Podejrzewana luka w zabezpieczeniach serwera lub danych oraz zgłoszenie witryny oszustwa

13

Naszą firmą jest YouGotaGift.com, sklep internetowy z kartami podarunkowymi, dwa dni temu ktoś stworzył stronę internetową o nazwie YoGotaGift.com (brakuje Ci u ) i wysłał kampanię pocztową do wielu osób, że na stronie jest promocja , gdy wejdziesz na stronę, którą jako profesjonalni informatorzy natychmiast zidentyfikujesz jako oszustwo, wiele osób i tak nie zrobi, więc dokonają transakcji na tej stronie i nie otrzymają nic, za co zapłacili.

Więc przełączyliśmy się w tryb paniki, aby dowiedzieć się, co robić, a ja jako CTO zrobiłem:

  1. Zgłoszono witrynę do PayPal (jedyna metoda płatności dostępna na stronie), ale najwyraźniej zamknięcie strony zajmuje dużo czasu i wiele spornych transakcji.
  2. Zgłoszono witrynę do firmy rejestrującej domeny, współpracowali, ale zatrzymanie strony wymaga prawnego nakazu sądu lub ICANN.
  3. Zgłoszono witrynę do firmy hostingowej, brak odpowiedzi.
  4. Sprawdziliśmy dane WHOIS. Nieprawidłowo skopiowali informacje o naszej firmie i zmienili dwie cyfry kodu pocztowego i numeru telefonu.
  5. Zgłoszono witrynę lokalnej policji w Dubaju, ale zablokowanie witryny zajmuje również dużo czasu i dochodzeń.
  6. Wysłaliśmy wiadomość e-mail do naszej bazy klientów z informacją, że powinni być tego świadomi i zawsze sprawdzać, czy są na naszej stronie HTTPS, i sprawdzać nazwę domeny przy zakupie.

Moją główną troską było to, że wiele osób, które zgłosiły, że dostały wiadomość e-mail (więcej niż 10), znajduje się na naszej liście mailingowej, więc obawiałem się, że ktoś dostał jakieś informacje z naszego serwera, więc:

  1. Sprawdziliśmy dziennik dostępu do systemu, aby upewnić się, że nikt nie ma dostępu do naszego SSH.
  2. Sprawdziłem dziennik dostępu do bazy danych, aby upewnić się, że nikt nie próbował uzyskać dostępu do naszej bazy danych.
  3. Sprawdzono dziennik zapory, aby upewnić się, że nikt nie uzyskał dostępu do serwera.

Potem moja obawa przeszła na oprogramowanie pocztowe, którego używamy do wysyłania naszych kampanii e- mailowych, wcześniej korzystaliśmy z MailChimp i nie sądzę, aby mieli do niego dostęp, ale teraz używamy Sendy i obawiam się, że mieli do niego dostęp , Sprawdziłem forum witryny i nie mogłem znaleźć informacji, że ktokolwiek zgłosił lukę w zabezpieczeniach za pomocą Sendy, a także wiele e-maili zarejestrowanych na naszej liście mailingowej zgłosiło, że nie otrzymało wiadomości e-mail z witryny oszukańczej, więc trochę się z tym pogodziłem żadne ciało nie dostało się do naszych danych.

Więc moje pytania to :

  1. Co jeszcze mogę zrobić, aby upewnić się, że nikt nie przejmie naszej listy mailingowej lub danych?
  2. Co jeszcze mogę zrobić, aby zgłosić i może usunąć witrynę?
  3. Czy istnieje lista trybów paniki, jeśli podejrzewasz nieautoryzowany dostęp do twojego serwera lub danych?
  4. Jak możesz zapobiec takim incydentom w przyszłości?
security web phishing scam mpcabd
źródło
6
Dźwięk tła Aaaaarghhh na stronie internetowej .... 1999 zadzwonił i chce przywrócić strony.
Dennis Kaarsemaker
2
W trosce o klientów powinieneś poinformować ich o tym za pośrednictwem własnej kampanii e-mailowej, a także umieścić status w swojej witrynie. Powinieneś wyraźnie to zaznaczyć w swoim e-mailu, Twoja witryna NIE została naruszona, dopóki nie znajdziesz dalszych dowodów.
Zimno T
@ColdT, który może również przynieść efekt przeciwny do zamierzonego: spamujesz teraz wszystkich swoich klientów, w tym tych, którzy nie otrzymali poczty od tych oszustów.
Dennis Kaarsemaker
wesołych świąt: nie zapomnij poprosić o premię dla siebie i współpracownika za implikacje w taki dzień # użytkownik
Powiedziano mi, że błędna informacja whois może być wystarczającym powodem do usunięcia. Może to być najprostszy sposób.
aif

Odpowiedzi:

12
  • pytanie 2

Wygląda na to, że serwery nazw i rzeczywisty host dla YOGOTAGIFT.COM są zarejestrowane przez ENOM, Inc. Witryna jest hostowana pod adresem EHOST-SERVICES212.COM. Spróbuj wysłać zarówno raporty spamowe, jak i powiadomienia o usunięciu DMCA do eNom i hosta serwera. Strona nadużycia eNom to http://www.enom.com/help/abusepolicy.aspx

  • pytanie 4: Honeytokens

Zaszczep swoją listę mailingową i bazę danych jednym lub kilkoma fałszywymi kontami kierującymi na adresy e-mail lub konta płatnicze, które kontrolujesz.

Jeśli dostaniesz e-mail lub opłaty na fałszywe konto, możesz słusznie założyć, że lista mailingowa lub baza danych zostały naruszone.

Zobacz artykuł w Wikipedii na temat miodu .

rblake
źródło
1
+1 za honeytokeny. Wydają się być wielką nieznaną funkcją!
Już wysłałem raport spamowy do firmy hostingowej (eNom), ale ich odpowiedź, otrzymałem odpowiedź od nich dzisiaj, nic nie zrobią. +1 za honeytokeny, ale mam już 6 e-maili na liście mailingowej i żaden nie otrzymał kampanii e-mail od oszusta, dlatego ulżyło mi, że prawdopodobnie nie dostali listy mailowej.
mpcabd,
7

Wygląda na to, że do tej pory naprawdę dobrze sobie radziłeś.

Oto kilka innych wskazówek:

  • 1 Co jeszcze mogę zrobić, aby upewnić się, że nikt nie przejmie naszej listy mailingowej lub danych?

Przeczytaj dziennik aplikacji, jeśli istnieje.

  • 2 Co jeszcze mogę zrobić, aby zgłosić i może usunąć witrynę?

Złóż whois na adres IP i skontaktuj się z dostawcą usług internetowych (zgodnie z komentarzami „poproś swojego prawnika o sporządzenie pisma typu„ zaprzestań i rezygnuj ”grożącego działaniem prawnym”). W tym przypadku ENOM i DemandMedia.

whois 69.64.155.17

Zgłoś witrynę oszusta do jak największej liczby instytucji (mozilla, google, ...): mogą dodawać ostrzeżenia w swoich aplikacjach, aby złagodzić oszustwo.

Stwórz w swojej witrynie dedykowaną stronę internetową opowiadającą o tej historii.

  • 3 Czy istnieje lista trybów paniki, gdy podejrzewasz nieautoryzowany dostęp do twojego serwera lub danych?

Przeczytaj także Jak poradzić sobie z zainfekowanym serwerem? . Jest wiele dobrych rad w tym pytaniu, nawet jeśli twój serwer nie został rzeczywiście zagrożony.

  • 4 Jak możesz zapobiec takim incydentom w przyszłości? Poinformuj swojego klienta o tym, jak zwykle się zachowujesz (np .: „Nigdy nie wysyłamy bezpośrednio treści poczty, ale raczej odsyłamy do niestandardowej strony w naszej witrynie”)
Społeczność
źródło
Nie sądzę, że jest to zagrożony problem systemowy, chyba że OP jest pewien, że ich lista mailingowa jest zagrożona. Myślę, że to tylko tradycyjne oszustwo polegające na łapaniu ludzi, którzy źle wpisali adres strony internetowej.
Rob Moir
1
Dodaj na @EricDannielou, jeśli stwierdzisz, że dostawca usług internetowych znajduje się w tym samym kraju, co ty, poproś swojego prawnika o sporządzenie pisma typu „zaprzestań i rezygnuj”, grożącego podjęciem kroków prawnych. 9 razy na 10, które załatwiają sprawę u źródła ISP.
Techie Joe,
4

Usunięcie fałszywej strony / oszustwa jest trudne, nie niemożliwe, ale zwykle bardzo trudne. Istnieją osoby trzecie, takie jak MarkMonitor, które mogą w tym pomóc, ale są one drogie. Uważamy je za dość skuteczne, zwłaszcza jeśli strona oszustwa jest wyraźnie oszustwem / podszywa się pod inne osoby.

Dennis Kaarsemaker
źródło
-1

Oto kilka sugestii z mojej strony

  1. Zgłoś incydent do DMCA.
  2. Skontaktuj się z dostawcą usług hostingowych i poproś o usunięcie strony.
  3. Skontaktuj się z ICANN i poproś o wyłączenie nazwy domeny.
  4. Wygląda na to, że ktoś z wewnątrz udostępnił twoją listę mailową konkurentowi lub może zostać zhakowany serwer. Zobacz obie możliwości.
RJ Rocker
źródło