Uyarı: Süresi dolan Etki Alanları Hacker'lar İçin Kolay Seçimdir

Bu hafta zor bir ders aldım. Uzun lafın kısası olan, Vietnamlı bir spam kullanıcısı, Google Apps for Domains (Google Apps İşletme Sürümü adı verilen) hesabımı kaçırdı ve şu anda eski e-posta adresimden ( [email protected] ) imzamı, telefon numaramı ve e-postalarımla birlikte e-postalar gönderiyor adı ve üzerindeki her şey. Anthrocopy.com, serbest yazı yazma işim için yıllar önce kullandığım gayri resmi bir dba adıydı, ancak yavaş yavaş aşamalı olarak bıraktım ve alanın süresinin dolmasına izin verdim. Şimdi, bir başkası yerine, benimseme-yengeç tarzı taşındı ve muhtemelen tüm Viagra ile ilgili eski iş bağlantıları iletişim kuruyor.

Google ile ilgili olarak iletişime geçtim ve resmi yanıtı “Bu alana artık sahip olmadığınız için size bu konuda yardımcı olamayacağımız için üzgünüz.”

Yeterince adil. Sonuçta, alanın süresinin dolmasına izin veriyorum, böylece başka birinin satın almasına izin veriyorum ve bunu yaparken eski Gmail hesabımı, Google Dokümanlar hesabımı ve Google'ın diğer kimlik doğrulama hizmetlerini kullanmam için Google kimlik doğrulamasını kullanmamı sağladım. . Google teknik desteği, yasa uygulayıcılarıyla iletişim kurmamı tavsiye etti, ancak FBI'ın, hafif huylu bir serbest yazar gibi davranan Vietnamlı bir spamcıdan daha büyük balıklara sahip olduğunu düşünüyorum.

Öyle görünüyor ki, benim için bırakılan tek rüşvet, kaçırıldığım kelimeyi yaymaktı ve bu süreçte, etki alanı kayıtlarınızın diğer tüm ilişkili hizmetleri devre dışı bırakmadan atılmasını sağlamaya yönelik bir kamu hizmeti duyurusu sağlayabilirdi. Bu iki çabanın detayları takip ediyor.

Neden Göndermediğim E-postalar İçin Gönderilemeyen Teslimat Bildirimlerini Alıyorum?

Bunun neden başıma geldiğinden emin değilim, ama son zamanlarda, hiç gönderemediğim e-postalar için çok fazla hatalı teslimat bildirimi veya ofis dışı otomatik yanıtlar alıyorum. Bu e-postalardan biri, çevrimiçi kimliğime ungood bir şey geldiği gerçeğinin beni uyandırmasıdır.

E-posta Sahtekarlığı ile Tehdit Edilmiş E-posta Hesabı

İlk aldığım birkaç basit e-posta sahteciliği vakasıydı. Yani, birisi benden olduğunu söyleyerek e-posta gönderiyordu, ancak e-postaların başlıkları gerçekten de hesabımdan gönderilmediklerini kanıtladı. E-posta sahteciliği yaygın, genellikle otomatik bir saldırıdır ve çoğu posta sunucusu sahte bir e-postayı nasıl tanıyacağını bildiğinden, çoğunlukla zararsızdır. SPF kayıtları bu çabaya yardımcı olabilir.

İşte basit bir sahte e-posta örneğidir:

Bu alıcılara veya gruplara teslimat başarısız oldu:
[email protected]
Girdiğiniz e-posta adresi bulunamadı. Lütfen alıcının e-posta adresini kontrol edin ve mesajı tekrar göndermeyi deneyin. Sorun devam ederse, lütfen yardım masanıza başvurun.
Yöneticiler için teşhis bilgileri:
Sunucu oluşturuluyor: higginbotham.net
[email protected]
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; bulunamadı ##
Orijinal mesaj başlıkları:
Alındı: mail.higginbotham.net tarafından ecsdel01.appriver.com (72.32.253.39)
Microsoft SMTP Server kimliği 14.1.218.12 ile (10.5.2.56); Sal, 29 Nis 2014
00:41:57 -0500
Alındı: [10.238.8.145] (HELO inbound.appriver.com) tarafından
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) ESMTP kimliği 401638471 ile
[email protected] için; Sal, 29 Nis 2014 00:41:58 -0500
X-Note-AR-ScanTimeYerel: 4/29/2014 12:41:56 AM
X-Politikası: higginbotham.net
X-Primary: [email protected]
X-Not: Bu E-posta, AppRiver SecureTide tarafından tarandı
X-Virüs Taraması: V-
X-Not-SnifferID: 100
X-GBUdb Analizi: 0, 97.67.222.18, Ugly c = 0.425302 p = 0.483871 Kaynak Normal
X-İmza İhlalleri: 100-5950968-462-494-m
100-5948747-463-494 m
100-5946619-2051-2065 m
100-5946619-7869-7883 m
100-5946619-9947-9961 m
100-5946619-11129-11143 m
100-5950968-0-11316-f
X-Not-419: 0 msn. Başarısız: 0 Chk: 1342 toplam 1342
X-Not: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Uyarısı: BOUNCETRACKER Sıçrama Kullanıcı Takibi Bulundu
X-Uyarısı: OPTOUT
X-Uyarısı: REV.6NS 97.67.222.18 için Ters DNS kaydı yok
X-Warn: Hiçbir etki alanı olmadan verilen HELOBOGUS HELO komutu.
X-Uyarısı: BULKMAILER
X-Uyarısı: WEIGHT10
X-Uyarısı: WEIGHT15
X-Note: Spam Testleri Başarısız: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Ülke Yolu: Amerika Birleşik Devletleri -> AMERİKA BİRLEŞİK DEVLETLERİ
X-Note-Gönderme-IP: 97.67.222.18
X-Note-Ters DNS:
X-Note-İade Yolu: [email protected]
X-Note: Kullanıcı Kuralı Hits:
X-Note: Küresel Kural Hits: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Kural Hits'i Şifrele:
X-Note: Mail Sınıfı: VALID
X-Note: Enjekte Edilen Başlıklar
Alındı: inbound.appriver.com tarafından [97.67.222.18] (HELO [97.67.222.18])
(CommuniGate Pro SMTP 5.4.1) ESMTP kimliği 191929257 ile birlikte
[email protected]; Sal, 29 Nis 2014 00:41:56 -0500
Gönderen: DrOZNetwork Bülten
Kime:
Konu: Her On Gece İçin En Az Boyutta Kaybedeceksiniz
Tarih: Sal, 29 Nis 2014 01:41:57 -0400
Liste-Aboneliği:
MIME Sürüm: 1.0
Yanıtlayan: “DrOZNetwork Haber Bülteni”
x-iş: 00645_45748849
Mesaj Kimliği:
İçerik Türü: çok parçalı / alternatif; Sınır =”MeDnwMAYvTCJ = _ ?:”
Dönüş Yolu: [email protected]

Ancak, orijinal iletiyi içeren başarısız bir teslim bildirimi aldım. Ve bir zamanlar kullandığım ([email protected]) ve e-posta imzamın da gerçek bir e-posta adresi olduğunu fark ettim. Bu sadece birinin benim olduğumu söylemediğinin değil, aslında eski adresimden meşru e-postalar gönderiyor olduğunun kanıtıydı. Aslında Gmail üzerinden gönderildi.

Bu nasıl olabilir? Eski Google Apps for Domains hesabımın hala aktif ana e-posta adresimin kimlik bilgileri olduğu görülüyordu. İyi değil.

Birincisi, yakın zamanda bir arkadaşa verdiğim bir bilgisayarın kötüye kullanılmasından endişeliydim. Ama ben gönderenin başlığından IP adresini (1.54.46.59) araştırdım ve e-postanın Vietnam'daki birinden gönderildiğini belirttim. StatCounter günlüğümü kontrol ettim ve hacker'ın web sayfamı ziyaret ettiğini gördüm:

Görünüşe göre birisi özel ve sürekli olarak kimliğimi çalmaya çalışıyor. Neden olduğuna dair hiçbir fikrim yok. Ancak Anthrocopy.com'u ve Google Apps for Domains hesabımdan çaldıklarında, bazı ilerlemeler kaydettikleri görülüyor.

Hacker'lar, Süresi Dolmuş Bir Alan Alarak Gmail'e Nasıl Erişebilir?

Google Apps for Domains, normal bir Gmail veya Google Dokümanlar veya Google Drive hesabından farklıdır; bunun nedeni, Google dışındaki bir şirketten kaydetmiş olabileceğiniz bir alanla ilişkili olmasıdır. 2010 yılında, Namecheap.com ile Anthrocopy.com'u kaydettim. Serbest meslek kariyerimi tam zamanlı bir teknik yazar olarak çalışmak üzere yarattıktan sonra, alanın süresinin dolmasına izin verdim. Bir şekilde, bilgisayar korsanı, artık alan adına sahip olmamam da bir Google Apps for Domain hesabına sahip olduğumu öğrendi. Öyleyse, 20 Haziran 2014 tarihinde, bir kişi Whois'e göre, moniker.com aracılığıyla satın aldı.

Bu adil bir oyun. Artık bir alan adı istemiyorsam, başka biri onu satın almakta özgürdür. Ancak, bir adım daha ileri sürdüler ve Google Apps for Domains hesabımı hacklediler. Bunu, Google Apps İşletme Sürümü hesabı kurtarma formunu kullanarak yaptınız. Bu, bir alan adının sahibi olduğunuzu kanıtlayabiliyorsanız herhangi bir Google Apps hesabına erişmenizi sağlar. Şifre sıfırlama veya şifre ipucu kullanmak yerine, alan adına sahip olduğunuzu kanıtlayan alan adı için bir CNAME kaydı oluşturabilirsiniz. Ardından, Google size hesabın anahtarlarını verir. 10 ABD doları için, Vietnam'daki birileri eski tüm Gmail ayarlarıma, geçmişime ve kayıtlı giriş kimlik bilgilerine eriştiler.

Hijacked Google Apps İşletme Sürümü Hesabı'nı Kurtarma

Spoiler uyarısı: Güvenliği ihlal edilmiş bir Google Apps İşletme Sürümü hesabını kurtarmanın hiçbir yolu yoktur. Birisi alan adına sahipse, ilişkili Google Apps İşletme Sürümü hesabına sahip olurlar. Bu, Google'ın bu konudaki pozisyonudur ve ben kesinlikle katılmıyorum, ancak henüz bu konuda bir şey yapmaya ikna olmadım.

Ne olduğunu öğrendiğimde, bu form aracılığıyla Google Enterprise Destek ile iletişime geçtim. Yaklaşık 12 saat sonra (bir Cumartesi günü, kötü değil), olayımı doğru bir şekilde yineleyen dost bir arkadaşımdan bir telefon aldım. Ne yazık ki, bana ait olduğumu kanıtlayamazsam, yapabileceğim hiçbir şeyin olmadığını söyledi. Ona etki alanıyla ilgilenmediğimi söyledim, sadece kişisel ve profesyonel bilgilerimi ve kimlik bilgilerini o rasgele insanın elinden çıkarmak istedim. Teknik durumun tırmandığını söyledi, ama kısa bir süre sonra aşağıdaki e-postayı aldım:

Merhaba Jack,

Çağrımı cevapladığınız için teşekkür ederim. "Anthrocopy.com" un sahibi olduğunuzu ve bu alanı kullanarak bir Google Apps hesabı oluşturduğunuzu, ancak başka bir kişinin Google Apps hesabınızı kontrol etmesi ve kontrol etmesini sağlamak için yenilemediğini anlıyorum.

Konuşmamıza göre, bir Google Apps hesabına sahip olmak için kullanmak istediğiniz alana sahip olmanız gerekir. DNS ayarları aracılığıyla sahipliğini kanıtlayabildiğinden başka bir kişi alanın kontrolünü ele geçirdi. Bu davaya danıştım ve size bu alan adıyla sahip olmadığınız için size bu konuda yardımcı olamayacağımızı bildirmek üzüldüm. İçerik oluşturma araçları ve barındırma hizmetleri sağlayıcısı olarak Google, üçüncü taraflar arasındaki anlaşmazlıkları arabuluculuk veya karara bağlama konumunda değildir. Endişelerinizi doğrudan söz konusu yöneticiye bildirmenizi öneririz.

Söz konusu yöneticinin hesabınıza yasa dışı bir şekilde erişimi kısıtladığına inanıyorsanız, yasa uygulayıcısına başvurmanızı öneririz.

İçtenlikle,
Guillermo.
Google Kurumsal Destek.

Yani, bu noktada, sıkışıp kaldım.

Online İtibarim Hakkında Ne Yapmalıyım?

Bir sonraki adım, o kişi listesinde olabileceğini düşünebileceğim herkese kişisel bir e-posta göndermek. Ve belki de hala kontrol ettiğim alanlar için web sitelerinde bir bildirim yayınlayın. Ama bunun dışında, neler olduğuyla ilgili herkese açık olmaktan ve etkilenen her bir kişiden özür dilemeye ve açıklamaya çalışmaktan başka yapabileceğim pek bir şey yok gibi görünüyor. Anthrocopy.com ve [email protected]'un sahte olduğu ve gerçek Jack Busch'ın çok üzüldüğünü ve çok üzgün olduğunu çok iyi bildiğim için PR savaşını kazanmayı umuyorum.

Hatalardan Öğrenin: Etki Alanlarını Sönme İzin Verme

Godaddy'nin 99 cent alan adı satışı olduğunda ya da bir web sitesi için komik bir fikir düşündüğümde deli gibi alanlar satın alırdım. Şimdi, bunların her birinin bir sorumluluk olduğunu anlıyorum. Sahip olduğum ve daha sonra reddettiğim her biri, kimliğimi benimsemeyi tercih eden biri haline gelir. Anthrocopy ile, bir Google Apps hesabına sahip olduğum tek bir bilgisayardı, dört yıl önce satın aldığım alanın süresi doldu ve zaman aşımına uğraması büyük bir güvenlik açığına dönüştü.

Bundan daha geniş ders, eski hesapların geçmesine veya sona ermesine asla izin vermemektir. Çevrimiçi oluşturduğunuz her hesapta sekmeleri tutun. Hesabı kullanmayı bırakmaya karar verirseniz, silin. Artık sizin için yararlı olmadığında verilerinizi çöp kutusuna atmak için servis sağlayıcısına güvenmeyin. Eski bir Twitter hesabı, eski bir Facebook hesabı (Facebook hesabınızı kalıcı olarak nasıl sileceğinizle ilgili makalemizi okuyun), eski bir Xanga blogu, hatta eski bir AOL hesabı olsun, şimdi kazın ve silin, ya da en azından fırçalayın. herhangi bir kişisel bilgiden. Web'de, bulucunun bekçileri ve kaybettikleriniz, yasaların uygulanması için çok küçük patatesler olacak.

Google'a Öneri

Bir Google temsilcisinin bana ne kadar çabuk ulaştığını takdir etsem de, başka bir başvuruda bulunmamanın hayal kırıklığına uğradım. Birisinin terk ettiği bir mülkü satın almak için bir şey. Bu mülkün satın alınabilmesi ve daha sonra kimliklerini üstlenebilmesi için başka bir şey. Eski, aktif olmayan hesaplar konusunda daha dikkatli olmalıyım, ancak inaktif hesaplarda da bir son kullanma tarihine sahip üretken bir politika olacağını düşünüyorum. Dört yıl önce Anthrocopy kaydettim ve iki yıl önce tamamen kullanmayı bıraktım. Bence bu noktada, Google’ın bana hızlı bir e-posta göndermesi rahatsızlık verici olmaz: “Hey, bunu hala kullanıyor musun? Yoksa, onu sileriz. ”

Bence bu her şey için bir politika olmalı. Twitter, Facebook, MySpace, Gmail, vb. Terk edilmiş hesaplar için verinin idari olarak temizlenmesi gerekir. Bu politika hizmet şartlarında ön planda olmalı ve belki de etkin olmayan hesapların otomatik olarak silinmesini devre dışı bırakma seçeneğine sahip olabilirsiniz.

Bu tür saldırıların şu anda devam ettiğini ve hepimizin bildiği ve eski hesapları (şişman şansı) silene kadar ya da hizmet sağlayıcılar, zombi hesaplarının geri gelmesini ve eski meslektaşlarımızın beyinlerini yememelerini önlemek için önlemleri uygulamaya başlayalım. spam ile (veya daha kötüsü).

Sonuç

Bir hata yaptım ve dersimi aldım. Hasar kontrolü yapmak için elimden geleni yapıyorum ve bunun tekrar olmasını önleyeceğim. Fakat benzer bir deneyiminiz varsa veya daha fazla fikir veya öneriniz varsa, bilmek isterim.