Advarsel: Utgåtte domener er enkle valg for hackere

Jeg lærte en vanskelig leksjon denne uken. Lang historie kort, en spammer fra Vietnam har kapret min Google Apps for domener (nå kalt Google Apps for Business) -konto og sender for tiden e-post til folk fra min gamle e-postadresse (jack@anthrocopy.com) komplett med signaturen, telefonnummeret og navnet mitt og alt på den. Anthrocopy.com var et uformelt dba-navn jeg brukte for mange år siden for frilansskrivervirksomheten, men jeg faset det sakte ut og lot domenet utløpe. Nå har noen andre flyttet inn i stedet, eremitt-krabbe-stil, og kontakter sannsynligvis alle mine gamle forretningskontakter om billig Viagra.

Jeg kontaktet Google om det, og deres offisielle svar var "Jeg beklager å fortelle deg at vi ikke kan hjelpe deg med dette problemet siden du ikke eier dette domenet lenger."

Greit nok. Tross alt lot jeg domenet utløpe, og dermed la noen andre kjøpe det, og på den måten lot jeg dem kommandere min gamle Gmail-konto, Google Docs-konto og alle andre tredjeparts webtjenester jeg kan ha brukt Google-godkjenning til å logge inn i. Googles teknisk support anbefalte at jeg kontakter rettshåndhevelse, men jeg tror FBI har større fisk å steke enn noen vietnamesiske spammer som later til å være en mildt frilansskribent.

Så det virker som den eneste bruken som var igjen for meg var å spre ordet om at jeg var blitt kapret og i prosessen kanskje en kunngjøring om offentlig tjeneste om å la domeneregistreringene bortfalle uten å avvikle alle andre tilknyttede tjenester. Detaljene om de to innsatsene følger.

Hvorfor får jeg mislykkede leveringsvarsler for e-postmeldinger jeg ikke sendte?

Jeg er ikke sikker på hvorfor dette skjedde med meg, men i det siste har jeg fått mange mislykkede leveringsvarsler eller autosvar på kontoret for e-postmeldinger som jeg aldri sendte. En av disse e-postene er det som tipset meg om at noe ugudelig skjedde med min online identitet.

E-post Spoofing vs. Kompromittert e-postkonto

De første parene jeg fikk var en enkel sak om e-post-forfalskning. Det vil si at noen sendte e-post ordtak at de var fra meg, men overskriftene på e-postadressen beviste at de virkelig ikke ble sendt fra kontoen min. E-postforfalskning er et vanlig, ofte automatisert angrep, og er for det meste ufarlig, siden de fleste e-postservere vet å gjenkjenne en forfalsket e-post. SPF poster kan hjelpe denne innsatsen.

Her er et eksempel på en enkel forfalsket e-post:

Leveringen har mislyktes til disse mottakerne eller gruppene:
teddy-metsseuk@gammoninsurance.comteddy-metsseuk@gammoninsurance.com>
E-postadressen du oppga, ble ikke funnet. Kontroller mottakerens e-postadresse og prøv å sende meldingen på nytt. Hvis problemet fortsetter, kan du kontakte kundestøtten.
Diagnostisk informasjon for administratorer:
Genererer server: higginbotham.net
teddy-metsseuk@gammoninsurance.com
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; ikke funnet ##
Originale meldingsoverskrifter:
Mottat fra ecsdel01.appriver.com (72.32.253.39) av mail.higginbotham.net
(10.5.2.56) med Microsoft SMTP-server-ID 14.1.218.12; Tirsdag 29. april 2014
00:41:57 -0500
Mottatt: fra [10.238.8.145] (HELO inbound.appriver.com) av
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) med ESMTP id 401638471
til teddy-metsseuk@gammoninsurance.com; Tirsdag 29. april 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56 AM
X-Regler: higginbotham.net
X-Primær: teddy-metsseuk@higginbotham.net
X-note: Denne e-posten ble skannet av AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analyse: 0, 97.67.222.18, stygg c = 0,425302 p = 0,483871 Kilde Normal
X-Signature-Violations: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Mislykket: 0 Chk: 1342 av totalt 1342
X-merknad: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-advarsel: BOUNCETRACKER sporing av avvisning av bruker funnet
X-advarsel: OPTOUT
X-Warn: REVDNS Ingen omvendt DNS-post for 97.67.222.18
X-Warn: HELOBOGUS HELO-kommando utstedt uten domene.
X-advarsel: BULKMAILER
X-Warn: WEIGHT10
X-advarsel: VEKT15
X-merknad: Spamprøver mislyktes: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: STORBRITANNIA-> USA STATER
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: teddy-metsseuk@anthrocopy.com
X-Note: Brukerregel Treff:
X-Note: Global Rule Treff: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Krypter regelreferanser:
X-merknad: E-postklasse: Gyldig
X-merknad: Overskytende injiserte overskrifter
Mottatt: fra [97.67.222.18] (HELO [97.67.222.18]) av inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) med ESMTP id 191929257 for
teddy-metsseuk@gammoninsurance.com; Tirsdag 29. april 2014 00:41:56 -0500
Fra: DrOZNetwork Nyhetsbrev
Til: <teddy-metsseuk@gammoninsurance.com>
Emne: Du vil miste minst en størrelse hver fjortende dag
Dato: Tirsdag 29. april 2014 01:41:57 -0400
Stopp av abonnement: leave-b3db3c9506b063bce889d7-978be4013ce282fcd5d6-256aab091be3e6c64a2c8-a86f159b1d43a9b5f2-b4b398@leave.e.gammoninsurance.com>
MIME-versjon: 1.0
Svar til: “DrOZNetwork Newsletter”
x-jobb: 00645_45748849
Message-ID:
Innholdstype: flerparti / alternativ; boundary =”MeDnwMAYvTCJ = _ ?:”
Retur-sti: teddy-metsseuk@anthrocopy.com

Men så fikk jeg en mislykket leveringsvarsel som inkluderte den opprinnelige meldingen. Og jeg la merke til at den hadde en faktisk e-postadresse som jeg en gang brukte (jack@anthrocopy.com) og e-postsignaturen min. Dette var bevis på at det ikke bare var noen som sa at de var meg, de sendte faktisk legitime e-poster fra min gamle adresse. Den ble faktisk sendt via Gmail.

Hvordan kan dette være? Det så ut til at min gamle Google Apps for Domains-konto hadde legitimasjon for den fortsatt aktive hoved-e-postadressen i den. Ikke bra.

Først var jeg bekymret for at en datamaskin som jeg nylig hadde gitt til en venn, ble misbrukt. Men jeg slo opp IP-adressen (1.54.46.59) fra avsenderens overskrift, og det så ut som e-posten ble sendt fra noen i Vietnam. Jeg sjekket min StatCounter-logg og fant også ut at hackeren hadde besøkt hjemmesiden min:

Det ser ut til at noen spesifikt og vedvarende prøver å stjele identiteten min. Jeg aner ikke hvorfor. Men ved å stjele Anthrocopy.com fra meg og min tilknyttede Google Apps for Domains-konto, virker det som om de har gjort noen fremgang.

Hvordan hackere kan få tilgang til Gmail ved å kjøpe et utgått domene

Google Apps for domener er forskjellig fra en vanlig Gmail- eller Google Docs- eller Google Drive-konto ved at den er tilknyttet et domene som du kan ha registrert fra et annet selskap enn Google. Tilbake i 2010 registrerte jeg Anthrocopy.com hos Namecheap.com. Etter at jeg avviklet frilanskarrieren for å jobbe som teknisk skribent på heltid, lot jeg domenet utløpe. På en eller annen måte fant hackeren ut at jeg hadde en Google Apps for Domain-konto, selv om jeg ikke lenger eide domenet. Så 20. juni 2014 kjøpte noen det gjennom moniker.com, ifølge Whois.

Det er rettferdig spill. Hvis jeg ikke vil ha et domenenavn lenger, er det noen andre som kan kjøpe det. Imidlertid tok de det et skritt videre og hacket seg inn på Google Apps for Domains-kontoen min. De gjorde dette ved å bruke Google Apps for busserskjema for gjenoppretting av konto, som vil gi deg tilgang til hvilken som helst Google Apps-konto hvis du kan bevise at du eier et domenenavn. I stedet for å bruke en tilbakestilling av passord eller passordhint, kan du bare opprette en CNAME-post for domenet som viser at du eier domenet. Deretter gir Google deg nøklene til kontoen. For 10 dollar har noen i Vietnam nettopp fått tilgang til alle mine gamle Gmail-innstillinger, historikk og lagrede påloggingsinformasjon.

Gjenopprette en kapret Google Apps for Business-konto

Spoiler-varsel: det er ingen måte å gjenopprette en kompromittert Google Apps for Business-konto. Hvis noen eier domenet, eier de den tilknyttede Google Apps for Business-kontoen. Det er Googles stilling til det, og jeg er veldig uenig, men jeg overbeviste dem ikke om å gjøre noe med det ennå.

Da jeg fikk vite hva som hadde skjedd, kontaktet jeg Google Enterprise Support via Denne formen. Rundt 12 timer senere (på en lørdag, ikke verst), fikk jeg en samtale fra en vennlig fyr som nøyaktig gjentok hendelsen min. Dessverre fortalte han meg at det ikke var noe jeg kunne gjøre, hvis jeg ikke kunne bevise at jeg eide domenet. Jeg fortalte ham at jeg ikke brydde meg om domenet, jeg ville bare ha min personlige og profesjonelle informasjon og legitimasjon fra hendene til den tilfeldige personen. Teknologen sa at han ville eskalere situasjonen, men like etterpå fikk jeg følgende e-post:

Hallo Jack,

Takk for at du svarte på samtalen min. Jeg forstår at du var eier av ‘anthrocopy.com’ og opprettet en Google Apps-konto ved å bruke den domene, men du fikk ikke fornyet det, slik at noen andre registrerte seg og tok kontroll over Google Apps regnskap.

I henhold til samtalen, må du eie domenet du knytter for å ha en Google Apps-konto. En annen person tok kontroll over domenet siden hun / han var i stand til å bevise eierskap via DNS-innstillinger. Jeg har konsultert denne saken, og beklager å fortelle deg at vi ikke kan hjelpe deg med dette problemet siden du ikke eier dette domenet lenger. Som leverandør av innholdsskapingsverktøy og hostingtjenester er Google ikke i stand til å mekle eller dømme tvister mellom tredjeparter. Vi anbefaler at du reiser bekymringene dine direkte med den aktuelle administratoren.

Hvis du mener at den aktuelle administratoren ulovlig begrenser tilgangen til kontoen din, anbefaler vi at du kontakter rettshåndhevelse.

Vennlig hilsen,
Guillermo.
Google Enterprise Support.

Så på dette tidspunktet er jeg fast.

Hva skal jeg gjøre med min omdømme på nettet?

Det neste trinnet mitt er å sende ut en personlig e-post til alle jeg kan tenke på som kan være i den kontaktlisten. Og kanskje legge ut en varsling på nettsteder for domenene som jeg fremdeles kontrollerer. Men annet enn det ser det ut som det ikke er så mye jeg kan gjøre, annet enn å offentliggjøre hva som skjedde og prøve å be om unnskyldning og forklare til hver enkelt person som er berørt. Jeg håper å vinne PR-slaget ved å gjøre det kjent at Anthrocopy.com og jack@anthrocopy.com er falske og at den virkelige Jack Busch er veldig opprørt og veldig lei meg.

Lær av mine feil: Ikke la domener forfalle

Jeg pleide å kjøpe domener som gale når som helst Gå pappa hadde et salg av domenenavn på 99 prosent, eller jeg tenkte på en morsom idé til et nettsted. Nå innser jeg at hver og en av disse er noe av et ansvar. Hver eneste en som jeg eier og deretter forkaster, blir en mulighet for at noen kan velge min identitet. Med Anthrocopy, som var den eneste jeg registrerte en Google Apps-konto med, ble det domenet som jeg kjøpte for fire år siden, og lot utløp, bli et enormt sårbarhet.

Den større lærdommen fra dette er å aldri la gamle kontoer bortfalle eller utløpe. Hold oversikt over hver konto du oppretter online. Hvis du bestemmer deg for å slutte å bruke kontoen, sletter du den. Ikke stol på tjenesteleverandøren til å søppel dataene dine når de ikke lenger er nyttige for deg. Enten det er en gammel Twitter-konto, en gammel Facebook-konto (les artikkelen vår om hvordan du gjør det slett Facebook-kontoen din permanent), en gammel Xanga-blogg, eller til og med en gammel AOL-konto, grave den opp nå og slett den, eller i det minste skrubbe den fra all personlig informasjon. På nettet er det oppdagerne, og det du mister vil være for lite poteter til at lovhåndhevelse kan bli involvert.

Anbefaling til Google

Mens jeg setter pris på hvor raskt a Google representant rakte meg, jeg er skuffet over at det ikke er noen videre anvendelse. Det er en ting å kjøpe opp en eiendom som noen har forlatt. Det er en annen ting å kunne kjøpe opp den eiendommen og deretter anta identiteten deres etterpå. Jeg er klar over at jeg burde vært mer årvåken med mine gamle, inaktive kontoer, men jeg føler at det også ville være en produktiv policy å ha en utløpsdato for inaktive kontoer. Jeg registrerte Anthrocopy for fire år siden og sluttet å bruke den helt for over to år siden. Jeg tror på det tidspunktet ville det ikke være irriterende for Google å sende meg en rask e-post: “Hei, bruker du fortsatt dette? Hvis ikke, sletter vi det. "

Jeg tror dette bør være politikken for hva som helst. Twitter, Facebook, MySpace, Gmail osv. Det bør være en administrativ rensing av data for forlatte kontoer. Denne policyen må være forhåndsbetalt når det gjelder tjenestevilkårene, og du kan kanskje gi muligheten til å deaktivere automatisk sletting av inaktive kontoer.

Jeg ser for meg at angrep som disse pågår akkurat nå og vil fortsette å skje til vi alle klarer og sletter gamle kontoer (feit sjanse) eller tjenesteleverandører begynner å implementere tiltak for å forhindre at zombiekontoer kommer tilbake og spiser hjernen til våre tidligere kolleger med spam (eller verre).

Konklusjon

Jeg gjorde en feil og lærte leksjonen min. Jeg gjør mitt beste for å utføre skadekontroll og forhindre at dette skjer igjen. Men hvis du har hatt en lignende opplevelse eller har ytterligere innsikt eller forslag, vil jeg gjerne vite det.