Waarschuwing: verlopen domeinen zijn gemakkelijk te kiezen voor hackers

Ik heb deze week een harde les geleerd. Om kort te gaan, een spammer uit Vietnam heeft mijn Google Apps for Domains-account (nu genaamd Google Apps for Business) gekaapt en stuurt momenteel mensen e-mails vanaf mijn oude e-mailadres ( [email protected] ), compleet met mijn handtekening, telefoonnummer en naam en alles erop. Anthrocopy.com was een informele dba-naam die ik jaren geleden gebruikte voor mijn freelance schrijfactiviteiten, maar ik heb het geleidelijk afgebouwd en het domein laten vervallen. Nu is er iemand anders naar de plaats verhuisd, heremietkreeft, en neemt waarschijnlijk contact op met al mijn oude zakelijke contacten over goedkope Viagra.

Ik heb hierover contact met Google opgenomen en hun officiële reactie was: "Het spijt me je te moeten vertellen dat we je niet kunnen helpen met dit probleem, omdat je dat domein niet meer bezit."

Eerlijk genoeg. Ik laat het domein namelijk verlopen en laat het door iemand anders kopen, en laat hen daarmee mijn oude Gmail-account, Google Docs-account en elke andere webservice van derden die ik mogelijk heb gebruikt Google-authenticatie gebruiken om in te loggen . Google-technische ondersteuning heeft aanbevolen om contact op te nemen met de ordehandhaving, maar ik denk dat de FBI grotere vissen heeft om te frituren dan sommige Vietnamese spammers die doen alsof ze een zachtaardige freelance schrijver zijn.

Het lijkt er dus op dat het enige verhaal dat ik kon achterlaten was om het woord te verspreiden dat ik gekaapt was en, in het proces, misschien een aankondiging van een openbare dienst te geven over het laten vervallen van je domeinregistraties zonder alle andere bijbehorende services te vernietigen. De details van die twee inspanningen volgen.

Waarom krijg ik een foutmelding over bezorgingsbezorging voor e-mails die ik niet heb verzonden?

Ik weet niet zeker waarom dit met mij is gebeurd, maar de laatste tijd krijg ik een hoop mislukte bezorgmeldingen of automatische antwoorden van het kantoor voor e-mails die ik nooit heb verzonden. Een van deze e-mails heeft mij getipt over het feit dat er iets niet goed met mijn online identiteit gebeurde.

E-mail spoofing versus gecompromitteerde e-mailaccount

De eerste paar die ik ontving waren een eenvoudig geval van e-mail-spoofing. Dat wil zeggen, iemand stuurde e-mails met de mededeling dat ze van mij waren, maar uit de kopteksten van de e-mail bleek dat ze echt niet van mijn account werden verzonden. E-mail spoofing is een veel voorkomende, vaak geautomatiseerde aanval en is meestal onschadelijk, omdat de meeste mailservers een vervalste e-mail herkennen. SPF-records kunnen deze inspanning helpen.

Hier is een voorbeeld van een eenvoudige vervalste e-mail:

De bezorging is mislukt voor deze ontvangers of groepen:
[email protected]
Het e-mailadres dat u hebt ingevoerd, kon niet worden gevonden. Controleer het e-mailadres van de ontvanger en probeer het bericht opnieuw te verzenden. Neem contact op met uw helpdesk als het probleem aanhoudt.
diagnostische informatie voor beheerders:
Server genereren: higginbotham.net
[email protected]
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; niet gevonden ##
Oorspronkelijke berichtkoppen:
Ontvangen: van ecsdel01.appriver.com (72.32.253.39) door mail.higginbotham.net
(10.5.2.56) met Microsoft SMTP Server id 14.1.218.12; Di, 29 april 2014
00:41:57 -0500
Ontvangen: van [10.238.8.145] (HELO inbound.appriver.com) door
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) met ESMTP id 401638471
voor [email protected]; Di, 29 apr. 2014 00:41:58 -0500
X-Note-AR-ScanTijdLocal: 29-4-2014 12:41:56 AM
X-beleid: higginbotham.net
X-Primary: [email protected]
X-Note: deze e-mail is gescand door AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analyse: 0, 97.67.222.18, Ugly c = 0.425302 p = 0.483871 Bron Normaal
X-handtekening-overtredingen: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Mislukt: 0 Chk: 1342 van 1342 in totaal
X-Note: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Warn: BOUNCETRACKER Bounce User Tracking gevonden
X-Warn: OPTOUT
X-Warn: REVDNS Geen omgekeerd DNS-record voor 97.67.222.18
X-Warn: HELOBOGUS HELO-opdracht uitgegeven zonder domein.
X-Waarschuw: BULKMAILER
X-Warn: WEIGHT10
X-Warn: WEIGHT15
X-Note: Spam Tests Failed: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: VERENIGDE STATEN-> VERENIGDE STATEN
X-Note-Sending-IP: 97.67.222.18
X-Note-Reverse-DNS:
X-Note-Return-Path: [email protected]
X-Note: Hits van gebruikersregel:
X-Note: Global Rule Hits: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Verslagregel Hits versleutelen:
X-Note: Mail Class: VALID
X-Note: Headers geïnjecteerd
Ontvangen: van [97.67.222.18] (HELO [97.67.222.18]) door inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) met ESMTP id 191929257 voor
[email protected]; Di, 29 apr. 2014 00:41:56 -0500
Van: DrOZNetwork-nieuwsbrief
Naar:
Onderwerp: U zult ten minste om de twee weken ten minste een afmeting verliezen
Datum: di, 29 apr 2014 01:41:57 -0400
Lijst-Afmelden:
MIME-versie: 1.0
Reply-To: "DrOZNetwork Nieuwsbrief"
x-job: 00645_45748849
Message-ID:
Inhoudstype: multipart / alternatief; begrenzing =”MeDnwMAYvTCJ = _ ?:”
Retourpad: [email protected]

Maar toen ontving ik een mislukte bezorgnotificatie die het oorspronkelijke bericht bevatte. En ik merkte op dat het een echt e-mailadres had dat ik ooit gebruikte ([email protected]) en mijn e-mailhandtekening. Dit was het bewijs dat niet alleen iemand zei dat zij mij waren, maar dat ze eigenlijk legitieme e-mails van mijn oude adres stuurden. Het werd eigenlijk via Gmail verzonden.

Hoe kan dit zo zijn? Het leek erop dat mijn oude Google Apps for Domains-account de inloggegevens had voor mijn nog actieve hoofd-e-mailadres. Niet goed.

Ten eerste was ik bang dat een computer die ik onlangs aan een vriend had gegeven, werd misbruikt. Maar ik heb het IP-adres (1.54.46.59) opgezocht uit de kop van de afzender en het bleek dat de e-mail was verzonden door iemand in Vietnam. Ik controleerde mijn StatCounter-logboek en ontdekte ook dat de hacker mijn webpagina had bezocht:

Het lijkt erop dat iemand specifiek en voortdurend mijn identiteit probeert te stelen. Ik heb geen idee waarom. Maar door Anthrocopy.com van mij en mijn gekoppelde Google Apps for Domains-account te stelen, lijkt het erop dat ze enige vooruitgang hebben geboekt.

Hoe hackers toegang kunnen krijgen tot uw Gmail door een verlopen domein te kopen

Google Apps voor domeinen verschilt van een normaal Gmail- of Google Documenten- of Google Drive-account omdat het is gekoppeld aan een domein dat u mogelijk heeft geregistreerd bij een ander bedrijf dan Google. In 2010 heb ik Anthrocopy.com geregistreerd bij Namecheap.com. Nadat ik mijn freelance-carrière had afgebouwd om fulltime technisch schrijver te worden, liet ik het domein vervallen. Op de een of andere manier kwam de hacker erachter dat ik een Google Apps for Domain-account had, hoewel ik het domein niet langer bezat. Dus op 20 juni 2014 heeft iemand het gekocht via moniker.com, volgens Whois.

Dat is eerlijk spel. Als ik geen domeinnaam meer wil, is iemand anders vrij om het te kopen. Ze hebben echter een stap verder gegaan en mijn Google Apps for Domains-account gehackt. Ze hebben dit gedaan met behulp van het Google Apps for Business-formulier voor accountherstel, dat u toegang geeft tot elk Google Apps-account als u kunt bewijzen dat u de eigenaar bent van een domeinnaam. In plaats van een wachtwoordherstel of wachtwoordhint te gebruiken, kunt u gewoon een CNAME-record maken voor het domein dat bewijst dat u de eigenaar van het domein bent. Vervolgens geeft Google u de sleutels van het account. Voor $ 10 heeft iemand in Vietnam net toegang gekregen tot al mijn oude Gmail-instellingen, geschiedenis en opgeslagen inloggegevens.

Hersteld een gehackt Google Apps for Business-account

Spoiler-melding: er is geen manier om een ​​aangetast Google Apps for Business-account te herstellen. Als iemand eigenaar is van het domein, zijn zij eigenaar van het bijbehorende Google Apps for Business-account. Dat is Google's standpunt daarover, en ik ben het daar zeer mee oneens, maar ik heb hen nog niet overtuigd om er nog iets aan te doen.

Toen ik hoorde wat er was gebeurd, heb ik via dit formulier contact opgenomen met Google Enterprise Support. Ongeveer 12 uur later (op een zaterdag, niet slecht), kreeg ik een telefoontje van een bevriende kerel die mijn incident nauwkeurig recapituleerde. Helaas vertelde hij me dat ik niets kon doen als ik niet kon bewijzen dat ik het domein bezat. Ik vertelde hem dat ik niet om het domein gaf, ik wilde gewoon mijn persoonlijke en professionele informatie en geloofsbrieven uit de handen van die willekeurige persoon. De tech zei dat hij de situatie zou escaleren, maar kort daarna ontving ik de volgende e-mail:

Hoi Jack,

Bedankt voor het beantwoorden van mijn oproep. Ik begrijp dat u de eigenaar van 'anthrocopy.com' was en een Google Apps-account maakte met dat domein, maar dat u het niet heeft verlengd, zodat iemand anders zich heeft geregistreerd en uw Google Apps-account heeft beheerd.

Volgens ons gesprek moet u, om een ​​Google Apps-account te hebben, eigenaar zijn van het domein dat u wilt gebruiken. Een andere persoon nam de controle over het domein over, omdat hij / zij in staat was om het eigendom te bewijzen via DNS-instellingen. Ik heb deze zaak geraadpleegd en het spijt me u te moeten vertellen dat we u niet kunnen helpen met dit probleem, omdat u dat domein niet meer bezit. Als leverancier van hulpprogramma's voor het maken van inhoud en hostingdiensten is Google niet in staat om te bemiddelen of te oordelen over geschillen tussen derden. We raden u aan uw bezorgdheden rechtstreeks bij de betreffende beheerder te melden.

Als u van mening bent dat de betreffende beheerder de toegang tot uw account op onwettige wijze beperkt, raden we u aan contact op te nemen met de ordehandhaving.

Oprecht,
Guillermo.
Google Enterprise-ondersteuning.

Dus, op dit moment zit ik vast.

Wat ga ik doen over mijn online reputatie?

Mijn volgende stap is om een ​​persoonlijk e-mailbericht te sturen naar iedereen die ik kan bedenken die in die contactlijst staat. En misschien post een melding op de websites voor de domeinen die ik nog steeds beheer. Maar behalve dat, lijkt het erop dat er niet veel is dat ik kan doen, behalve dat ik open ga met wat er is gebeurd en probeer ik me te verontschuldigen en uit te leggen aan elke getroffen persoon. Ik hoop de PR-strijd te winnen door bekendheid te geven aan het feit dat Anthrocopy.com en [email protected] nep zijn en dat de echte Jack Busch erg van streek is en heel erg spijt.

Leer van mijn fouten: laat domeinen niet vervallen

Vroeger kocht ik domeinen als een gek wanneer Godaddy een domeinnaamverkoop van 99 cent had of ik dacht aan een grappig idee voor een website. Nu realiseer ik me dat elk daarvan een beetje een verplichting is. Elke cel die ik bezit en vervolgens verwerp wordt een weg voor iemand om mijn identiteit te coöpteren. Met Anthrocopy, de enige met wie ik een Google Apps-account heb geregistreerd, dat domein dat ik vier jaar geleden kocht en laten verlopen een enorme kwetsbaarheid werd.

De bredere les hiervan is om oude rekeningen nooit te laten vervallen of vervallen. Houd elk account in de gaten dat u online maakt. Als u besluit het gebruik van het account stop te zetten, verwijdert u het. Vertrouw de serviceprovider niet om uw gegevens te verwijderen als het niet langer nuttig voor u is. Of het nu een oud Twitter-account is, een oud Facebook-account (lees ons artikel over het permanent verwijderen van je Facebook-account), een oud Xanga-blog of zelfs een oud AOL-account, graaf het nu op en verwijder het, of scrub het in ieder geval van persoonlijke informatie. Op het web zijn het zoekers en vind je wat je verliest te klein van aardappelen voor wetshandhavers om mee te doen.

Aanbeveling voor Google

Hoewel ik op prijs stel hoe snel een Google-vertegenwoordiger contact met mij opneemt, ben ik teleurgesteld dat er geen verder verhaal kan worden gedaan. Het is een ding om een ​​woning op te kopen die iemand heeft verlaten. Het is een ander ding om dat bezit te kunnen kopen en daarna hun identiteit op te nemen. Ik realiseer me dat ik waakzamer had moeten zijn over mijn oude, inactieve accounts, maar ik heb het gevoel dat het een productief beleid zou zijn om een ​​vervaldatum ook op inactieve accounts te hebben. Ik registreerde Anthrocopy vier jaar geleden en stopte het volledig te gebruiken meer dan twee jaar geleden. Ik denk dat het op dat moment niet vervelend zou zijn als Google me een korte e-mail zou sturen: "Hé, gebruik je dit nog steeds? Zo niet, dan zullen we het verwijderen. "

Ik denk dat dit overal het beleid voor moet zijn. Twitter, Facebook, MySpace, Gmail, etc. Er moet een administratieve opschoning van gegevens zijn voor verlaten accounts. Dit beleid moet vooraf in de servicevoorwaarden staan ​​en misschien kunt u de optie geven om het automatisch verwijderen van inactieve accounts uit te schakelen.

Ik kan me voorstellen dat aanvallen zoals deze nu aan de gang zijn en zullen blijven plaatsvinden totdat we allemaal verstandig zijn en oude accounts verwijderen (dikke kans) of dienstverleners maatregelen nemen om te voorkomen dat zombie-accounts terugkomen en de hersens van onze voormalige collega's opeten met spam (of erger).

Conclusie

Ik heb een fout gemaakt en heb mijn lesje geleerd. Ik doe mijn best om de schade te beheersen en te voorkomen dat dit opnieuw gebeurt. Maar als je een vergelijkbare ervaring hebt gehad of meer inzichten of suggesties hebt, zou ik het graag willen weten.