Подозреваемая уязвимость сервера или данных и сообщение о мошенничестве на сайте

13

Нашим бизнесом является YouGotaGift.com, интернет-магазин подарочных карт, два дня назад кто-то создал веб-сайт под названием YoGotaGift.com (Вы скучаете по u ) и разослал многим людям почтовую кампанию о том, что на сайте есть рекламная акция. Когда вы заходите на веб-сайт, вы (как профессиональные ИТ-специалисты) сразу же идентифицируете его как мошеннический сайт, но многие люди в любом случае этого не сделают, поэтому они совершают сделки на этом сайте и не получают ничего, за что заплатили.

Поэтому мы перешли в режим паники, чтобы попытаться выяснить, что делать, и что я сделал в качестве технического директора:

  1. Об этом сообщает сайт PayPal (единственный способ оплаты, доступный на сайте), но, по-видимому, для закрытия сайта требуется много времени и много спорных транзакций.
  2. Об этом сообщили веб-сайту компании, занимающейся регистрацией доменов, и они сотрудничали, но для остановки веб-сайта требуется судебный приказ со стороны суда или ICANN.
  3. Об этом сообщает сайт хостинговой компании, пока нет ответа.
  4. Проверив данные WHOIS, они неверны, они скопировали информацию о нашей компании и изменили две цифры в почтовом индексе и номере телефона.
  5. Об этом сообщили в местной полиции Дубая, но для блокирования сайта также требуется много времени и расследований.
  6. Отправьте электронное письмо нашей клиентской базе, сообщив им, что они должны быть в курсе и всегда проверять, находятся ли они на нашем HTTPS-сайте, и проверять доменное имя при покупке.

Моя главная проблема заключалась в том, что многие люди, которые сообщили, что получили электронное письмо (более 10), находятся в нашем списке рассылки, поэтому я боялся, что кто-то получил информацию с нашего сервера, поэтому я:

  1. Проверил журнал доступа к системе, чтобы убедиться, что никто не получил доступ к нашему SSH.
  2. Проверил журнал доступа к базе данных, чтобы убедиться, что никто не пробовал и не обращался к нашей БД.
  3. Проверил журнал брандмауэра, чтобы убедиться, что никто не получил доступ к серверу в любом случае.

После этого моя забота перешла на почтовое программное обеспечение, которое мы используем для отправки наших почтовых кампаний, раньше мы использовали MailChimp, и я не думаю, что они получили бы к нему доступ, но сейчас мы используем Sendy , и я боялся, что они получили к нему доступ. Я проверил форум сайта и не смог обнаружить, что кто-то сообщил об уязвимости с помощью Sendy, а также во многих электронных письмах, зарегистрированных в нашем списке рассылки, сообщалось, что они не получили письмо с сайта мошенников, поэтому мне стало немного комфортно, что никто не дошел до наших данных.

Итак, мои вопросы :

  1. Что еще я могу сделать, чтобы никто не заполучил наш список рассылки или данные?
  2. Что еще я могу сделать, чтобы сообщить и, возможно, закрыть сайт?
  3. Есть ли список режимов паники, когда вы подозреваете несанкционированный доступ к вашему серверу или данным?
  4. Как вы можете предотвратить подобные инциденты в будущем?
security  web  phishing  scam 
mpcabd
источник
6
Aaaaarghhh фоновый звук на веб-сайте .... 1999 позвонил и хочет их страницы обратно.
Деннис Каарсемакер
2
Ради ваших клиентов, вы должны сообщить им об этом через собственную почтовую кампанию, а также создать статус на своем сайте. Вы должны четко указать это в своем электронном письме, ваш собственный сайт НЕ был взломан, пока вы не сможете найти дополнительные доказательства.
Холодная T
@ColdT, что также может быть очень контрпродуктивным: теперь вы рассылаете спам всем своим клиентам, включая тех, которые не получали почту от этих обманщиков.
Деннис Каарсемакер
Веселое Рождество: не забудьте попросить бонус для себя и коллег за участие в таком #day
Мне сказали, что ошибочная информация Whois может быть достаточной причиной для удаления. Может быть самый простой способ.
2013 г.

Ответы:

12
  • вопрос 2

Похоже, что серверы имен и фактический хост для YOGOTAGIFT.COM зарегистрированы через ENOM, Inc. Сайт размещен на EHOST-SERVICES212.COM. Попробуйте отправить отчеты о спаме и уведомления об удалении DMCA eNom и хосту сервера. Страница злоупотребления eNom: http://www.enom.com/help/abusepolicy.aspx

  • вопрос 4: медокены

Заполните свой список рассылки и базу данных одной или несколькими поддельными учетными записями, которые направляют на адреса электронной почты или учетные записи, которые вы контролируете

Если вы получаете электронную почту или списывает средства с поддельной учетной записи, вы можете разумно предположить, что список рассылки или база данных были взломаны.

Смотрите статью в Википедии о медокенах .

rblake
источник
1
+1 за медокены. Они кажутся отличной неизвестной особенностью!
Я уже представил отчет о спаме в хостинговую компанию (eNom), но их ответ, я получил ответ от них сегодня, они ничего не будут делать. +1 для honeytokens, но у меня уже есть 6 электронных писем в списке рассылки, и ни одно из них не получило рассылку от мошенника, поэтому я был рад, что, вероятно, они не получили список рассылки.
mpcabd
7

Кажется, ты действительно хорошо справился.

Вот еще несколько советов:

  • 1 Что еще я могу сделать, чтобы никто не заполучил наш список рассылки или данные?

Прочитайте журнал приложения, если есть.

  • 2 Что еще я могу сделать, чтобы сообщить и, возможно, закрыть сайт?

Сделайте whois на их IP-адресе и свяжитесь с их Интернет-провайдером (согласно комментариям «попросите вашего адвоката составить письмо типа« прекратить и воздержаться », угрожающее судебному иску»). В этом случае ENOM и DemandMedia.

whois 69.64.155.17

Сообщите о сайте мошенников как можно большему числу учреждений (mozilla, google, ...): они могут добавлять предупреждения в свои приложения, чтобы помочь смягчить мошенничество.

Сделайте на своем сайте специальную веб-страницу, рассказывающую об этой истории.

  • 3 Есть ли список режимов паники, когда вы подозреваете несанкционированный доступ к вашему серверу или данным?

Обязательно прочитайте также Как мне работать с взломанным сервером? , В этом вопросе есть много полезных советов, даже если ваш сервер действительно не был взломан.

  • 4 Как вы можете предотвратить подобные инциденты в будущем? Обучите своих клиентов тому, как вы обычно ведете себя (например: «Мы никогда не будем отправлять почтовый контент напрямую, а будем ссылаться на вашу страницу на нашем веб-сайте»)
Сообщество
источник
Я не думаю, что это проблема скомпрометированной системы, если OP не уверен, что их список рассылки скомпрометирован. Я думаю, что это просто традиционная мошенническая работа по отлову людей, которые неправильно пишут адрес веб-сайта.
Роб Мойр
1
Добавьте на @EricDannielou, если вы обнаружите, что провайдер находится в той же стране, что и вы, попросите своего адвоката составить письмо типа «прекратить и воздержаться», угрожающее судебному иску. 9 раз из 10, которые занимаются этим вопросом у источника интернет-провайдера.
Технарь Джо
4

Трудно получить сайт подделки / мошенничества, не невозможно, но обычно очень тяжело. Есть сторонние организации, такие как MarkMonitor, которые могут помочь с этим, но они дороги. Мы нашли их довольно эффективными, особенно если сторона мошенничества явно мошенничает / выдает себя за другого.

Деннис Каарсемакер
источник
-1

Вот несколько предложений с моей стороны

  1. Сообщите об инциденте в DMCA.
  2. Свяжитесь с хостинг-провайдером и попросите закрыть сайт.
  3. Свяжитесь с ICANN и попросите их деактивировать доменное имя.
  4. Похоже, кто-то изнутри поделился вашим списком рассылки с конкурентом или, возможно, сервер был взломан. Смотрите обе возможности.
RJ Rocker
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.