Máy chủ bị nghi ngờ hoặc lỗ hổng dữ liệu và báo cáo một trang web lừa đảo


13

Doanh nghiệp của chúng tôi là YouGotaGift.com, một cửa hàng trực tuyến về thẻ quà tặng, hai ngày trước, một người nào đó đã tạo ra một trang web có tên YoGotaGift.com (Bạn đang thiếu u ) và đã gửi một chiến dịch thư tới nhiều người rằng có một quảng cáo trên trang web , khi bạn truy cập trang web, bạn (với tư cách là dân IT chuyên nghiệp) sẽ ngay lập tức xác định đó là trang lừa đảo, dù sao nhiều người sẽ không giao dịch trên trang đó và họ sẽ không nhận được bất cứ thứ gì họ trả tiền.

Vì vậy, chúng tôi đã chuyển sang chế độ hoảng loạn để thử và tìm hiểu những gì cần làm và những gì tôi đã làm khi làm CTO là:

  1. Báo cáo trang web cho PayPal (phương thức thanh toán duy nhất có sẵn trên trang web), nhưng rõ ràng phải mất nhiều thời gian và nhiều giao dịch tranh chấp để đóng một trang web.
  2. Báo cáo trang web cho công ty đăng ký tên miền, họ hợp tác nhưng việc dừng trang web cần một lệnh hợp pháp từ tòa án hoặc ICANN.
  3. Báo cáo trang web cho công ty lưu trữ, chưa có phản hồi.
  4. Đã kiểm tra dữ liệu WHOIS, không hợp lệ, họ đã sao chép thông tin công ty của chúng tôi và thay đổi hai chữ số trong mã bưu chính và số điện thoại.
  5. Báo cáo trang web cho cảnh sát địa phương ở Dubai nhưng cũng mất rất nhiều thời gian và điều tra để chặn một trang web.
  6. Đã gửi email đến cơ sở khách hàng của chúng tôi để bảo họ biết và luôn kiểm tra họ trên trang web HTTPS của chúng tôi và kiểm tra tên miền khi họ mua.

Mối quan tâm chính của tôi là nhiều người báo cáo họ đã nhận được email (hơn 10) trong danh sách gửi thư của chúng tôi, vì vậy tôi sợ ai đó đã lấy được một số thông tin từ máy chủ của chúng tôi, vì vậy tôi:

  1. Đã kiểm tra nhật ký truy cập hệ thống để đảm bảo không ai truy cập SSH của chúng tôi.
  2. Đã kiểm tra nhật ký truy cập cơ sở dữ liệu để đảm bảo không ai thử và truy cập DB của chúng tôi.
  3. Đã kiểm tra nhật ký tường lửa để đảm bảo không có ai truy cập máy chủ bằng mọi cách.

Sau đó, mối quan tâm của tôi chuyển sang phần mềm gửi thư mà chúng tôi đang sử dụng để gửi các chiến dịch email của mình, chúng tôi đã sử dụng MailChimp trước đây và tôi không nghĩ họ sẽ truy cập được, nhưng bây giờ chúng tôi đang sử dụng Sendy và tôi sợ họ truy cập vào nó , Tôi đã kiểm tra diễn đàn trang web và không thể thấy rằng bất kỳ ai đã báo cáo lỗ hổng khi sử dụng Sendy và cũng có nhiều email được đăng ký trong danh sách gửi thư của chúng tôi cho biết họ không nhận được email từ trang web lừa đảo, vì vậy tôi cảm thấy thoải mái một chút rằng không có cơ thể có được dữ liệu của chúng tôi.

Vì vậy, câu hỏi của tôi là :

  1. Tôi có thể làm gì hơn nữa để đảm bảo rằng không ai có thể giữ danh sách gửi thư hoặc dữ liệu của chúng tôi?
  2. Tôi có thể làm gì thêm để báo cáo và có thể gỡ xuống trang web?
  3. Có một danh sách chế độ hoảng loạn khi bạn nghi ngờ truy cập trái phép vào máy chủ hoặc dữ liệu của bạn?
  4. Làm thế nào bạn có thể ngăn chặn sự cố trong tương lai như thế này?

6
Aaaaarghhh âm thanh nền trên trang web .... 1999 đã gọi và muốn các trang của họ trở lại.
Dennis Kaarsemaker 24/12/13

2
Vì lợi ích của khách hàng, bạn nên làm cho họ biết thông qua chiến dịch email của riêng bạn và cũng đưa ra một trạng thái trên trang web của bạn. Bạn nên làm rõ trong email của mình, trang web của bạn KHÔNG bị xâm phạm cho đến khi bạn có thể tìm thấy bằng chứng.
Lạnh T

@ColdT cũng có thể rất phản tác dụng: bạn hiện đang spam tất cả các khách hàng của mình, kể cả những khách hàng không nhận được thư từ những kẻ lừa đảo này.
Dennis Kaarsemaker

vui vẻ xmas: Đừng quên yêu cầu một phần thưởng cho chính bạn và đồng nghiệp về hàm ý trong #day

Tôi đã nói rằng một thông tin whois sai lầm có thể là một lý do đủ cho một cuộc triệt phá. Có thể là cách đơn giản nhất.
aif

Câu trả lời:


12
  • Câu hỏi 2

Có vẻ như các máy chủ tên và máy chủ thực tế cho YOGOTAGIFT.COM được đăng ký thông qua ENOM, Inc. Trang web được lưu trữ tại EHOST-SERVICE212.COM. Hãy thử gửi cả báo cáo spam và thông báo gỡ xuống DMCA đến eNom và máy chủ lưu trữ. Trang lạm dụng eNom là http://www.enom.com/help/abusepolicy.aspx

  • câu hỏi 4: Mật ong

Hạt giống danh sách gửi thư và cơ sở dữ liệu của bạn với một hoặc nhiều tài khoản giả mạo trực tiếp đến địa chỉ email hoặc tài khoản thanh toán bạn kiểm soát.

Nếu bạn nhận được email hoặc tính phí cho tài khoản giả, bạn có thể cho rằng danh sách gửi thư hoặc cơ sở dữ liệu đã bị xâm phạm một cách hợp lý.

Xem bài viết Wikipedia về honeytokens .


1
+1 cho mật ong. Chúng dường như là một tính năng tuyệt vời chưa biết!

Tôi đã gửi báo cáo spam cho công ty lưu trữ (eNom) nhưng trả lời của họ, tôi nhận được phản hồi từ họ hôm nay, họ sẽ không làm gì cả. +1 cho honeytokens nhưng tôi đã có 6 email trong danh sách gửi thư và không ai nhận được chiến dịch email từ kẻ lừa đảo, đó là lý do tôi cảm thấy nhẹ nhõm vì có lẽ họ không nhận được danh sách thư.
mpcabd

7

Có vẻ như bạn đã làm rất tốt cho đến nay.

Dưới đây là một vài gợi ý:

  • 1 Tôi có thể làm gì hơn nữa để đảm bảo rằng không ai có thể giữ danh sách gửi thư hoặc dữ liệu của chúng tôi?

Đọc nhật ký ứng dụng, nếu có.

  • 2 Tôi có thể làm gì thêm để báo cáo và có thể gỡ xuống trang web?

Tạo một địa chỉ trên địa chỉ IP của họ và liên hệ với ISP của họ (theo nhận xét "yêu cầu luật sư của bạn đưa ra loại thư 'chấm dứt và hủy bỏ' đe dọa hành động pháp lý"). Trong trường hợp này ENOM và RequestMedia.

whois 69.64.155.17

Báo cáo trang web của kẻ lừa đảo đến càng nhiều tổ chức càng tốt (mozilla, google, ...): Họ có thể thêm cảnh báo trong các ứng dụng của mình để giúp giảm thiểu lừa đảo.

Tạo một trang web chuyên dụng trên trang web của bạn kể về câu chuyện này.

  • 3 Có danh sách chế độ hoảng loạn khi bạn nghi ngờ truy cập trái phép vào máy chủ hoặc dữ liệu của mình không?

Hãy chắc chắn cũng đọc Làm thế nào để tôi đối phó với một máy chủ bị xâm nhập? . Có rất nhiều lời khuyên tốt trong câu hỏi này, ngay cả khi máy chủ của bạn chưa thực sự bị xâm phạm.

  • 4 Làm thế nào bạn có thể ngăn chặn những sự cố trong tương lai như thế này? Giáo dục khách hàng của bạn về cách bạn thường cư xử (ví dụ: "Chúng tôi sẽ không bao giờ gửi nội dung thư trực tiếp mà thay vào đó là một liên kết cho bạn một trang tùy chỉnh trên trang web của chúng tôi")

Tôi không nghĩ đây là sự cố hệ thống bị xâm phạm, trừ khi OP chắc chắn rằng danh sách gửi thư của họ bị xâm phạm. Tôi nghĩ rằng đây chỉ là công việc lừa đảo truyền thống để bắt những người đánh vần sai địa chỉ trang web.
Rob Moir

1
Thêm vào @EricDannielou nếu bạn thấy rằng ISP ở cùng quốc gia với bạn, hãy nhờ luật sư của bạn soạn thảo một loại thư 'chấm dứt và hủy bỏ' đe dọa hành động pháp lý. 9 trong số 10 lần quan tâm đến vấn đề tại nguồn ISP.
Techie Joe

4

Thật khó để có được một trang web giả mạo / lừa đảo bị gỡ xuống, không phải là không thể nhưng thường rất khó. Có những bên thứ ba như MarkMonitor có thể giúp đỡ việc này, nhưng chúng rất tốn kém. Chúng tôi đã tìm thấy chúng khá hiệu quả, đặc biệt là nếu phía lừa đảo rõ ràng là lừa đảo / mạo danh.


-1

Dưới đây là một vài suggesstions từ phía tôi

  1. Báo cáo sự cố cho DMCA.
  2. Liên hệ với nhà cung cấp dịch vụ lưu trữ web và yêu cầu gỡ xuống trang web.
  3. Liên hệ với ICANN và yêu cầu họ hủy tên miền.
  4. Có vẻ như ai đó từ bên trong đã chia sẻ danh sách gửi thư của bạn với đối thủ cạnh tranh hoặc có thể máy chủ đã bị hack. Xem cả hai khả năng.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.