Warnung: Abgelaufene Domains sind einfache Beute für Hacker

Ich habe diese Woche eine harte Lektion gelernt. Lange Rede, kurzer Sinn : Ein Spammer aus Vietnam hat mein Google Apps for Domains-Konto (jetzt Google Apps for Business) gekapert und versendet derzeit E-Mails von meiner alten E-Mail-Adresse ( [email protected] ) mit meiner Unterschrift, Telefonnummer und Name und alles darauf. Anthrocopy.com war ein informeller dba-Name, den ich vor Jahren für mein freiberufliches Schreiben verwendet habe, aber ich habe es langsam auslaufen lassen und die Domain ablaufen lassen. Nun ist jemand anderer in den Ort gezogen, Einsiedler-Krabben-Stil, und kontaktiert wahrscheinlich alle meine alten Geschäftskontakte über billiges Viagra.

Ich kontaktierte Google darüber und ihre offizielle Antwort lautete: "Es tut mir leid, Ihnen zu sagen, dass wir Ihnen bei diesem Problem nicht helfen können, da Sie diese Domain nicht mehr besitzen."

Meinetwegen. Immerhin lasse ich die Domain ablaufen, lasse sie von jemand anderem kaufen und lasse sie dabei mein altes Google Mail-Konto, mein Google Docs-Konto und jeden anderen Web-Service eines Drittanbieters, mit dem ich mich möglicherweise bei Google angemeldet habe, übernehmen . Google Tech-Support empfohlen Ich kontaktiere die Strafverfolgungsbehörden, aber ich denke, das FBI hat größere Fische zum Frittieren als ein vietnamesischer Spammer, der vorgibt, ein sanftmütiger freier Schriftsteller zu sein.

Es scheint also so, als ob die einzige Möglichkeit für mich darin bestünde, das Wort, das ich entführt habe, zu verbreiten und vielleicht eine öffentliche Bekanntmachung darüber zu machen, dass Ihre Domainregistrierungen verfallen, ohne alle anderen damit verbundenen Services abzuwickeln. Die Details dieser beiden Bemühungen folgen.

Warum erhalte ich Benachrichtigungen über ausgelieferte E-Mails, die ich nicht gesendet habe?

Ich bin mir nicht sicher, warum mir das passiert ist, aber in letzter Zeit habe ich viele fehlgeschlagene Zustellbenachrichtigungen oder automatische Abwesenheitsnachrichten für E-Mails erhalten, die ich nie gesendet habe. Eine dieser E-Mails hat mich auf die Tatsache aufmerksam gemacht, dass mit meiner Online-Identität etwas Schlechtes passiert ist.

E-Mail Spoofing vs. Kompromittierte E-Mail-Konto

Die ersten, die ich erhielt, waren ein einfacher Fall von E-Mail-Spoofing. Das heißt, jemand schickte E-Mails, in denen stand , dass sie von mir stammten, aber die Kopfzeilen der E-Mail bewiesen, dass sie wirklich nicht von meinem Konto gesendet wurden. E-Mail-Spoofing ist ein häufiger, oft automatisierter Angriff und meist harmlos, da die meisten Mail-Server eine gefälschte E-Mail erkennen können. SPF-Datensätze können diesen Aufwand unterstützen.

Hier ist ein Beispiel für eine einfache gefälschte E-Mail:

Die Lieferung an diese Empfänger oder Gruppen ist fehlgeschlagen:
[email protected]
Die von Ihnen eingegebene E-Mail-Adresse konnte nicht gefunden werden. Überprüfen Sie die E-Mail-Adresse des Empfängers und versuchen Sie, die Nachricht erneut zu senden. Wenn das Problem weiterhin besteht, wenden Sie sich bitte an Ihren Helpdesk.
Diagnoseinformation für Administratoren:
Generierungsserver: higginbotham.net
[email protected]
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; nicht gefunden ##
Ursprüngliche Nachrichtenköpfe:
Erhalten: von ecsdel01.appriver.com (72.32.253.39) durch mail.higginbotham.net
(10.5.2.56) mit Microsoft SMTP Server ID 14.1.218.12; Di, 29 Apr 2014
00:41:57 -0500
Erhalten: von [10.238.8.145] (HELO inbound.appriver.com) von
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) mit der ESMTP-ID 401638471
für [email protected]; Di, 29 Apr 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56 AM
X-Richtlinie: higginbotham.net
X-Primär: [email protected]
X-Hinweis: Diese E-Mail wurde von AppRiver SecureTide gescannt
X-Virus-Scan: V-
X-Note-SnifferID: 100
X-GBUdb-Analyse: 0, 97.67.222.18, hässlich c = 0.425302 p = 0.483871 Quelle Normal
X-Signatur-Verstöße: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Fehlschlag: 0 Chk: 1342 von 1342 insgesamt
X-Note: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55 AM
X-Warn: BOUNCETRACKER Bounce User Tracking gefunden
X-Warn: OPTOUT
X-Warn: REVDNS Nein Reverse DNS-Eintrag für 97.67.222.18
X-Warn: Der Befehl HELOBOGUS HELO wurde ohne Domäne ausgegeben.
X-Warn: BULKMAILER
X-Warn: GEWICHT10
X-Warn: GEWICHT15
X-Hinweis: Spam-Tests fehlgeschlagen: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, GEWICHT10, GEWICHT15
X-Country-Pfad: VEREINIGTE STAATEN-> USA
X-Note-Senden-IP: 97.67.222.18
X-Hinweis-Reverse-DNS:
X-Note-Return-Pfad: [email protected]
X-Hinweis: Benutzerregeltreffer:
X-Hinweis: Globale Regeltreffer: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Hinweis: Regelhits verschlüsseln:
X-Hinweis: E-Mail-Klasse: GÜLTIG
X-Hinweis: Header eingesendet
Erhalten: von [97.67.222.18] (HELO [97.67.222.18]) von inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) mit ESMTP ID 191929257 für
[email protected]; Di, 29 Apr 2014 00:41:56 -0500
Von: DrOZNetwork Newsletter
Zu:
Betreff: Du verlierst alle zwei Wochen mindestens eine Größe
Datum: Di, 29 Apr 2014 01:41:57 -0400
Liste-Abbestellen:
MIME-Version: 1.0
Antwort: "DrOZNetwork Newsletter"
x-job: 00645_45748849
Nachrichten ID:
Inhaltstyp: mehrteilig / alternativ; Grenze = "MeDnwMAYvTCJ = _ ?:"
Rückweg: [email protected]

Aber dann erhielt ich eine Benachrichtigung über eine fehlgeschlagene Zustellung, die die ursprüngliche Nachricht enthielt. Und ich bemerkte, dass es eine tatsächliche E-Mail-Adresse hatte, die ich einmal verwendet habe ([email protected]) und auch meine E-Mail-Signatur. Das war der Beweis dafür, dass nicht nur jemand sagte, dass sie ich waren, sondern tatsächlich legitime E-Mails von meiner alten Adresse sendeten. Es wurde tatsächlich über Google Mail gesendet.

Wie konnte das sein? Mein altes Google Apps for Domains-Konto enthielt anscheinend die Anmeldeinformationen für meine noch aktive Haupt-E-Mail-Adresse. Nicht gut.

Erstens hatte ich Angst, dass ein Computer, den ich kürzlich einem Freund gegeben hatte, missbraucht wurde. Aber ich habe die IP-Adresse (1.54.46.59) von der Kopfzeile des Absenders nachgeschlagen, und es scheint, dass die E-Mail von jemandem in Vietnam gesendet wurde. Ich habe mein StatCounter-Protokoll überprüft und festgestellt, dass der Hacker meine Webseite besucht hat:

Es scheint, dass jemand spezifisch und beharrlich versucht, meine Identität zu stehlen. Ich habe keine Idee warum. Durch den Diebstahl von Anthrocopy.com von mir und meinem zugehörigen Google Apps for Domains-Konto scheint es jedoch so, als hätten sie Fortschritte gemacht.

Wie Hacker auf Ihre Google Mail zugreifen können, indem Sie eine abgelaufene Domain kaufen

Google Apps for Domains unterscheidet sich von einem normalen Google Mail- oder Google Docs- oder Google Drive-Konto dadurch, dass es mit einer Domain verknüpft ist, die Sie möglicherweise von einem anderen Unternehmen als Google registriert haben. 2010 habe ich Anthrocopy.com bei Namecheap.com registriert. Nachdem ich meine freiberufliche Laufbahn beendet hatte, um als technischer Vollzeitschriftsteller zu arbeiten, ließ ich die Domain ablaufen. Irgendwie hat der Hacker herausgefunden, dass ich ein Google Apps for Domain-Konto hatte, obwohl ich die Domain nicht länger besaß. Also, am 20. Juni 2014, jemand kaufte es durch moniker.com, nach Whois.

Das ist ein faires Spiel. Wenn ich keinen Domainnamen mehr haben möchte, ist jemand anderer frei, ihn zu kaufen. Sie gingen jedoch noch einen Schritt weiter und hackten in mein Google Apps for Domains-Konto ein. Sie haben dazu das Google Apps for Business-Kontowiederherstellungsformular verwendet, mit dem Sie Zugriff auf jedes Google Apps-Konto erhalten, wenn Sie nachweisen können, dass Sie Inhaber eines Domain-Namens sind. Anstatt einen Kennwortzurücksetzung oder einen Kennworthinweis zu verwenden, können Sie einfach einen CNAME-Datensatz für die Domäne erstellen, aus der hervorgeht, dass Sie die Domäne besitzen. Dann gibt Google Ihnen die Schlüssel für das Konto. Für 10 US-Dollar hat jemand in Vietnam gerade Zugriff auf alle meine alten Google Mail-Einstellungen, den Verlauf und die gespeicherten Anmeldedaten erhalten.

Wiederherstellen eines entführten Google Apps for Business-Kontos

Spoiler-Warnung: Es gibt keine Möglichkeit, ein kompromittiertes Google Apps for Business-Konto wiederherzustellen. Wenn jemand die Domain besitzt, besitzt er das zugehörige Google Apps for Business-Konto. Das ist die Position von Google, und ich stimme überhaupt nicht zu, aber ich habe sie noch nicht davon überzeugt, etwas dagegen zu tun.

Als ich erfuhr, was passiert war, kontaktierte ich den Google Enterprise Support über dieses Formular. Ungefähr 12 Stunden später (an einem Samstag, nicht schlecht) erhielt ich einen Anruf von einem freundlichen Kollegen, der meinen Vorfall genau rekapitulierte. Leider sagte er mir, dass ich nichts tun könnte, wenn ich nicht beweisen könnte, dass ich die Domain besitze. Ich sagte ihm, dass mir die Domain egal wäre, ich wollte nur meine persönlichen und beruflichen Informationen und Referenzen aus den Händen dieser zufälligen Person. Der Techniker sagte, er würde die Situation eskalieren, aber kurz darauf erhielt ich die folgende E-Mail:

Hallo jack,

Danke, dass Sie meinen Anruf angenommen haben. Ich verstehe, dass Sie der Inhaber von "anthrocopy.com" waren und ein Google Apps-Konto mit dieser Domain erstellt haben. Sie haben es jedoch nicht verlängert, sodass sich jemand anders registriert und die Kontrolle über Ihr Google Apps-Konto übernommen hat.

Laut unserem Gespräch benötigen Sie für die Nutzung eines Google Apps-Kontos die zu bindende Domain. Eine andere Person hat die Kontrolle über die Domain übernommen, da sie das Eigentumsrecht über DNS-Einstellungen nachweisen konnte. Ich habe diesen Fall konsultiert und es tut mir leid, Ihnen zu sagen, dass wir Ihnen bei diesem Problem nicht helfen können, da Sie diese Domain nicht mehr besitzen. Google ist als Anbieter von Tools zur Erstellung von Inhalten und Hosting-Diensten nicht in der Lage, Streitigkeiten zwischen Dritten zu vermitteln oder zu entscheiden. Wir empfehlen Ihnen, Ihre Bedenken direkt mit dem betreffenden Administrator zu äußern.

Wenn Sie der Ansicht sind, dass der betreffende Administrator den Zugriff auf Ihr Konto rechtswidrig einschränkt, empfehlen wir Ihnen, sich an die Strafverfolgungsbehörden zu wenden.

Mit freundlichen Grüßen,
Guillermo.
Google Enterprise-Support

An diesem Punkt stecke ich fest.

Was werde ich über meinen Online-Ruf tun?

Mein nächster Schritt besteht darin, eine persönliche E-Mail an alle Personen zu senden, die sich in dieser Kontaktliste befinden. Und vielleicht eine Benachrichtigung auf den Websites für die Domänen, die ich immer noch kontrolliere. Aber abgesehen davon sieht es so aus, als ob ich nicht viel tun kann, außer an die Öffentlichkeit zu gehen und zu versuchen, mich zu entschuldigen und jeder betroffenen Person zu erklären. Ich hoffe, den PR-Kampf zu gewinnen, indem ich es weithin bekannt mache, dass Anthrocopy.com und [email protected] betrügerisch sind und dass der echte Jack Busch sehr verärgert und sehr leid tut.

Von meinen Fehlern lernen: Lassen Sie keine Domains verfallen

Ich habe Domains wie verrückt immer dann gekauft, wenn Godaddy einen 99-Cent-Domain-Namen-Verkauf hatte oder ich an eine lustige Idee für eine Website dachte. Jetzt erkenne ich, dass jeder von denen eine gewisse Haftung ist. Jeder, den ich besitze und dann verleugne, wird ein Weg für jemanden, meine Identität zu kooptieren. Mit Anthrocopy, dem einzigen, bei dem ich ein Google Apps-Konto registriert habe, wurde diese Domain, die ich vor vier Jahren gekauft und ablaufen ließ, zu einer riesigen Schwachstelle.

Die weitere Lehre daraus ist, dass alte Accounts niemals verfallen oder ablaufen. Behalten Sie alle Konten im Auge, die Sie online erstellen. Wenn Sie das Konto nicht mehr verwenden möchten, löschen Sie es. Vertrauen Sie dem Dienstanbieter nicht, Ihre Daten zu löschen, sobald sie für Sie nicht mehr nützlich sind. Ob es sich um einen alten Twitter-Account, einen alten Facebook-Account (lesen Sie unseren Artikel zur dauerhaften Löschung Ihres Facebook-Accounts), einen alten Xanga-Blog oder sogar einen alten AOL-Account handelt, graben Sie ihn aus und löschen Sie ihn oder scrubben Sie ihn zumindest von irgendwelchen persönlichen Informationen. Im Internet sind es die Finder, und was du verlierst, wird zu wenig Kartoffeln für die Strafverfolgung sein, um mitzumachen.

Empfehlung an Google

Während ich zu schätzen weiß, wie schnell ein Google-Vertreter mich erreicht hat, bin ich enttäuscht, dass es keinen weiteren Rückgriff gibt. Es ist eine Sache, eine Immobilie aufzukaufen, die jemand aufgegeben hat. Es ist eine andere Sache, in der Lage zu sein, diese Eigenschaft aufzukaufen und danach ihre Identität anzunehmen. Mir ist klar, dass ich bei meinen alten, inaktiven Accounts vorsichtiger sein sollte, aber ich denke, es wäre eine produktive Richtlinie, ein Ablaufdatum auch auf inaktiven Accounts zu haben. Ich habe Anthrocopy vor vier Jahren registriert und vor über zwei Jahren komplett eingestellt. Ich denke, zu diesem Zeitpunkt wäre es nicht ärgerlich, wenn Google mir eine kurze E-Mail schickt: "Hey, benutzt du das noch? Wenn nicht, werden wir es löschen. "

Ich denke, das sollte die Politik für alles sein. Twitter, Facebook, MySpace, Gmail, etc. Es sollte eine administrative Bereinigung von Daten für verlassene Konten geben. Diese Richtlinie sollte im Voraus in den Nutzungsbedingungen enthalten sein, und Sie könnten möglicherweise die Option zum automatischen Deaktivieren inaktiver Konten angeben.

Ich kann mir vorstellen, dass Angriffe wie diese gerade jetzt stattfinden und so lange andauern werden, bis wir alle alte Konten bereinigen (fette Chance) oder Dienstleister Maßnahmen ergreifen, um zu verhindern, dass Zombie-Accounts zurückkommen und die Gehirne unserer ehemaligen Kollegen verschlingen mit Spam (oder schlechter).

Fazit

Ich habe einen Fehler gemacht und ich habe meine Lektion gelernt. Ich tue mein Bestes, um Schadensbegrenzung durchzuführen und zu verhindern, dass dies erneut passiert. Aber wenn Sie eine ähnliche Erfahrung gemacht haben oder weitere Einsichten oder Vorschläge haben, würde ich es gerne wissen.