Mainos

Domain Stealer Kuten monet teistä tietävät jo 2. marraskuuta, MakeUseOf.com-verkkotunnus varastettiin meiltä. Verkkotunnuksen palauttaminen kesti noin 36 tuntia. Kuten olemme huomauttaneet aikaisemmin hakkeri on jotenkin päässyt käyttämään Gmail-tiliäni ja sieltä GoDaddy-tilillemme, avaa verkkotunnus ja siirrä se toiseen rekisterinpitäjään.

Voit nähdä koko tarinan väliaikaisessa blogissamme makeuseof-temporary.blogspot.com/

En aio julkaista mitään tapahtumasta tai hakkereista (henkilö, joka varastaa verkkotunnuksia) ja siitä, kuinka hän onnistui vetämään sen pois, ellei ollut itse täysin varma siitä. Minulla oli hyvä tunne, että se oli Gmail-tietoturvavirhe, mutta halusin vahvistaa sen ennen lähettämistä siitä MakeUseOf-sivustolla. Rakastamme Gmailia, ja huonojen mainosten antaminen heille ei ole jotain mitä haluamme tehdä.

Joten miksi kirjoittaa tästä nyt?

Kahden viime päivän aikana on tapahtunut useita asioita, jotka ovat saaneet minut uskomaan, että Gmailissa on vakava tietoturvavirhe ja kaikkien pitäisi olla tietoisia siitä. Varsinkin silloin, kun Steve Rubelin kaltaiset henkilöt kertovat sinulle

instagram viewer
Kuinka tehdä Gmail GateWay -sovellukseksi verkkoon. Älä nyt ymmärrä minua väärin, Gmail on mahtava sähköpostiohjelma. Paras todennäköisesti. Ongelmana on, että se ei ehkä ole luotettava tietoturvasta. Siitä huolimatta, se ei välttämättä tarkoita, että sinulla on paremmat mahdollisuudet käyttää Yahoota tai Live Mailia.

Tapahtuma 1: MakeUseOf.com - 2. marraskuuta

Kun verkkotunnuksemme varastettiin, epäilimme, että hakkeri käytti jotain reikää Gmailissa, mutta emme olleet varmoja siitä. Miksi epäilin, että sillä oli jotain tekemistä Gmailin kanssa? Ensinnäkin olen melko varovainen tietoturvan suhteen ja suoritan harvoin mitään, josta en ole varma. Pidän myös järjestelmääni ajan tasalla ja minulla on kaikki olennaiset ominaisuudet, mukaan lukien 2 haittaohjelmamonitoria, virustorjunta ja 2 palomuuria. Minulla on taipumus käyttää myös vahvoja ja ainutlaatuisia salasanoja jokaisessa tilissäni.

Hakkeri käytti Gmail-tiliäni ja perusti siellä joitain suodattimia, jotka auttoivat häntä pääsemään GoDaddy-tiliin. En tiedä, kuinka hän onnistui tekemään sen. Oliko se Gmailin tietoturvaaukko? Vai oliko se näppäimistö PC: lläni? En ollut varma siitä. Tapahtuman jälkeen olen tarkistanut järjestelmäni useilla haittaohjelmien poistoilla, en löytänyt mitään. Kävin myös läpi kaikki juoksevat prosessit. Kaikki omistettu puhtaiksi.

Joten olen taipuvainen uskomaan, että ongelma oli Gmailissa.

Tapahtuma 2: YuMP3.org - 19. marraskuuta

Sain sähköpostin 18. marraskuuta joku sivua ylläpitävältä Edin Osmanbegovic-nimeltä henkilöltä yump3.org. (Hän luultavasti löysi sähköpostini Googlen kautta, kun MakeUseOfin tapaus katettiin useissa suosituissa blogeissa, monissa joista sähköpostiosoite.) Edin kertoi sähköpostissaan, että hänen verkkotunnuksensa oli varastettu ja siirretty toiseen rekisterinpitäjään. Sekoitin nopeasti yoump3: ta ja huomasin, että melko vakiintunut verkkosivusto palvelee nyt linkkitila-sivua (aivan kuten meidän tapauksessamme).

Google (viimeisessä hakemistossa):

BREAKING: Uusi Gmail-tietoturvavirhe. Lisää verkkotunnuksia varastetaan! gmail-verkkotunnuksen varastaminen3

YouMP3.org-kotisivu (nykyinen):

BREAKING: Uusi Gmail-tietoturvavirhe. Lisää verkkotunnuksia varastetaan! yoump3org 2

Tässä on kopio ensimmäisestä sähköpostiviestistä, jonka sain Ediniltä:

Hei,
Minulla on sama ongelma verkkotunnuksellani.
Verkkotunnus on siirretty Enomista GoDaDDy: lle.
Olen lähettänyt heti tukilipun tästä ongelmasta.

Uuden verkkotunnuksen omistajan huora on:

Nimi: Amir Emami
Osoite 1: P.O. Laatikko 1664
Kaupunki: League City
Osavaltio: Texas
Postinumero: 77574
Maa: Yhdysvallat
Puhelin: +1.7138937713
Sähköposti:Hallinnolliset yhteystiedot:
Nimi: Amir Emami
Osoite 1: P.O. Laatikko 1664
Kaupunki: League City
Osavaltio: Texas
Postinumero: 77574
Maa: Yhdysvallat
Puhelin: +1.7138937713
Sähköposti:

Tekniset yhteystiedot:
Nimi: Amir Emami
Osoite 1: P.O. Laatikko 1664
Kaupunki: League City
Osavaltio: Texas
Postinumero: 77574
Maa: Yhdysvallat
Puhelin: +1.7138937713
Sähköposti:

Sähköposti on: [email protected]
Eilen kyseisen sähköpostiosoitteen kaveri oli ottanut minuun yhteyttä Gtalkin kautta.
Hän sanoi haluavansa 2000 dollaria verkkotunnukselle.
Tarvitsen neuvoja kiitos, olen ottanut yhteyttä Enomiin.

Kiitos.

Ja arvaa mitä, se on sama kaveri, joka aiemmin tässä kuussa varasti MakeUseOf.com-sivuston. Myös meihin otettiin yhteyttä samasta sähköpostiosoitteesta: [email protected]. Edin lähetti minulle myös tänään sähköpostiviestin ja vahvisti, että kaveri sai pääsyn verkkotunnukselleen myös Gmail-tilinsä kautta. Joten se on jälleen Gmail.

Viimeisimmässä sähköpostissaan (saapuneena tänään) Edin sisällytti pikakatsauksen tapahtumista


Minulla on historia, kuinka hän teki kaiken.

Olin omistajana 10. marraskuuta.
Mark Morphew 13. marraskuuta.
Amir Emami 18. marraskuuta.

Hän käytti [email protected] molemmissa henkilöissä.

Olen lähettänyt eilen myös joka kolmannen Monikeriin.
He tutkivat.

Tapahtuma 3: Cucirca.com - 20. marraskuuta

Tämä viimeinen sähköposti oli tärkein syy tähän viestiin. Se tuli Florin Cucirkalta, cucirca.com: n omistajalta. Sivustolla on alexa-sijoitus 7681 ja Florinin mukaan käy yli 100 000 käyntiä päivittäin.

Ensimmäinen sähköposti Florinilta:

Hei Aibek

Olen samassa tilanteessa makeuseof.com pääsi ulos.

Olen Cucirca Florin ja verkkotunnukseni www.cucirca.com oli
siirretty godaddy-tililtäni ilman lupaa.

Vaikuttaa siltä, ​​että varas tiesi gmail-salasanani, joka on outoa.
Hän onnistui luomaan joitain suodattimia tililleni.

Olen liittänyt 2 kuvakaappausta.

Voitko auttaa minua? Kerro minulle joitain yksityiskohtia siitä, kuinka voisin saada
pois tästä huonosta unesta? Löysin juuri tänään tästä ja minä
en usko, että en pysty nukkumaan tänään.

Kiitos etukäteen.

Florin Cucirca.

Lähetin sähköpostin Florinille ja kysyin häneltä joitain yksityiskohtia verkkotunnuksestaan, ottivatko hän yhteyttä GoDaddyyn ja mitä tietoja hän oli toistaiseksi saanut verkkotunnuksen hakkerista (termi käytetty verkkotunnuksen varastajaksi).

Toinen sähköposti Florinilta:

Hakkereilla oli pääsy sähköpostitililleni (gmail). Verkkotunnusta ylläpidettiin godaddyllä.
Käytin gmail-ilmoittajan laajennusta Firefoxissa. Ehkä siellä on iso virhe.
Hän siirsi verkkotunnuksen register.com

En ole puhunut hakkeri kanssa. Haluan saada sen takaisin laillisesti, ja jos ei ole muuta ratkaisua, voin maksaa hänelle

www.cucirca.com on Alexa Rank 7681 ja yli 100 000 käyntiä päivittäin.

Liitän sinulle 2 kuvakaappausta gmail-tilistäni.

[email protected] ja toisessa näytössä [email protected]

Jos teet Google-haun [email protected], löydät tämän:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Mielestäni jonkun pitäisi pysäyttää heidät.

Lähetin sähköpostilla [email protected] ja odotan vastausta.

Mitä mieltä sinä olet? Saanko verkkotunnukseni takaisin?

Näyttää siltä, ​​että se on taas Gmail! Tässä on osittainen kuvakaappaus siitä, mitä hän lähetti minulle:

BREAKING: Uusi Gmail-tietoturvavirhe. Lisää verkkotunnuksia varastetaan! gmail-verkkotunnuksen varastaminen
BREAKING: Uusi Gmail-tietoturvavirhe. Lisää verkkotunnuksia varastetaan! gmail-verkkotunnuksen varastaminen 2

Florinin tapauksessa hakkeri muutti verkkotunnuksen omistajuutta useita kuukausia sitten. Cucirca.com siirrettiin GoDaddystä Register.comiin. Koska hakkeri oli sieppaamassa hänen sähköpostinsa eikä koskaan vaihtanut nimipalvelimia, oletan, että Florinilla ei ollut aavistustakaan siitä, että jotain olisi vialla. Kun kysyin häneltä, miksi hänelle kesti niin kauan, kun hän sai tietää, että hän lähetti minulle seuraavat:

Hän siirsi verkkotunnuksen nimelleen 5.9.2008 pitäen nimipalvelimet ennallaan. Siksi en ole huomannut, että verkkotunnukseni oli varastettu vasta eilen, kun ystäväni teki huijausta verkkotunnuksessani….

Minulla ei ollut syytä tarkistaa Whois-tietueita, koska verkkotunnus oli rekisteröity yli 7 vuotta (2013-11-08 asti)

En ole vastaanottanut sähköposteja tältä henkilöltä.

Ja taas se näyttää olevan sama kaveri! Miksi luulen niin? Jos tarkistat linkin, jonka Florin sisälsi johonkin hänen sähköpostistaan ​​(lisäsin sen myös alla), näet että joissakin muissa vastaavissa tapauksissa (kuka tietää kuinka monta muuta verkkotunnusta hän on varastanut näin) sähköpostitse osoite [email protected] mainittiin yhdessä nimen Aydin Bolourizadeh kanssa. Sama sähköpostiosoite esiintyi myös Florinin Gmail-tilin edelleenlähetyssäännössä (katso ensimmäinen kuvakaappaus).

Kun MakeUseOf.com vietiin meiltä, ​​hakkeri kysyi minulta 2000 dollaria. Ja kun kysyin häneltä, missä ja miten hän haluaa maksaa, hän käski minun lähettää rahat Western Unionin kautta seuraavaan osoitteeseen:

Aydin Bolourizadeh
Turkki
ankara
Cukurca kirkkonaklar mah 3120006954

kuvakaappaus http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

BREAKING: Uusi Gmail-tietoturvavirhe. Lisää verkkotunnuksia varastetaan! yxl-linkki

Olen melko kaunis, että se oli sama kaveri kaikissa 3 tapauksessa ja todennäköisesti 788 muuta, jotka mainittiin yllä olevassa linkissä, mukaan lukien verkkotunnukset, kuten yxl.com, visitchina.net ja visitjapan.net.

Kun etsin kyseistä osoitetta Googlessa, huomasin myös, että hän omistaa seuraavat verkkotunnukset (todennäköisesti varasti myös ne):

    • Elli.com -

http://whois.domaintools.com/elli.com

    • Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Oletan, että kaveri on todellakin kotoisin Turkista, ja asuu todennäköisesti jossain seuraavalla alueella.

    • Cukurca kirkkonaklar mah 3120006954
    Ankara, Turkki

Tiedämme myös, että hän käyttää [email protected]ähköpostia sähköpostinaan. Joten jos tiedämme, mikä seisoo verkkotunnuksen domainsgames.org takana, saatamme vain askeleen lähemmäksi. Itse asiassa hän lähetti sähköpostia useita päiviä sitten ja pyysi minua poistamaan kaikki hänen sähköpostinsa esiintymät verkkosivustolta, ja jos emme noudata häntä, DDOS meille.

Tässä ovat hänen tarkat sanansa:

Hei,
Pyydän sinua poistamaan sähköpostiosoitteeni ([email protected]) verkkosivustoltasi!
Tee se, jos haluat, että sinulla ei ole ongelmia tulevaisuudessa, muuten ensinnäkin minulla on iso DDOS verkkosivustollasi ja teen sen alas ...
Olen hyvin seriuos, joten poista sähköpostini ja domainsgame.org -nimeni

Joten näyttää siltä, ​​että jos pääsemme verkkotunnuksen domainsgame.org taakse, saatamme saada kaverimme ja paljastaa todennäköisesti monia muita verkkotunnuksia, jotka hän on juurtunut. Lue lisää siitä alla. Puhutaanko nyt Gmailista.

Gmail-haavoittuvuus

Muistako kukaan, mikä on ollut David Aireyn kanssa viime vuonna? Myös hänen verkkotunnuksensa varastettiin. Tarina oli kaikkialla verkossa.

VAROITUS: Googlen GMail-tietoturvavirhe jättää yritykseni sabotoimaan
- Kollektiivinen työ palauttaa David Airey.com: n

Sekä me että David onnistuimme saamaan verkkotunnuksen takaisin. Mutta en ole varma, ovatko kaikki yhtä onnekkaita kuin me. Valitettavasti rekisterinpitäjät eivät todellakaan tee yhteistyötä kanssasi tässä, ellei tarina kiinnitä huomiota. Joten en epäilemättä siellä on satoja ihmisiä, joilla ei ole mahdollisuutta antaa joko verkkotunnustaan ​​tai maksaa kaverille.

Joka tapauksessa, takaisin Gmailiin.

David Airey viittasi ensimmäisessä artikkelissaan Gmail-haavoittuvuuteen, joka (jos en ole erehtynyt) mainittiin tässä useita kuukausia aikaisemmin. Yhteenvetona:

Uhri käy sivulla kirjautuneenaan Gmailiin. Suorittamisen jälkeen sivu suorittaa moniosaisen / lomaketiedon POST-sovelluksen yhdelle GMail-rajapinnoista ja ruiskuttaa suodattimen uhrin suodatinluetteloon. Yllä olevassa esimerkissä hyökkääjä kirjoittaa suodattimen, joka etsii yksinkertaisesti liitteitä sisältäviä sähköposteja ja välittää ne valitsemalleen sähköpostiosoitteelle. Suodatin siirtää automaattisesti kaikki sääntöä vastaavat sähköpostit. Muista, että myös tulevat sähköpostit välitetään edelleen. Hyökkäys on läsnä niin kauan kuin uhrilla on suodatin suodatinluettelossaan, vaikka Google olisi korjannut pistoksen aiheuttaneen alkuperäisen haavoittuvuuden.

alkuperäinen sivu: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Nyt mielenkiintoinen on se, että yllä olevan GNU Citizen -linkin päivitys toteaa, että haavoittuvuus on korjattu ennen 28. syyskuuta 2007. Mutta Daavidin tapauksessa tapaus tapahtui joulukuussa, 2-3 kuukautta myöhemmin.

Joten oliko riisto todella vahvistettu tuolloin? Vai oliko se uusi hyödyntämä Davidin tapauksessa? Ja mikä tärkeintä, onko Gmailissa nyt samanlainen tietoturvavirhe NYT?

Mitä sinun pitäisi tehdä nyt?

(1) Aivan ensimmäinen neuvoni olisi tarkistaa sähköpostiasetuksesi ja varmistaa, että sähköpostisi ei ole vaarantunut. Tarkista lähetysvaihtoehdot ja suodattimet. Muista myös poistaa IMAP käytöstä, jos et käytä sitä. Tämä koskee myös Google Apps -tilejä.

(2) Vaihda arkaluontoisissa verkkotileissäsi (paypal, verkkotunnuksen rekisteröijä jne.) Oleva yhteysosoite ensisijaisesta Gmail-tilistäsi johonkin muuhun. Jos omistat verkkosivuston, vaihda isäntä- ja rekisteröintitilisi yhteysosoite toiseen sähköpostiosoitteeseen. Mieluiten sellaiselle, johon et ole kirjautunut sisään selatessasi verkkoa.

(3) Muista päivittää verkkotunnuksesi yksityiseen rekisteröintiin, jotta yhteystietosi eivät näy WhoIS-hakuissa. Jos olet GoDaddy-palvelussa, suosittelen suojatun rekisteröinnin käyttämistä.

(4) Älä avaa linkkejä sähköpostissasi, jos et tiedä henkilöä, josta he ovat lähtöisin. Ja jos päätät avata linkin, kirjaudu ensin ulos.

PÄIVITTÄÄ:

Löysin hyviä artikkeleita, joissa keskustellaan mahdollisista tietoturvavirheistä vastauksena MakeUseOfin artikkeliin:

Gmailin tietoturvakonsepti
Kommentteja tästä YCombinatorissa
- (marraskuu 26'th) Gmail-tietoturva ja viimeaikainen tietojenkalastelu [Googlen virallinen vastaus]

Auta meitä saamaan kaveri!

Yllä olevan postiosoitteen lisäksi tiedämme myös, että hän käyttää [email protected] hänen sähköpostinaan. Joten jos saamme selville kuka omistaa nyt domainsgames.org, saatamme päästä askeleen lähemmäksi. tai ainakin palauttaa hänen varastetut verkkotunnukset omistajilleen.

Nyt asia on, että verkkotunnusta domainsgames.org suojaa Moniker ja he piilottavat kaikki siihen liittyvät yhteystiedot.

Verkkotunnuksen tunnus: D154519952-LROR
Verkkotunnus: DOMAINSGAME.ORG
Luotu: 22. lokakuuta-2008 07:35:56 UTC
Viimeksi päivitetty: 8. marraskuuta 2008 12:11:53 UTC
Viimeinen käyttöpäivä: 22. lokakuuta-2009 07:35:56 UTC
Sponsoroiva kirjaaja: Moniker Online Services Inc. (R145-LROR)
Tila: KLIENTIN POISTAMINEN KIELLETTY
Tila: KLIENTIN SIIRTO Kielletty
Tila: KLIENTIN PÄIVITYS KIELLETTY
Tila: SIIRTO Kielletty
Rekisteröintitunnus: MONIKER1571241
.
.
.
.
Nimipalvelin: NS3.DOMAINSERVICE.COM
Nimipalvelin: NS2.DOMAINSERVICE.COM
Nimipalvelin: NS1.DOMAINSERVICE.COM
Nimipalvelin: NS4.DOMAINSERVICE.COM

Olen jo lähettänyt heille sähköpostia (samoin kuin Edin) heille siitä ja päivittää sinut täällä heti, kun kuulen heiltä jotain.

Minulla on myös joitain pyyntöjä seuraaville yrityksille, jotka tarjoavat nyt palvelujaan tälle henkilölle.

Useiden sähköpostien otsikkotiedostojen käydessä läpi oli selvää, että hakkeri käytti Google-sovelluksia. Ole hyvä ja tutkia sitä. Verkkotunnus on domainsgame.org. Ja myös kiitos! Gmail.

Ensinnäkin, auttakaa Ediniä ja Florinia hakemaan verkkotunnuksensa takaisin. Yksi fiksu tehtävä olisi tarkistaa tilin sisäänkirjautumisen IP-osoitteet kaikista vastaavista ilmoitetuista tapauksista. Esimerkiksi sekä Edinin tapauksessa että meidän (ei ole varma Florinista) tapauksessa hakkeri käytti 64.72.122.156 IP-osoitetta. (Mikä muuten osoittautui vaarannetuksi Alpha Red Inc. -palvelimeksi.) Tai jopa helpompaa, lukitse vain verkkotunnus ja pyydä nykyisen tilin omistajaa todistamaan henkilöllisyytensä. Koska hakkeri käytti erilaisia ​​identiteettejä kaikkialla, hänen olisi mahdotonta tehdä niin. On sinun etujen mukaista varmistaa, että tämä henkilö ei enää käytä palveluitasi.

Sulje hänen tilinsä! (tämä on verkkotunnus domainsgame.org). Kaikkia lisätietoja tai apua, jota voit tarjota, arvostetaan.

En ole oikeasti varma, mutta luulen, että DomainSponsor on yritys, joka ansaitsee ne domainit, jotka tämä kaveri varastaa. Se tapahtui MakeUseOf.com-sivustolla ja nyt vauhdissa YouMP3.orgin kanssa.

5 - PayPal. KOM: (TUKI ON HATAS)

Olen varma, että he eivät edes luke tätä, joten kerron sen sijaan vain sinulle. Lähetin sähköpostia osoitteeseen [email protected] ja varoitin heitä, että henkilö, joka varasti verkkotunnuksemme ja kiristi meidät aikaisemmin, käytti [email protected] -tiliä (hän ​​käyttää myös joitain muita tilejä). Pyysin heitä vain tutkimaan sitä. Sen sijaan saan sähköpostiviestin, jolla ei ole mitään tekemistä sen kanssa, mitä sanoin. Pohjimmiltaan se on sähköpostimalli, jonka oli tarkoitus näyttää aitolta ja joka lähetettiin huijatuille ihmisille. Älä viitsi! Maksamme 3% palkkion jokaisesta tapahtumasta. Etkö voi tarjota parempaa asiakastukea?

Se on kaikki mitä sain!

Olen jälleen kerran erittäin pahoillani siitä, mitä Florinille ja Edinille on tapahtunut. Toivon todella, että he saavat verkkotunnuksensa takaisin pian. Se on nyt kaikkien rekisteröijien käsissä. Mutta mikä tärkeintä, haluan nähdä, että suuret joukot (eivät asiakkaat) tekevät jotain tekemään tämän henkilön kiinni. Olen varma, että jokainen bloggaaja arvostaa sitä ja luultavasti jopa kirjoittaa siitä blogissaan.

On aika vaihtaa ;-)

parhain terveisin
Aibek

kuvaluotto: kiitos kone 'Mr Cracker' -kuvan päälle

Kaveri MakeUseOf.com: n takana. Seuraa häntä ja MakeUseOf Twitterissä @MakeUseOf. Lisätietoja saat MakeUseOfin n sivulta.