wyszoruj z jakichkolwiek danych osobowych. W sieci są to strażnicy poszukiwaczy, a to, co stracicie, będzie zbyt małe dla ziemniaków, aby mogli się w to zaangażować organy ścigania.

Rekomendacja dla Google

Doceniam, jak szybko przedstawiciel Google skontaktował się ze mną, ale jestem rozczarowany, że nie ma dalszego odwołania. Kupowanie nieruchomości, którą ktoś porzucił, to jedna rzecz. Kolejną rzeczą jest móc wykupić tę nieruchomość, a następnie założyć swoją tożsamość. Zdaję sobie sprawę, że powinienem być bardziej czujny w stosunku do moich starych, nieaktywnych kont, ale wydaje mi się, że polityka produktywności będzie miała także datę wygaśnięcia na nieaktywnych kontach. Zarejestrowałem Anthrocopy cztery lata temu i przestałem go używać całkowicie ponad dwa lata temu. Myślę, że w tym momencie nie byłoby denerwujące, gdyby Google wysłał mi szybki e-mail: "Hej, nadal używasz tego? Jeśli nie, usuniemy go. "

Myślę, że to powinna być polityka na wszystko. Twitter, Facebook, MySpace, Gmail itp. Powinno nastąpić administracyjne usunięcie danych z opuszczonych kont. Zasady te powinny znajdować się w górnej części warunków korzystania z usługi, a być może możesz wyłączyć opcję automatycznego usuwania nieaktywnych kont.

Wyobrażam sobie, że takie ataki trwają teraz i będą się powtarzać, dopóki wszyscy nie rozwiążemy i nie usuniemy starych kont (fat chance) lub usługodawców, którzy zaczną wdrażać środki zapobiegające powrotom kont zombie i jedzeniu mózgów naszych byłych kolegów ze spamem (lub gorzej).

Wniosek

Popełniłem błąd i nauczyłem się mojej lekcji. Robię, co w mojej mocy, aby kontrolować obrażenia i zapobiegać temu ponownie. Ale jeśli masz podobne doświadczenia lub masz głębszy wgląd lub sugestie, chciałbym to wiedzieć.