Peringatan: Domain Kadaluarsa Mudah Dipilih untuk Peretas

Saya belajar pelajaran sulit minggu ini. Singkat cerita, seorang spammer dari Vietnam telah membajak saya aplikasi Google untuk akun Domains (sekarang disebut Google Apps for Business) dan saat ini mengirim email orang dari alamat email lama saya (jack@anthrocopy.com) lengkap dengan tanda tangan saya, nomor telepon dan nama dan semua yang ada di atasnya. Anthrocopy.com adalah nama dba informal yang saya gunakan bertahun-tahun yang lalu untuk bisnis penulisan lepas saya, tetapi saya perlahan-lahan menghapusnya dan membiarkan domain kedaluwarsa. Sekarang, orang lain telah pindah ke tempat itu, dengan gaya kepiting, dan mungkin menghubungi semua kontak bisnis lama saya tentang Viagra murah.

Saya menghubungi Google tentang hal itu dan tanggapan resmi mereka adalah "Saya minta maaf untuk memberi tahu Anda bahwa kami tidak dapat membantu Anda dengan masalah ini karena Anda tidak memiliki domain itu lagi."

Cukup adil. Lagi pula, saya membiarkan domain kedaluwarsa, dengan demikian membiarkan orang lain membelinya, dan dengan melakukan itu, saya membiarkan mereka menyita yang lama saya Akun Gmail, akun Google Documents, dan layanan web pihak ketiga mana pun yang mungkin saya gunakan otentikasi Google untuk login ke. Dukungan teknis Google merekomendasikan saya menghubungi penegak hukum, tetapi saya pikir FBI memiliki ikan yang lebih besar untuk digoreng daripada beberapa spammer Vietnam yang berpura-pura menjadi penulis lepas yang santun.

Jadi, sepertinya satu-satunya jalan yang tersisa bagi saya adalah menyebarkan berita bahwa saya telah dibajak dan, dalam prosesnya, mungkin memberikan sebuah pengumuman layanan publik tentang membiarkan pendaftaran domain Anda hilang tanpa mengurangi semua layanan terkait lainnya. Rincian dari kedua upaya berikut.

Mengapa Saya Menerima Pemberitahuan Pengiriman Gagal untuk Email yang Saya Tidak Kirim?

Saya tidak yakin mengapa ini terjadi pada saya, tetapi akhir-akhir ini, saya mendapatkan banyak pemberitahuan pengiriman yang gagal atau balasan otomatis di luar kantor untuk email yang tidak pernah saya kirim. Salah satu dari email-email ini adalah yang memberi saya informasi bahwa ada sesuatu yang tidak baik terjadi pada identitas online saya.

Spoofing Email vs. Akun Email yang Dikompromikan

Beberapa yang pertama saya terima adalah kasus sederhana spoofing email. Artinya, seseorang mengirim email pepatah bahwa mereka berasal dari saya, tetapi tajuk email membuktikan bahwa mereka benar-benar tidak dikirim dari akun saya. Spoofing email adalah serangan umum, sering otomatis, dan sebagian besar tidak berbahaya, karena sebagian besar server mail tahu bagaimana mengenali email palsu. Catatan SPF dapat membantu upaya ini.

Berikut ini contoh email tipuan yang sederhana:

Pengiriman kepada penerima atau grup berikut gagal:
teddy-metsseuk@gammoninsurance.comteddy-metsseuk@gammoninsurance.com>
Alamat email yang Anda masukkan tidak dapat ditemukan. Silakan periksa alamat email penerima dan coba kirim ulang pesannya. Jika masalah berlanjut, silakan hubungi meja bantuan Anda.
Informasi diagnostik untuk administrator:
Membuat server: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; tidak ditemukan ##
Header pesan asli:
Diterima dari ecsdel01.appriver.com (72.32.253.39) oleh mail.higginbotham.net
(10.5.2.56) dengan Microsoft SMTP Server id 14.1.218.12; Sel, 29 Apr 2014
00:41:57 -0500
Diterima: dari [10.238.8.145] (HELO inbound.appriver.com) oleh
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) dengan ESMTP id 401638471
untuk teddy-metsseuk@gammoninsurance.com; Sel, 29 Apr 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56 AM
Kebijakan X: higginbotham.net
X-Primer: teddy-metsseuk@higginbotham.net
X-Note: Email ini dipindai oleh AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-Analisis: 0, 97.67.222.18, Jelek c = 0.425302 p = 0.483871 Sumber Normal
X-Signature-Pelanggaran: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Gagal: 0 Chk: 1342 dari total 1342
X-Note: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Peringatkan: BOUNCETRACKER Bouncing Pelacakan Pengguna Ditemukan
Peringatkan X: OPTOUT
X-Peringatkan: REVDNS Tidak ada catatan DNS Terbalik untuk 97.67.222.18
X-Warn: HELOBOGUS Perintah HELO dikeluarkan tanpa domain.
Peringatkan X: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
X-Note: Tes Spam Gagal: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: AMERIKA SERIKAT-> AMERIKA SERIKAT
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Note: Hit Aturan Pengguna:
X-Note: Hit Aturan Global: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G437 G438 G479
X-Note: Enkripsi Hits Aturan:
X-Note: Kelas Mail: VALID
X-Note: Header Disuntikkan
Diterima: dari [97.67.222.18] (HELO [97.67.222.18]) oleh inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) dengan ESMTP id 191929257 untuk
teddy-metsseuk@gammoninsurance.com; Sel, 29 Apr 2014 00:41:56 -0500
Dari: Newsletter DrOZNetwork
Kepada: <teddy-metsseuk@gammoninsurance.com>
Subjek: Anda Akan Kalah Setidaknya Setiap Minggu
Tanggal: Sel, 29 Apr 2014 01:41:57 -0400
Daftar-Berhenti Berlangganan: meninggalkan-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
MIME-Versi: 1.0
Balas-Ke: "Newsletter DrOZNetwork"
x-job: 00645_45748849
ID-pesan:
Jenis-Konten: multipart / alternatif; boundary = ”MeDnwMAYvTCJ = _ ?:”
Return-Path: teddy-metsseuk@anthrocopy.com

Namun, saya menerima pemberitahuan pengiriman yang gagal yang menyertakan pesan asli. Dan saya perhatikan bahwa itu memiliki alamat email aktual yang pernah saya gunakan (jack@anthrocopy.com) dan tanda tangan email saya juga. Ini adalah bukti bahwa bukan hanya seseorang yang mengatakan mereka adalah saya, mereka sebenarnya juga mengirim email yang sah dari alamat lama saya. Itu sebenarnya dikirim melalui Gmail.

Bagaimana ini bisa terjadi? Tampaknya akun Google Apps for Domains lama saya memiliki kredensial untuk alamat email utama saya yang masih aktif di dalamnya. Tidak baik.

Pertama, saya khawatir bahwa komputer yang baru saja saya berikan kepada seorang teman dilecehkan. Tetapi saya mencari alamat IP (1.54.46.59) dari header pengirim, dan ternyata email itu dikirim dari seseorang di Vietnam. Saya memeriksa log StatCounter saya dan juga menemukan bahwa peretas telah mengunjungi halaman web saya:

Tampaknya seseorang secara khusus dan terus-menerus mencoba mencuri identitas saya. Saya tidak tahu kenapa. Tetapi dengan mencuri Anthrocopy.com dari saya dan akun Google Apps untuk Domain saya yang terkait, sepertinya mereka telah membuat beberapa kemajuan.

Bagaimana Peretas Dapat Mengakses Gmail Anda dengan Membeli Domain Kedaluwarsa

Google Apps for Domains berbeda dari akun Gmail atau Google Documents atau Google Drive normal karena terkait dengan domain yang mungkin telah Anda daftarkan dari perusahaan selain Google. Kembali pada tahun 2010, saya mendaftarkan Anthrocopy.com ke Namecheap.com. Setelah saya mengakhiri karir freelance saya untuk bekerja sebagai penulis teknis penuh waktu, saya membiarkan domain berakhir. Entah bagaimana, peretas itu mengetahui bahwa saya memiliki akun Google Apps untuk Domain, meskipun saya tidak lagi memiliki domain tersebut. Jadi, pada 20 Juni 2014, seseorang membelinya melalui moniker.com, menurut Whois.

Itu permainan yang adil. Jika saya tidak ingin nama domain lagi, orang lain bebas untuk membelinya. Namun, mereka melangkah lebih jauh dan meretas akun Google Apps for Domains saya. Mereka melakukan ini dengan menggunakan Google Apps for BusinesFormulir pemulihan akun, yang akan memberi Anda akses ke akun Google Apps apa pun jika Anda dapat membuktikan bahwa Anda memiliki nama domain. Alih-alih menggunakan pengaturan ulang kata sandi atau petunjuk kata sandi, Anda bisa membuat catatan CNAME untuk domain yang membuktikan bahwa Anda memiliki domain tersebut. Lalu, Google memberi Anda kunci ke akun. Untuk $ 10, seseorang di Vietnam baru saja memperoleh akses ke semua pengaturan Gmail lama saya, riwayat dan kredensial login yang disimpan.

Memulihkan Akun Google Apps untuk Bisnis yang Dibajak

Peringatan spoiler: tidak ada cara untuk memulihkan akun Google Apps for Business yang disusupi. Jika seseorang memiliki domain, mereka memiliki akun Google Apps for Business yang terkait. Itu posisi Google di atasnya, dan saya sangat tidak setuju, tetapi saya belum meyakinkan mereka untuk melakukan apa pun tentang itu.

Ketika saya mengetahui apa yang terjadi, saya menghubungi Dukungan Google Enterprise melalui formulir ini. Sekitar 12 jam kemudian (pada hari Sabtu, tidak buruk), saya menerima telepon dari seorang teman yang ramah yang merekam kembali kejadian saya dengan akurat. Sayangnya, dia mengatakan kepada saya bahwa tidak ada yang bisa saya lakukan, jika saya tidak dapat membuktikan bahwa saya memiliki domain tersebut. Saya mengatakan kepadanya bahwa saya tidak peduli dengan domain tersebut, saya hanya ingin informasi pribadi dan profesional saya dan kredensial dari tangan orang acak itu. Teknisi mengatakan dia akan meningkatkan situasi, tetapi tidak lama setelah itu, saya menerima email berikut:

Halo Jack,

Terima kasih telah menjawab panggilan saya. Saya mengerti bahwa Anda adalah pemilik 'anthrocopy.com' dan membuat akun Google Apps menggunakan itu domain tetapi Anda tidak memperbaruinya sehingga orang lain mendaftar dan mengambil alih Google Apps Anda Akun.

Sesuai percakapan kami, untuk memiliki akun Google Apps Anda harus memiliki domain yang ingin Anda gunakan. Orang lain mengambil kendali domain karena dia dapat membuktikan kepemilikan melalui pengaturan DNS. Saya sudah berkonsultasi dengan kasus ini dan saya minta maaf untuk memberi tahu Anda bahwa kami tidak dapat membantu Anda dengan masalah ini karena Anda tidak memiliki domain itu lagi. Sebagai penyedia alat pembuatan konten dan layanan hosting, Google tidak dalam posisi untuk menengahi atau mengadili perselisihan antara pihak ketiga. Kami menyarankan Anda menyampaikan kekhawatiran Anda secara langsung kepada administrator yang bersangkutan.

Jika Anda yakin bahwa administrator yang dimaksud secara tidak sah membatasi akses ke akun Anda, kami sarankan Anda menghubungi penegak hukum.

Hormat kami,
Guillermo.
Dukungan Google Enterprise.

Jadi, pada titik ini, saya macet.

Apa yang Akan Saya Lakukan Tentang Reputasi Daring Saya?

Langkah saya berikutnya adalah mengirimkan email pribadi kepada semua orang yang saya pikir mungkin ada dalam daftar kontak itu. Dan mungkin memposting pemberitahuan di situs web untuk domain yang masih saya kontrol. Tapi selain itu, sepertinya tidak banyak yang bisa saya lakukan, selain untuk mengumumkan apa yang terjadi dan mencoba meminta maaf dan menjelaskan kepada setiap orang yang terpengaruh. Saya berharap untuk memenangkan pertarungan PR dengan membuat secara luas diketahui bahwa Anthrocopy.com dan jack@anthrocopy.com adalah palsu dan bahwa Jack Busch yang asli sangat kesal dan sangat menyesal.

Belajar dari Kesalahan Saya: Jangan Biarkan Domain Berlalu

Saya dulu membeli domain seperti orang gila kapan saja Ayo ayah memiliki penjualan nama domain 99 sen atau saya memikirkan ide lucu untuk sebuah situs web. Sekarang, saya menyadari bahwa masing-masing dari mereka agak dari kewajiban. Setiap yang saya miliki dan tolak menjadi jalan bagi seseorang untuk mengkooptasi identitas saya. Dengan Anthrocopy, yang merupakan satu-satunya yang saya daftarkan dengan akun Google Apps, domain yang saya beli empat tahun lalu dan biarkan kedaluwarsa berubah menjadi kerentanan besar.

Pelajaran yang lebih luas dari ini adalah untuk tidak pernah membiarkan akun lama hilang atau berakhir. Awasi setiap akun yang Anda buat online. Jika Anda memutuskan untuk berhenti menggunakan akun, hapus. Jangan percaya pada penyedia layanan untuk membuang data Anda setelah itu tidak lagi berguna bagi Anda. Baik itu akun Twitter lama, akun Facebook lama (baca artikel kami tentang caranya) hapus akun Facebook Anda secara permanen), blog Xanga lama, atau bahkan akun AOL lama, gali sekarang dan hapus, atau setidaknya gosok dari informasi pribadi apa pun. Di web, pemiliknya adalah penjaga, dan apa yang Anda hilangkan adalah terlalu sedikit kentang untuk dilibatkan oleh penegak hukum.

Rekomendasi ke Google

Sementara saya menghargai seberapa cepat a Google Perwakilan menjangkau saya, saya kecewa karena tidak ada jalan lain. Satu hal untuk membeli properti yang ditinggalkan seseorang. Adalah hal lain untuk dapat membeli properti itu dan kemudian mengambil identitas mereka setelahnya. Saya menyadari bahwa saya seharusnya lebih waspada tentang akun lama saya, yang tidak aktif, tetapi saya merasa itu akan menjadi kebijakan yang produktif untuk memiliki tanggal kedaluwarsa pada akun yang tidak aktif juga. Saya mendaftarkan Anthrocopy empat tahun lalu dan berhenti menggunakannya dua tahun yang lalu. Saya pikir pada saat itu, tidak akan mengganggu bagi Google untuk mengirim saya email cepat: "Hei, Anda masih menggunakan ini? Jika tidak, kami akan menghapusnya. "

Saya pikir ini harus menjadi kebijakan untuk apa pun. Twitter, Facebook, MySpace, Gmail, dll. Harus ada pembersihan data administratif untuk akun yang ditinggalkan. Kebijakan ini harus dimuka dalam persyaratan layanan dan, mungkin, Anda dapat memberikan opsi untuk menonaktifkan penghapusan otomatis dari akun yang tidak aktif.

Saya membayangkan bahwa serangan seperti ini sedang terjadi sekarang dan akan terus terjadi sampai kita semua bijaksana dan menghapus akun lama (peluang besar) atau penyedia layanan mulai menerapkan langkah-langkah untuk mencegah akun zombie kembali dan memakan otak mantan rekan kerja kami dengan spam (atau lebih buruk).

Kesimpulan

Saya membuat kesalahan dan saya belajar pelajaran saya. Saya melakukan yang terbaik untuk melakukan kontrol kerusakan dan mencegah hal ini terjadi lagi. Tetapi jika Anda memiliki pengalaman serupa atau memiliki wawasan atau saran lebih lanjut, saya ingin tahu.