Advarsel: Udløbne domæner er nemme pickinger til hackere

Jeg har lært en vanskelig lektion i denne uge. Lang historie kort, en spammer fra Vietnam har kapret min Google Apps for Domains (nu kaldet Google Apps for Business) konto og sender i øjeblikket folkemails fra min gamle emailadresse ( [email protected] ) komplet med min underskrift, telefonnummer og navn og alt på det. Anthrocopy.com var et uformelt dba navn, jeg brugte år siden til min freelance skrivevirksomhed, men jeg langsomt fased det ud og lade domænet udløbe. Nu har en anden flyttet ind i stedet, eremitkrabbe stil, og kontakter nok alle mine gamle forretningsforbindelser om billige Viagra.

Jeg kontaktede Google om det, og deres officielle svar var "Jeg er ked af at fortælle dig, at vi ikke kan hjælpe dig med dette problem, da du ikke ejer dette domæne længere."

Fair nok. Jeg slipper jo domænet udløbe og derved lade en anden købe det, og så lader jeg dem kommandere min gamle Gmail-konto, Google Docs-konto og enhver anden tredjeparts webtjeneste. Jeg har muligvis brugt Google-godkendelse til at logge ind på . Google Tech Support anbefalede jeg at kontakte lovhåndhævelse, men jeg tror, ​​at FBI har større fisk at stege end nogle vietnamesiske spammer, som foregiver at være en mildmodig freelanceforfatter.

Så det lader til, at det eneste, der var tilbage for mig, var at sprede ordet, jeg var blevet kapret, og i færd med at give en offentlig meddelelse om at lade dine domæneregistreringer bortfalde uden at afvikle alle de øvrige tilknyttede tjenester. Oplysningerne om disse to indsatser følger.

Hvorfor får jeg mislykkede leveringsmeddelelser til e-mails, jeg ikke har sendt?

Jeg er ikke sikker på, hvorfor dette skete for mig, men i det sidste har jeg fået mange mislykkede leveringsmeddelelser eller ude af kontorproblemer for e-mails, som jeg aldrig sendte. En af disse e-mails er, hvad jeg slog af for, at der var noget ondt i min online identitet.

Email Spoofing vs. Compromised Email-konto

De første få, jeg modtog, var et simpelt tilfælde af e-mail-spoofing. Det vil sige, at nogen sendte e-mails, der sagde, at de var fra mig, men overskrifterne for e-mailen viste, at de virkelig ikke blev sendt fra min konto. E-mail-spoofing er et almindeligt, ofte automatiseret angreb og er for det meste harmløst, da de fleste mail-servere ved, hvordan man genkender en spoofed email. SPF-registreringer kan hjælpe denne indsats.

Her er et eksempel på en simpel spoofed email:

Der er ikke leveret til disse modtagere eller grupper:
[email protected]
Den indtastede e-mail adresse kunne ikke findes. Tjek venligst modtagerens e-mail-adresse og prøv at sende beskeden igen. Hvis problemet fortsætter, skal du kontakte din helpdesk.
Diagnostisk information til administratorer:
Generering af server: higginbotham.net
[email protected]
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; ikke fundet ##
Originale beskedoverskrifter:
Modtaget: fra ecsdel01.appriver.com (72.32.253.39) via mail.higginbotham.net
(10.5.2.56) med Microsoft SMTP Server id 14.1.218.12; Tirsdag, 29. april 2014
00:41:57 -0500
Modtaget: fra [10.238.8.145] (HELO inbound.appriver.com) af
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) med ESMTP id 401638471
til [email protected]; Tirsdag, 29 Apr 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56
X-Policy: higginbotham.net
X-Primary: [email protected]
X-Note: Denne e-mail blev scannet af AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analyse: 0, 97, 67, 222, 18, Ugly c = 0, 425302 p = 0, 483871 Kilde Normal
X-signatur-overtrædelser: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Fejl: 0 Chk: 1342 af 1342 i alt
X-Note: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55
X-varsel: BOUNCETRACKER Bounce User Tracking fundet
X-varsel: OPTOUT
X-Warn: REVDNS Ingen Reverse DNS-rekord for 97.67.222.18
X-Warn: HELOBOGUS HELO kommando udstedt uden domæne.
X-advarsel: BULKMAILER
X-advarsel: WEIGHT10
X-advarsel: WEIGHT15
X-Note: Spam-test mislykkedes: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Sti: USA -> USA
X-Note-Sending-IP: 97.67.222.18
X Bemærk-Reverse-DNS:
X-Note-Return-Path: [email protected]
X-Note: Brugerregel Hits:
X-Note: Global Rule Hits: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Krypter Regel Hits:
X-Note: Mail Class: Gyldig
X-Note: Injektionshoveder
Modtaget: fra [97.67.222.18] (HELO [97.67.222.18]) af inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) med ESMTP id 191929257 for
[email protected], Tirsdag, 29 Apr 2014 00:41:56 -0500
Fra: DrOZNetwork Nyhedsbrev
Til:
Emne: Du vil tabe mindst en størrelse hver fjorten dage
Dato: Tir, 29 Apr 2014 01:41:57 -0400
Liste-Afmeld:
MIME-Version: 1.0
Svar til: "DrOZNetwork Newsletter"
x-job: 00645_45748849
Message-ID:
Indholdstype: multipart / alternativ; grænse =”MeDnwMAYvTCJ = _ ?:”
Returvej: [email protected]

Men så fik jeg en fejlagtig leveringsmeddelelse, der omfattede den oprindelige meddelelse. Og jeg har bemærket, at den havde en faktisk e-mail-adresse, som jeg engang brugte ([email protected]) og min e-mail signatur også. Dette var tegn på, at der ikke kun var nogen, der sagde, at de var mig, de sendte faktisk legitime email fra min gamle adresse. Det blev faktisk sendt via Gmail.

Hvordan kunne det være? Det syntes at min gamle Google Apps for Domains-konto havde referencer for min stadig aktive hoved-e-mail-adresse i den. Ikke godt.

For det første var jeg bekymret over, at en computer, som jeg for nylig havde givet til en ven, blev misbrugt. Men jeg kiggede op IP-adressen (1.54.46.59) fra afsenderens overskrift, og det viste sig, at emailen blev sendt fra nogen i Vietnam. Jeg kontrollerede min StatCounter log og fandt også, at hackeren havde besøgt min webside:

Det lader til, at nogen specifikt og vedvarende forsøger at stjæle min identitet. Jeg aner ikke hvorfor. Men ved at stjæle Anthrocopy.com fra mig og min tilknyttede Google Apps for Domains-konto, ser det ud til, at de har gjort nogle fremskridt.

Hvordan Hackere kan få adgang til din Gmail ved at købe et udløbet domæne

Google Apps til domæner er forskellig fra en normal Gmail- eller Google Dokumenter eller Google Drive-konto, fordi den er knyttet til et domæne, som du måske har registreret fra et andet firma end Google. Tilbage i 2010 registrerede jeg Anthrocopy.com med Namecheap.com. Efter at jeg har slået ned min freelance karriere til at arbejde som en fuldtids teknisk forfatter, lader jeg domænet udløbe. På en eller anden måde fandt hackeren ud af, at jeg havde en Google Apps for Domain-konto, selvom jeg ikke længere ejer domænet. Så den 20. juni 2014 købte nogen det via moniker.com, ifølge Whois.

Det er retfærdigt spil. Hvis jeg ikke længere vil have et domænenavn, kan andre købe det. Men de tog det et skridt videre og hackede ind på min Google Apps for Domains-konto. De gjorde det ved at bruge Google Apps for Business-kontoinddrivelsesformularen, som giver dig adgang til enhver Google Apps-konto, hvis du kan bevise, at du ejer et domænenavn. I stedet for at bruge et kodeord for nulstilling af adgangskode eller adgangskode, kan du bare oprette en CNAME-post for domænet, der viser, at du ejer domænet. Derefter giver Google dig nøglerne til kontoen. For $ 10 har en person i Vietnam lige fået adgang til alle mine gamle Gmail-indstillinger, historie og gemte loginoplysninger.

Gendannelse af en hijacked Google Apps for Business-konto

Spoiler alarm: Der er ingen måde at genoprette en kompromitteret Google Apps for Business-konto. Hvis nogen ejer domænet, ejer de den tilknyttede Google Apps for Business-konto. Det er Googles holdning til det, og jeg er meget uenig, men jeg har ikke overbevist dem om at gøre noget ved det endnu.

Da jeg lærte, hvad der var sket, kontaktede jeg Google Enterprise Support via denne formular. Omkring 12 timer senere (på en lørdag, ikke dårlig), fik jeg et opkald fra en venlig fyr, der genoptog min hændelse præcist. Desværre fortalte han mig, at der ikke var noget, jeg kunne gøre, hvis jeg ikke kunne bevise, at jeg ejede domænet. Jeg fortalte ham, at jeg ikke var ligeglad med domænet, jeg ville bare have mine personlige og faglige oplysninger og legitimationsoplysninger ud af den tilfældige person. Teknologien sagde, at han ville eskalere situationen, men kort efter modtog jeg følgende email:

Hej jack

Tak fordi du besvarede mit opkald. Jeg forstår, at du var ejer af 'anthrocopy.com' og oprettet en Google Apps-konto ved hjælp af dette domæne, men du fornyede det ikke, så andre registrerede og tog kontrol over din Google Apps-konto.

I henhold til vores samtale skal du have det domæne, du binder til at bruge, for at kunne have en Google Apps-konto. En anden person tog kontrol over domænet, da han / hun var i stand til at bevise ejerskab via DNS-indstillinger. Jeg har konsulteret denne sag, og jeg er ked af at fortælle dig, at vi ikke kan hjælpe dig med dette problem, da du ikke ejer dette domæne længere. Som leverandør af indholdsværktøjer og hosting-tjenester er Google ikke i stand til at mægle eller afgøre tvister mellem tredjeparter. Vi anbefaler, at du rejser dine bekymringer direkte med den pågældende administrator.

Hvis du mener, at den pågældende administrator ulovligt begrænser adgangen til din konto, anbefaler vi at du kontakter politiet.

Med venlig hilsen
Guillermo.
Google Enterprise Support.

Så nu sidder jeg fast.

Hvad skal jeg gøre om mit online omdømme?

Mit næste skridt er at sende en personlig email til alle, jeg kan tænke på, der kan være i kontaktlisten. Og måske sende en anmeldelse på hjemmesiderne for de domæner, som jeg stadig kontrollerer. Men bortset fra det ser det ud til, at der ikke er meget, jeg kan gøre, bortset fra at gå offentligt med hvad der skete og forsøge at undskylde og forklare hver berørt person. Jeg håber at vinde PR-slaget ved at gøre det almindeligt kendt, at Anthrocopy.com og [email protected] er falske, og at den virkelige Jack Busch er meget ked af det og meget ked af det.

Lær af mine fejl: Lad ikke domæner bortfalde

Jeg plejede at købe domæner som skør, når GoDaddy havde et 99 cent domænenavn salg eller jeg tænkte på en sjov idé til en hjemmeside. Nu indser jeg, at hver enkelt af dem er noget ansvar. Hver eneste jeg ejer og så disown bliver en avenue for at nogen kan co-optage min identitet. Med Anthrocopy, som var den eneste, jeg registrerede en Google Apps-konto med, blev det domæne, jeg købte for fire år siden og udløbet, blevet en stor sårbarhed.

Den bredere lektion fra dette er at aldrig lade gamle konti forlade eller udløbe. Hold faner på hver konto, du opretter online. Hvis du beslutter dig for at stoppe med at bruge kontoen, skal du slette den. Forlad ikke tjenesteudbyderen til at gendanne dine data, når det ikke længere er nyttigt for dig. Uanset om det er en gammel Twitter-konto, en gammel Facebook-konto (læs vores artikel om, hvordan du permanent sletter din Facebook-konto), en gammel Xanga-blog eller endog et gammelt AOL-konto, graver det nu og sletter det eller i det mindste skrubber det fra personlige oplysninger. På internettet er det finders brugere, og hvad du taber vil være for lille af kartofler til retshåndhævelse for at blive involveret.

Anbefaling til Google

Selvom jeg sætter pris på, hvor hurtigt en Google-repræsentant nåede ud til mig, er jeg skuffet over, at der ikke er nogen yderligere anvendelse. Det er en ting at købe en ejendom, som nogen har forladt. Det er en anden ting at kunne købe den egenskab og derefter påtage sig deres identitet bagefter. Jeg er klar over, at jeg burde have været mere opmærksom på mine gamle inaktive konti, men jeg synes, at det ville være en produktiv politik at også have en udløbsdato på inaktive konti. Jeg registrerede Anthrocopy for fire år siden og stoppede med at bruge det helt for over to år siden. Jeg tror på det tidspunkt, at det ikke ville være irriterende for Google at sende mig en hurtig email: "Hey, bruger du stadig det her? Hvis ikke, sletter vi det. "

Jeg mener, at dette bør være politikken for noget. Twitter, Facebook, MySpace, Gmail osv. Der skal være en administrativ udrensning af data for forladte konti. Denne politik bør være i forkant i servicevilkårene, og måske kan du give mulighed for at deaktivere automatisk sletning af inaktive konti.

Jeg forestiller mig, at angreb som disse foregår lige nu og vil fortsætte med at forekomme, indtil vi alle er kloge og sletter gamle konti (fedt chancen) eller tjenesteydere begynder at gennemføre foranstaltninger for at forhindre zombie-konti i at komme tilbage og spise hjernen hos vores tidligere kolleger med spam (eller værre).

Konklusion

Jeg lavede en fejl, og jeg lærte min lektion. Jeg gør mit bedste for at udføre skadekontrol og forhindre det i at ske igen. Men hvis du har haft en lignende oplevelse eller har yderligere indsigt eller forslag, vil jeg gerne vide det.