Advarsel: Utløpte domener er enkle plukkinger for hackere

Jeg lærte en hard leksjon denne uken. Lang historie kort, en spammer fra Vietnam har kapret min Google Apps for Domener (nå kalt Google Apps for Business) -kontoen og sender for øyeblikket folkemelding fra min gamle e-postadresse ( [email protected] ) komplett med min signatur, telefonnummer og navn og alt på den. Anthrocopy.com var et uformelt dba-navn som jeg brukte år siden for freelance-skriving, men jeg sakte langsomt ut det og la domenet utløpe. Nå har noen andre flyttet inn i stedet, eremit-krabbe stil, og kontakter sannsynligvis alle mine gamle forretningsforbindelser om billig Viagra.

Jeg kontaktet Google om det, og deres offisielle svar var "Jeg beklager å fortelle deg at vi ikke kan hjelpe deg med dette problemet siden du ikke eier det domenet lenger."

Greit nok. Tross alt, la jeg domenet utløpe, og dermed la noen andre kjøpe det, og dermed la jeg dem kommandere min gamle Gmail-konto, Google Docs-konto og andre tredjeparts webtjenester. Jeg kan ha brukt Google-godkjenning til å logge på . Google-teknisk støtte anbefales at jeg kontakter lovhåndhevelse, men jeg tror FBI har større fisk å steke enn noen vietnamesisk spammer som utgir seg for å være en mildmodig frilansskribent.

Så, det virker som om det eneste som var igjen for meg, var å spre ordet som jeg hadde blitt kapret og i prosessen kanskje gi en offentlig tjeneste kunngjøring om å la domeneregistrene bortfalle uten å avvikle alle de andre tilknyttede tjenestene. Detaljer om disse to anstrengelsene følger.

Hvorfor mottar jeg mislykkede leveringsvarsler for e-postmeldinger jeg ikke sendte?

Jeg er ikke sikker på hvorfor dette skjedde med meg, men i det siste har jeg fått mange mislykkede leveringsvarsler eller ikke-autoriserte svar på kontoer for e-postmeldinger jeg aldri sendte. En av disse e-postadressene er det som skjedde meg til det faktum at noe unødig skete med min online identitet.

Email Spoofing vs kompromittert e-postkonto

De første parene jeg mottok var et enkelt tilfelle av e-spoofing. Det vil si at noen var å sende e-postmeldinger som sa at de var fra meg, men overskriftene til e-posten viste at de egentlig ikke ble sendt fra kontoen min. E-postspoofing er et vanlig, ofte automatisert angrep, og er for det meste harmløst, siden de fleste e-postservere vet hvordan de skal gjenkjenne en spoofed e-post. SPF-poster kan hjelpe denne innsatsen.

Her er et eksempel på en enkel spoofed e-post:

Levering har mislyktes til disse mottakere eller grupper:
[email protected]
E-postadressen du skrev inn ble ikke funnet. Vennligst sjekk mottakerens e-postadresse og prøv å sende meldingen på nytt. Hvis problemet fortsetter, vennligst kontakt din helpdesk.
Diagnostisk informasjon for administratorer:
Genererer server: higginbotham.net
[email protected]
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; ikke funnet ##
Originale meldingshoder:
Mottatt: fra ecsdel01.appriver.com (72.32.253.39) via mail.higginbotham.net
(10.5.2.56) med Microsoft SMTP Server ID 14.1.218.12; Tirsdag, 29. april 2014
00:41:57 -0500
Mottatt: fra [10.238.8.145] (HELO inbound.appriver.com) av
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) med ESMTP-ID 401638471
for [email protected]; Tirsdag, 29 april 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56
X-policy: higginbotham.net
X-Primary: [email protected]
X-Note: Denne e-posten ble skannet av AppRiver SecureTide
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-analyse: 0, 97.67.222.18, Ugly c = 0.425302 p = 0.483871 Kilde Normal
X-signatur-overtredelser: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Mislykkes: 0 Chk: 1342 av 1342 totalt
X-Note: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-varsel: BOUNCETRACKER Bounce User Tracking funnet
X-varsel: OPTOUT
X-varsel: REVDNS Ingen omvendt DNS-post for 97.67.222.18
X-varsel: HELOBOGUS HELO-kommandoen utstedt uten domener.
X-varsel: BULKMAILER
X-varsel: WEIGHT10
X-varsel: VIKT15
X-Note: Spamtester mislyktes: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Sti: USA -> USA
X-Note-Sending-IP: 97.67.222.18
X-Note-revers-DNS:
X-Note-Return-Path: [email protected]
X-Note: Brukerregel Hits:
X-Note: Global Rule Hits: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Note: Krypter Regel Hits:
X-Note: Mail Class: Gyldig
X-Note: Injeksjonshoder
Mottatt: fra [97.67.222.18] (HELO [97.67.222.18]) av inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) med ESMTP ID 191929257 for
[email protected]; Tirsdag 29 april 2014 00:41:56 -0500
Fra: DrOZNetwork Nyhetsbrev
Til:
Emne: Du vil miste minst en størrelse hver fjorten dager
Dato: Tir, 29 Apr 2014 01:41:57 -0400
List-Unsubscribe:
MIME-versjon: 1.0
Svar til: "DrOZNetwork Newsletter"
x-jobb: 00645_45748849
Message-ID:
Innholdstype: multipart / alternativ; boundary =”MeDnwMAYvTCJ = _ ?:”
Returbane: [email protected]

Men da mottok jeg et mislykket leveringsvarsel som inkluderte den opprinnelige meldingen. Og jeg la merke til at den hadde en faktisk e-postadresse som jeg engang brukte ([email protected]) og min e-signatur også. Dette var bevis på at det ikke bare var noen som sa at de var meg, de sendte faktisk legitime e-postmeldinger ut fra min gamle adresse. Det ble faktisk sendt via Gmail.

Hvordan kunne dette være? Det virket som om min gamle Google Apps for Domains-konto hadde legitimasjonene for min fremdeles aktive hoved-e-postadresse i den. Ikke bra.

Først var jeg bekymret for at en datamaskin som jeg nylig hadde gitt til en venn ble misbrukt. Men jeg så opp IP-adressen (1.54.46.59) fra avsenderens topptekst, og det viste seg at e-posten ble sendt fra noen i Vietnam. Jeg sjekket min StatCounter logg og fant også at hackeren hadde besøkt min nettside:

Det ser ut til at noen er spesielt og vedvarende forsøker å stjele min identitet. Jeg aner ikke hvorfor. Men ved å stjele Anthrocopy.com fra meg og min tilknyttede Google Apps for Domains-konto, virker det som om de har gjort noe fremgang.

Hvordan Hackere kan få tilgang til Gmail ved å kjøpe et utløpt domene

Google Apps for Domains er forskjellig fra en vanlig Gmail- eller Google Dokumenter eller Google Drive-konto, fordi den er knyttet til et domene som du kanskje har registrert fra et annet firma enn Google. Tilbake i 2010 registrerte jeg Anthrocopy.com med Namecheap.com. Etter at jeg har slått ned frilanskarrieren min til å jobbe som en teknisk teknisk forfatter, la jeg domenet utløpe. På en eller annen måte fant hackeren ut at jeg hadde en Google Apps for Domain-konto, selv om jeg ikke lenger eide domenet. Så, 20. juni 2014, kjøpte noen det gjennom moniker.com, ifølge Whois.

Det er rettferdig spill. Hvis jeg ikke vil ha et domenenavn lenger, kan noen andre kjøpe det. Men de tok det et skritt videre og hacket inn på min Google Apps for Domains-konto. De gjorde dette ved å bruke Google Apps for Business-kontooppdateringsskjemaet, som gir deg tilgang til en Google Apps-konto hvis du kan bevise at du eier et domenenavn. I stedet for å bruke en tilbakestilling av passord eller passord, kan du bare opprette en CNAME-post for domenet som viser at du eier domenet. Deretter gir Google deg nøklene til kontoen. For $ 10 har noen i Vietnam nettopp fått tilgang til alle mine gamle Gmail-innstillinger, historie og lagrede påloggingsinformasjon.

Gjenopprette en hijacked Google Apps for Business-konto

Spoiler varsling: Det er ingen måte å gjenopprette en kompromittert Google Apps for Business-konto. Hvis noen eier domenet, eier de den tilknyttede Google Apps for Business-kontoen. Det er Googles posisjon på det, og jeg er svært uenig, men jeg har ikke overbevist dem om å gjøre noe med det enda.

Da jeg lærte hva som hadde skjedd, kontaktet jeg Google Enterprise Support via dette skjemaet. Omtrent 12 timer senere (på en lørdag, ikke dårlig), fikk jeg en samtale fra en vennlig fyr som resirkulerte hendelsen min nøyaktig. Dessverre fortalte han meg at det ikke var noe jeg kunne gjøre, hvis jeg ikke kunne bevise at jeg eide domenet. Jeg fortalte ham at jeg ikke bryr meg om domenet, jeg ville bare ha min personlige og profesjonelle informasjon og legitimasjon ut av hendene til den tilfeldige personen. Teknologien sa at han ville eskalere situasjonen, men kort tid etter mottok jeg følgende e-post:

Hei Jack,

Takk for at du svarer på mitt anrop. Jeg forstår at du var eieren av 'anthrocopy.com' og opprettet en Google Apps-konto ved hjelp av det domenet, men du fornyte det ikke slik at noen andre registrerte og tok kontroll over Google Apps-kontoen din.

I henhold til vår samtale, for å kunne ha en Google Apps-konto må du eie domenet du knytter til å bruke. En annen person tok kontroll over domenet siden han / hun var i stand til å bevise eierskap via DNS-innstillinger. Jeg har konsultert denne saken, og jeg beklager å fortelle deg at vi ikke kan hjelpe deg med dette problemet siden du ikke eier det domenet lenger. Som leverandør av verktøy for innholdsskaping og hosting-tjenester, er Google ikke i stand til å formidle eller avgjøre tvister mellom tredjeparter. Vi anbefaler at du tar opp dine bekymringer direkte med den aktuelle administratoren.

Hvis du mener at den aktuelle administratoren ulovlig begrenser tilgangen til kontoen din, anbefaler vi at du kontakter politiet.

Vennlig hilsen,
Guillermo.
Google Enterprise Support.

Så, på dette punktet, er jeg fast.

Hva skal jeg gjøre om mitt elektroniske omdømme?

Mitt neste skritt er å sende ut en personlig epost til alle jeg kan tenke på som kan være i kontaktlisten. Og kanskje legge inn et varsel på nettstedene for de domenene jeg fortsatt kontrollerer. Men bortsett fra det, ser det ut som det ikke er mye jeg kan gjøre, annet enn å bli offentlig med det som skjedde og prøve å be om unnskyldning og forklare hver berørt person. Jeg håper å vinne PR-kampen ved å gjøre det kjent at Anthrocopy.com og [email protected] er falske, og at den virkelige Jack Busch er veldig opprørt og veldig lei meg.

Lær av mine feil: ikke la domenene gå bort

Jeg pleide å kjøpe domener som gal når GoDaddy hadde et 99 prosent domenenavn eller jeg tenkte på en morsom ide for et nettsted. Nå skjønner jeg at hver enkelt av dem er noe ansvar. Hver jeg eier og da forkaster, blir en avenue for at noen kan samtykke til identiteten min. Med Anthrocopy, som var den eneste jeg registrerte en Google Apps-konto med, det domenet jeg kjøpte for fire år siden og utløp, ble til et stort sårbarhet.

Den bredere leksjonen fra dette er å aldri la gamle kontoer gå ut eller utløpe. Hold faner på hver konto du lager online. Hvis du bestemmer deg for å slutte å bruke kontoen, må du slette den. Ikke stol på tjenesteleverandøren om å ødelegge dataene dine når det ikke lenger er nyttig for deg. Enten det er en gammel Twitter-konto, en gammel Facebook-konto (les vår artikkel om hvordan du permanent sletter Facebook-kontoen din), en gammel Xanga-blogg eller en gammel AOL-konto, graver den nå og slett den, eller skru det i det minste fra personlig informasjon. På nettet er det vondere, og det du mister blir for lite av poteter for rettshåndhevelse for å bli involvert.

Anbefaling til Google

Mens jeg setter pris på hvor raskt en Google-representant nådde for meg, er jeg skuffet over at det ikke er noe nytt tiltak. Det er en ting å kjøpe opp en eiendom som noen har forlatt. Det er en annen ting å kunne kjøpe opp eiendommen og deretter påta seg identiteten deres etterpå. Jeg skjønner at jeg burde vært mer våken over mine gamle, inaktive kontoer, men jeg føler at det ville være en produktiv politikk å også ha en utløpsdato på inaktive kontoer. Jeg registrerte Anthrocopy for fire år siden og sluttet å bruke det helt over to år siden. Jeg tror på det tidspunkt at det ikke ville være irriterende for Google å sende meg en rask epost: "Hei, bruker du fortsatt dette? Hvis ikke, sletter vi det. "

Jeg tror dette bør være politikken for noe. Twitter, Facebook, MySpace, Gmail, etc. Det bør være en administrativ rensing av data for forlatte kontoer. Denne policyen bør være på forhånd i vilkårene for bruk, og kanskje du kan gi muligheten til å deaktivere automatisk sletting av inaktive kontoer.

Jeg antar at angrep som disse foregår akkurat nå, og vil fortsette å skje til vi alle vet og sletter gamle kontoer (fete sjanser) eller tjenesteleverandører begynner å implementere tiltak for å hindre at zombiekontoer kommer tilbake og spiser hjernen til våre tidligere kolleger med spam (eller verre).

Konklusjon

Jeg gjorde en feil, og jeg lærte leksjonen min. Jeg gjør mitt beste for å utføre skadekontroll og forhindre at dette skjer igjen. Men hvis du har hatt en lignende opplevelse eller har mer innsikt eller forslag, vil jeg gjerne vite det.