Verdacht auf Server- oder Datenschwachstelle und Meldung einer betrügerischen Site

Verdacht auf Server- oder Datenschwachstelle und Meldung einer betrügerischen Site

Vor zwei Tagen hat jemand eine Website erstellt, die genau dieselbe Domain wie die Firma hat, für die ich arbeite, aber ein Buchstabe fehlt, und hat eine E-Mail-Kampagne an viele Leute geschickt, in der stand, dass es auf der Website eine Werbeaktion gibt. Wenn Sie die Website aufrufen, würden Sie (als professioneller IT-Fachmann) sie sofort als Betrugsseite erkennen. Viele Leute würden das sowieso nicht tun und deshalb ihre Transaktionen auf dieser Seite durchführen, und sie würden nichts erhalten, wofür sie bezahlt haben.

Also gerieten wir in den Panikmodus, um herauszufinden, was zu tun ist. Und als DevOps habe ich Folgendes getan:

  1. Habe die Website bei PayPal gemeldet (die einzige auf der Website verfügbare Zahlungsmethode), aber anscheinend dauert es lange und erfordert viele umstrittene Transaktionen, um eine Website zu schließen.
  2. Habe die Website dem Domain-Registrierungsunternehmen gemeldet. Dieses hat kooperiert, aber um die Website zu sperren, ist eine gerichtliche Anordnung oder eine Anordnung der ICANN erforderlich.
  3. Habe die Website dem Hosting-Unternehmen gemeldet, noch keine Antwort.
  4. Habe die WHOIS-Daten geprüft, sie sind ungültig. Sie haben unsere Firmeninformationen kopiert und zwei Ziffern in der Postleitzahl und der Telefonnummer geändert.
  5. Habe die Website der örtlichen Polizei in Dubai gemeldet, aber das Sperren einer Website nimmt ebenfalls viel Zeit in Anspruch und erfordert viele Ermittlungen.
  6. Habe eine E-Mail an unsere Kunden gesendet und sie darauf hingewiesen, dass sie beim Kauf stets darauf achten sollen, dass sie sich auf unserer HTTPS-Site befinden und den Domänennamen überprüfen sollen.

Meine größte Sorge bestand darin, dass sich viele der Personen, die den Erhalt der E-Mail gemeldet hatten (mehr als 10), auf unserer Mailingliste befinden. Ich befürchtete daher, dass jemand Informationen von unserem Server abgerufen haben könnte. Daher habe ich Folgendes getan:

  1. Habe das Systemzugriffsprotokoll überprüft, um sicherzustellen, dass niemand auf unser SSH zugegriffen hat.
  2. Das Datenbankzugriffsprotokoll wurde geprüft, um sicherzustellen, dass niemand versucht hat, auf unsere Datenbank zuzugreifen.
  3. Habe das Firewall-Protokoll überprüft, um sicherzustellen, dass niemand trotzdem auf den Server zugegriffen hat.

Danach verlagerte sich meine Sorge auf die Mailing-Software, die wir zum Versenden unserer E-Mail-Kampagnen verwenden. Wir verwendetenMailChimpvorher und ich glaube nicht, dass sie darauf zugegriffen hätten, aber jetzt verwenden wirSendy, und ich hatte Angst, dass sie darauf zugegriffen haben. Ich habe das Forum der Site überprüft und konnte nicht finden, dass jemand eine Sicherheitslücke bei Sendy gemeldet hat. Außerdem haben viele in unserer Mailingliste registrierte E-Mail-Adressen gemeldet, dass sie die E-Mail nicht von der betrügerischen Site erhalten haben. Daher war ich einigermaßen beruhigt, dass niemand an unsere Daten gelangt ist.

Meine Fragen sind also:

  1. Was kann ich noch tun, um sicherzustellen, dass niemand an unsere Mailingliste oder Daten gelangt?
  2. Was kann ich noch tun, um die Site zu melden und möglicherweise vom Netz zu nehmen?
  3. Gibt es eine Panikmodusliste für den Fall, dass Sie einen unbefugten Zugriff auf Ihren Server oder Ihre Daten vermuten?
  4. Wie können Sie derartige Vorfälle in Zukunft verhindern?

Antwort1

  • Frage 2

Es sieht so aus, als ob die Nameserver und der eigentliche Host für diese Domain über ENOM, Inc. registriert sind. Die Site wird bei EHOST-SERVICES212.COM gehostet. Versuchen Sie, sowohl Spam-Berichte als auch DMCA-Abmahnungen an eNom und den Server-Host zu senden. Die eNom-Missbrauchsseite isthttp://www.enom.com/help/abusepolicy.aspx

  • Frage 4:Honigtoken

Füllen Sie Ihre Mailingliste und Datenbank mit einem oder mehreren Fake-Konten, die auf von Ihnen kontrollierte E-Mail-Adressen oder Zahlungskonten weiterleiten.

Wenn Sie E-Mails oder Belastungen über das gefälschte Konto erhalten, können Sie davon ausgehen, dass die Mailingliste oder Datenbank kompromittiert wurde.

Siehe den Wikipedia-Artikel überHonigtoken.

Antwort2

Scheint, als hätten Sie das bisher wirklich gut gemacht.

Hier noch ein paar Hinweise:

  • 1. Was kann ich noch tun, um sicherzustellen, dass niemand an unsere Mailingliste oder Daten gelangt?

Lesen Sie das Anwendungsprotokoll, falls vorhanden.

  • 2. Was kann ich noch tun, um die Site zu melden und möglicherweise vom Netz zu nehmen?

Erstellen Sie ein Whois für ihre IP-Adresse und kontaktieren Sie ihren ISP (laut Kommentaren: „Lassen Sie Ihren Anwalt eine Unterlassungsaufforderung mit der Androhung rechtlicher Schritte verfassen“). In diesem Fall ENOM und DemandMedia.

whois 69.64.155.17

Melden Sie die Site des Betrügers so vielen Institutionen wie möglich (Mozilla, Google, ...): Sie können ihren Anwendungen Warnungen hinzufügen, um den Betrug einzudämmen.

Erstellen Sie auf Ihrer Site eine spezielle Webseite, die diese Geschichte erzählt.

  • 3. Gibt es eine Panikmodus-Liste für den Fall, dass Sie einen unbefugten Zugriff auf Ihren Server oder Ihre Daten vermuten?

Lesen Sie unbedingt auchWie gehe ich mit einem kompromittierten Server um?. Es gibtvielegute Ratschläge zu dieser Frage, auch wenn Ihr Server tatsächlich nicht kompromittiert wurde.

  • 4 Wie können Sie derartige Vorfälle in Zukunft verhindern? Informieren Sie Ihren Kunden über Ihr übliches Verhalten (z. B.: „Wir werden niemals E-Mail-Inhalte direkt versenden, sondern Ihnen stattdessen einen Link zu einer benutzerdefinierten Seite auf unserer Website schicken“).

Antwort3

Es ist schwer, eine gefälschte/betrügerische Website vom Netz nehmen zu lassen, nicht unmöglich, aber normalerweise sehr schwer. Es gibt Dritte wieMarkMonitorwer kann dabei helfen, aber sie sind teuer. Wir haben sie jedoch als ziemlich effektiv empfunden, insbesondere wenn es sich bei dem Betrug eindeutig um Betrug/Identitätsbetrug handelt.

Antwort4

Hier sind einige Vorschläge von meiner Seite

  1. Melden Sie den Vorfall dem DMCA.
  2. Kontaktieren Sie den Webhosting-Anbieter und bitten Sie ihn, die Site vom Netz zu nehmen.
  3. Kontaktieren Sie ICANN und bitten Sie sie, den Domänennamen zu deaktivieren.
  4. Es sieht so aus, als ob jemand von innen Ihre Mailingliste an einen Konkurrenten weitergegeben hätte oder Ihr Server gehackt worden wäre. Sehen Sie sich beide Möglichkeiten an.

verwandte Informationen