Varning: Utgående domäner är enkla plockningar för hackare

Jag lärde mig en svår lektion denna vecka. Lång historia kort, en spammare från Vietnam har kapat på min Google Apps for Domains (nu kallad Google Apps for Business) -konto och skickar nu e-post från min gamla e-postadress ( [email protected] ) med min signatur, telefonnummer och namn och allt på den. Anthrocopy.com var ett informellt dba-namn som jag använde år sedan för min frilansskrivningsaffär, men jag saktade det långsamt ut och lät domänen gå ut. Nu har någon annan flyttat till platsen, eremitkrabbstil och kontaktar nog alla mina gamla affärskontakter om billig Viagra.

Jag kontaktade Google om det och deras officiella svar var "Jag är ledsen att berätta att vi inte kan hjälpa dig med det här problemet eftersom du inte äger den domänen längre."

Rimligt nog. Jag släppte trots allt domänen för att låta någon annan köpa den och därmed låter jag dem kommandot mitt gamla Gmail-konto, Google Docs-konto och någon annan webbtjänst från tredje part. Jag kan ha använt Google-autentisering för att logga in . Google Tech Support rekommenderade att jag kontaktar brottsbekämpning, men jag tror att FBI har större fisk att steka än någon vietnamesisk spammare som låtsas vara en mildmodig frilansförfattare.

Så det verkar som att det enda jag lämnade för mig var att sprida ordet som jag hade blivit kapad och i processen, kanske, ge en offentlig tjänstmeddelande om att låta dina domänregistreringar upphöra utan att sluta alla andra tillhörande tjänster. Detaljerna om dessa två ansträngningar följer.

Varför får jag misslyckade leveransmeddelanden för e-postmeddelanden som jag inte skickat?

Jag är inte säker på varför det här hände mig, men senast har jag fått många misslyckade leveransmeddelanden eller av automatiska svar på kontoret för e-postmeddelanden som jag aldrig skickat. En av dessa e-postmeddelanden är det som slog mig för att något onödigt hände till min online identitet.

Email Spoofing vs kompromitterat e-postkonto

De första fångarna jag fick var ett enkelt fall med e-postspoofing. Det var, någon skickade e-postmeddelanden som säger att de var från mig, men rubrikerna i e-postmeddelandet visade att de verkligen inte skickades från mitt konto. E-postspoofing är en vanlig, ofta automatiserad attack och är mestadels skadelös, eftersom de flesta mailservrar vet hur man känner igen ett spoofed email. SPF-poster kan hjälpa till med detta.

Här är ett exempel på ett enkelt spoofed email:

Leverans har misslyckats till dessa mottagare eller grupper:
[email protected]
Den e-postadress du angav kunde inte hittas. Kontrollera mottagarens e-postadress och försök att skicka meddelandet igen. Om problemet kvarstår kontaktar du din helpdesk.
Diagnostisk information för administratörer:
Generera server: higginbotham.net
[email protected]
# 550 5.1.1 RESOLVER.ADR.RecipNotFound; hittades inte ##
Originalsmeddelandehuvud:
Mottagen: från ecsdel01.appriver.com (72.32.253.39) via mail.higginbotham.net
(10.5.2.56) med Microsoft SMTP Server ID 14.1.218.12; Tis, 29 april 2014
00:41:57 -0500
Mottaget: från [10.238.8.145] (HELO inbound.appriver.com) av
ecsdel01.appriver.com (CommuniGate Pro SMTP 5.3.12) med ESMTP-id 401638471
för [email protected]; Tis 29 apr 2014 00:41:58 -0500
X-Note-AR-ScanTimeLocal: 4/29/2014 12:41:56
X-policy: higginbotham.net
X-Primary: [email protected]
X-Note: Den här e-posten skannades av AppRiver SecureTide
X-Virus-Scan: V-
X-Not-SnifferID: 100
X-GBUdb-analys: 0, 97.67.222.18, Ugly c = 0.425302 p = 0.483871 Källa Normal
X-signatur-brott: 100-5950968-462-494-m
100-5948747-463-494-m
100-5946619-2051-2065-m
100-5946619-7869-7883-m
100-5946619-9947-9961-m
100-5946619-11129-11143-m
100-5950968-0-11316-f
X-Note-419: 0 ms. Misslyckad: 0 Chk: 1342 av 1342 totalt
X-Note: SCH-CT / SI: 0-1342 / SG: 1 4/29/2014 12:41:55
X-varning: BOUNCETRACKER Bounce User Tracking Found
X-varning: OPTOUT
X-varning: REVDNS Ingen omvänd DNS-post för 97.67.222.18
X-varna: HELOBOGUS HELO-kommandot utfärdat utan domän.
X-varning: BULKMAILER
X-varning: WEIGHT10
X-varning: WEIGHT15
X-Note: Spamtest misslyckades: BOUNCETRACKER, OPTOUT, REVDNS, HELOBOGUS, BULKMAILER, WEIGHT10, WEIGHT15
X-Country-Path: FÖRENADE STATER-> FÖRENADE STATER
X-Not-Sändning-IP: 97.67.222.18
X-Note-Omvänd DNS:
X-Note-Return-Path: [email protected]
X-Not: Användarregel Hits:
X-Not: Global Regel Hits: G327 G328 G329 G330 G332 G337 G384 G405 G417 G419 G427 G437 G438 G479
X-Not: Kryptera Regelträffar:
X-Note: Mail Class: Giltig
X-Note: Injektionshuvuden
Mottagen: från [97.67.222.18] (HELO [97.67.222.18]) av inbound.appriver.com
(CommuniGate Pro SMTP 5.4.1) med ESMTP id 191929257 för
[email protected]; Tis 29 apr 2014 00:41:56 -0500
Från: DrOZNetwork Nyhetsbrev
Till:
Ämne: Du kommer att förlora minst en storlek varannan vecka
Datum: tis, 29 apr 2014 01:41:57 -0400
Ur listan:
MIME-version: 1.0
Svara-till: "DrOZNetwork Newsletter"
x-jobb: 00645_45748849
Meddelande-ID:
Innehållstyp: multipart / alternativ; gräns =”MeDnwMAYvTCJ = _ ?:”
Returväg: [email protected]

Men då fick jag en misslyckad leveransmeddelande som inkluderade det ursprungliga meddelandet. Och jag märkte att den hade en faktisk e-postadress som jag en gång använde ([email protected]) och min e-post signatur också. Detta var bevis på att det inte bara var någon som sa att de var mig, de skickade faktiskt e-postmeddelanden ut från min gamla adress. Det skickades faktiskt via Gmail.

Hur kan detta vara? Det verkade som om mitt gamla Google Apps for Domains-konto hade referenser för min fortfarande aktiva huvudadress i den. Inte bra.

Först var jag orolig att en dator som jag nyligen hade gett till en vän blev missbrukad. Men jag tittade upp IP-adressen (1.54.46.59) från avsändarens rubrik, och det visade sig att e-postmeddelandet skickades från någon i Vietnam. Jag kollade min StatCounter logg och fann också att hackaren hade besökt min hemsida:

Det verkar som om någon är specifikt och ständigt försöker stjäla min identitet. Jag har ingen aning om varför. Men genom att stjäla Anthrocopy.com från mig och mitt tillhörande Google Apps for Domains-konto verkar det som att de har gjort vissa framsteg.

Hur hackare kan komma åt din Gmail genom att köpa en utgående domän

Google Apps for Domains skiljer sig från ett vanligt Gmail- eller Google Docs- eller Google Drive-konto eftersom det är kopplat till en domän som du kanske har registrerat från ett annat företag än Google. Tillbaka år 2010 registrerade jag Anthrocopy.com med Namecheap.com. Efter att jag avvecklat min frilanskarriär att arbeta som en teknisk forskare på heltid lät jag domänen gå ut. På något sätt upptäckte hackaren att jag hade ett Google Apps for Domain-konto, trots att jag inte längre ägde domänen. Så den 20 juni 2014 köpte någon det via moniker.com, enligt Whois.

Det är rättvist spel. Om jag inte vill ha ett domännamn längre kan någon annan köpa det. Men de tog det ett steg längre och hackade in i min Google Apps for Domains-konto. De gjorde det genom att använda Google Apps for Business-kontoåterställningsformuläret, vilket ger dig tillgång till något Google Apps-konto om du kan bevisa att du äger ett domännamn. I stället för att använda ett lösenordsreset eller ett lösenord, kan du bara skapa en CNAME-post för domänen som visar att du äger domänen. Sedan ger Google dig nycklarna till kontot. För $ 10 har någon i Vietnam bara fått tillgång till alla mina gamla Gmail-inställningar, historik och sparade inloggningsuppgifter.

Återställa ett kapslade Google Apps for Business-konto

Spoiler alert: det finns inget sätt att återställa ett kompromissat Google Apps for Business-konto. Om någon äger domänen äger de det tillhörande Google Apps for Business-kontot. Det är Googles ställning på det, och jag är mycket oense, men jag har inte övertygat dem att göra någonting åt det ännu.

När jag lärde mig vad som hände, kontaktade jag Google Enterprise Support via det här formuläret. Omkring 12 timmar senare (på en lördag, inte dåligt), fick jag ett samtal från en vänlig karl som återställde min händelse exakt. Tyvärr berättade han för mig att det inte fanns något jag kunde göra om jag inte kunde bevisa att jag ägde domänen. Jag berättade för honom att jag bryr mig inte om domänen, jag ville bara ha min personliga och professionella information och legitimationsuppgifter ur händerna på den slumpmässiga personen. Tekniken sa att han skulle eskalera situationen, men kort därefter fick jag följande email:

Hej jack

Tack för att du svarade på mitt samtal. Jag förstår att du var ägare till "anthrocopy.com" och skapade ett Google Apps-konto med den här domänen, men du förnya inte den så att någon annan registrerade och tog kontroll över ditt Google Apps-konto.

Enligt vårt samtal måste du ha den domän du binder för att kunna använda ett Google Apps-konto för att kunna använda. En annan person tog kontroll över domänen eftersom hon / han kunde bevisa ägande via DNS-inställningar. Jag har konsulterat det här fallet och jag är ledsen att berätta att vi inte kan hjälpa dig med det här problemet eftersom du inte äger den domänen längre. Som leverantör av verktyg för innehållsskapande och värdtjänster kan Google inte bemöta eller avgöra tvister mellan tredje parter. Vi rekommenderar att du tar upp dina problem direkt med den aktuella administratören.

Om du tror att administratören ifrågasätter otillbörligt åtkomst till ditt konto rekommenderar vi att du kontaktar brottsbekämpning.

Vänliga hälsningar,
Guillermo.
Google Enterprise Support.

Så vid den här tiden är jag fast.

Vad ska jag göra om mitt online rykte?

Mitt nästa steg är att skicka ut en personlig e-post till alla jag kan tänka på som kan finnas i den kontaktlistan. Och kanske posta en anmälan på webbplatser för domänerna som jag fortfarande kontrollerar. Men det ser ut som om det inte finns mycket jag kan göra, förutom att gå offentligt med vad som hände och försök att be om ursäkt och förklara för varje berörd person. Jag hoppas att vinna PR-striden genom att göra det allmänt känt att Anthrocopy.com och [email protected] är falska och att den verkliga Jack Busch är väldigt upprörd och mycket ledsen.

Lär av mina misstag: Låt inte domänerna förfalla

Jag brukade köpa domäner som galen när Godaddy hade en 99 cent domännamnsförsäljning eller jag tänkte på en rolig idé för en webbplats. Nu inser jag att var och en av dem är något ansvar. Var och en som jag äger och sedan avskyr blir en aveny för att någon ska kunna välja min identitet. Med Anthrocopy, som var den enda jag registrerade ett Google Apps-konto med, den domän som jag köpte för fyra år sedan och upphörde att förvandlas till en stor sårbarhet.

Den bredare lektionen från detta är att aldrig låta gamla konton förfallna eller löpa ut. Håll flikar på varje konto du skapar online. Om du bestämmer dig för att sluta använda kontot, radera det. Lita inte på tjänsteleverantören att skräp dina data när det inte längre är användbart för dig. Oavsett om det är ett gammalt Twitter-konto, ett gammalt Facebook-konto (läs vår artikel om hur du permanent raderar ditt Facebook-konto), en gammal Xanga-blogg eller till och med ett gammalt AOL-konto, gräver du nu och tar bort det, eller åtminstone skrubbar det från någon personlig information. På webben är det vindarehållare, och vad du förlorar blir för liten av potatis för brottsbekämpning att engagera sig.

Rekommendation till Google

Medan jag uppskattar hur snabbt en Google-representant kom fram till mig, är jag besviken över att det inte finns något nytt tillvägagångssätt. Det är en sak att köpa upp en egendom som någon har övergivit. Det är en annan sak att kunna köpa upp den egendomen och sedan anta deras identitet efteråt. Jag inser att jag borde ha varit mer vaksam om mina gamla inaktiva konton, men jag tycker att det skulle vara en produktiv policy att även ha ett slutdatum på inaktiva konton. Jag registrerade Anthrocopy för fyra år sedan och slutade använda den helt för över två år sedan. Jag tror på den tiden att det inte skulle vara irriterande för Google att skicka mig ett snabbt email: "Hej, använder du fortfarande det här? Om inte, tar vi bort det. "

Jag tycker att detta borde vara politik för någonting. Twitter, Facebook, MySpace, Gmail etc. Det bör finnas en administrativ rensning av data för övergivna konton. Denna policy bör vara i förhand under användningsvillkoren och kanske du kan välja att inaktivera automatisk radering av inaktiva konton.

Jag föreställer mig att attacker som dessa pågår just nu och kommer att fortsätta att inträffa tills vi alla klokt och tar bort gamla konton (fet chans) eller tjänsteleverantörer börjar vidta åtgärder för att förhindra att zombiekonton kommer tillbaka och äter hjärnorna hos våra tidigare kollegor med spam (eller sämre).

Slutsats

Jag gjorde ett misstag och jag lärde mig min lektion. Jag gör mitt bästa för att utföra skadestyrning och förhindra att detta händer igen. Men om du har haft en liknande erfarenhet eller har ytterligare insikt eller förslag, skulle jag gärna veta.