Hace dos días alguien creó un sitio web que tiene exactamente el mismo dominio de la empresa para la que trabajo, pero le falta una letra, y envió una campaña por correo a muchas personas diciendo que hay una promoción en el sitio web, cuando vas al sitio web ( como profesionales de TI) lo identificarían inmediatamente como un sitio fraudulento, muchas personas no lo harán de todos modos, por lo que realizarán transacciones en ese sitio y no recibirán nada de lo que pagaron.
Entonces cambiamos al modo de pánico para intentar descubrir qué hacer, y lo que hice como DevOps fue:
- Denunció el sitio web a PayPal (el único método de pago disponible en el sitio), pero aparentemente lleva mucho tiempo y muchas transacciones disputadas cerrar un sitio web.
- Se informó el sitio web a la empresa de registro de dominios, ellos cooperaron, pero para detener el sitio web se necesita una orden legal de un tribunal o de la ICANN.
- Informó el sitio web a la empresa de hosting, aún no hay respuesta.
- Verificaron los datos de WHOIS, no son válidos, copiaron la información de nuestra empresa y cambiaron dos dígitos en el código postal y el número de teléfono.
- Denunció el sitio web a la policía local en Dubai, pero también lleva mucho tiempo e investigaciones bloquear un sitio web.
- Envié un correo electrónico a nuestra base de clientes diciéndoles que estén atentos y que siempre verifiquen que están en nuestro sitio HTTPS y que verifiquen el nombre de dominio cuando realicen una compra.
Mi principal preocupación era que muchas personas que informaron haber recibido el correo electrónico (más de 10) están en nuestra lista de correo, por lo que temía que alguien hubiera obtenido información de nuestro servidor, así que:
- Verificó el registro de acceso al sistema para asegurarse de que nadie accediera a nuestro SSH.
- Verificó el registro de acceso a la base de datos para asegurarse de que nadie haya intentado ni accedido a nuestra base de datos.
- Verificó el registro del firewall para asegurarse de que nadie accediera al servidor de todos modos.
Después de eso, mi preocupación cambió al software de correo que usamos para enviar nuestras campañas de correo electrónico, usamosCorreoChimpantes y no creo que hubieran accedido a él, pero ahora estamos usandoenviar, y tenía miedo de que accedieran a él, revisé el foro del sitio y no pude encontrar que nadie hubiera informado de una vulnerabilidad usando Sendy, y también muchos correos electrónicos registrados en nuestra lista de correo informaron que no recibieron el correo electrónico del sitio fraudulento. Así que me sentí un poco cómodo de que nadie accediera a nuestros datos.
Entonces mis preguntas son:
- ¿Qué más puedo hacer para asegurarme de que nadie se apoderó de nuestra lista de correo o de nuestros datos?
- ¿Qué más puedo hacer para denunciar y tal vez eliminar el sitio?
- ¿Existe una lista de modo de pánico cuando sospecha de un acceso no autorizado a su servidor o a sus datos?
- ¿Cómo se pueden prevenir futuros incidentes como este?
Respuesta1
- Pregunta 2
Parece que los servidores de nombres y el host real de ese dominio están registrados a través de ENOM, Inc. El sitio está alojado en EHOST-SERVICES212.COM. Intente enviar informes de spam y avisos de eliminación de DMCA a eNom y al servidor host. La página de abuso de eNom eshttp://www.enom.com/help/abusepolicy.aspx
- pregunta 4:Fichas de miel
Siembre su lista de correo y base de datos con una o más cuentas falsas que dirijan a direcciones de correo electrónico o cuentas de pago que usted controle.
Si recibe correos electrónicos o cargos en la cuenta falsa, puede suponer razonablemente que la lista de correo o la base de datos se ha visto comprometida.
Consulte el artículo de Wikipedia sobrefichas de miel.
Respuesta2
Parece que lo has hecho muy bien hasta ahora.
Aquí hay algunos consejos más:
- 1 ¿Qué más puedo hacer para asegurarme de que nadie se apoderó de nuestra lista de correo o de nuestros datos?
Lea el registro de la aplicación, si corresponde.
- 2 ¿Qué más puedo hacer para denunciar y tal vez eliminar el sitio?
Haga un whois en su dirección IP y comuníquese con su ISP (según los comentarios, "pídale a su abogado que redacte una carta tipo 'cese y desista' amenazando con emprender acciones legales"). En este caso ENOM y DemandMedia.
whois 69.64.155.17Informe el sitio del estafador a tantas instituciones como sea posible (mozilla, google,...): pueden agregar advertencias en sus aplicaciones para ayudar a mitigar la estafa.
Cree una página web dedicada en su sitio que cuente esta historia.
- 3 ¿Existe una lista de modo de pánico cuando sospecha de un acceso no autorizado a su servidor o a sus datos?
Asegúrate de leer también¿Cómo trato con un servidor comprometido?. Haylotesde buenos consejos en esta pregunta, incluso si su servidor no se ha visto comprometido.
- 4 ¿Cómo se pueden prevenir futuros incidentes como este? Eduque a su cliente sobre su comportamiento habitual (por ejemplo: "Nunca enviaremos contenido de correo directamente, sino que le vincularemos a una página personalizada en nuestro sitio web")
Respuesta3
Es difícil eliminar un sitio falso o fraudulento, no es imposible, pero suele ser muy difícil. Hay terceros comoMarcaMonitor¿Quién puede ayudar con esto, pero son caros? Sin embargo, los hemos encontrado bastante efectivos, especialmente si el lado del fraude es claramente fraude/suplantación de identidad.
Respuesta4
Aquí hay algunas sugerencias de mi parte.
- Informe el incidente a DMCA.
- Póngase en contacto con el proveedor de alojamiento web y solicite que elimine el sitio.
- Comuníquese con ICANN y pídales que desactiven el nombre de dominio.
- Parece que alguien desde dentro compartió su lista de correo con un competidor o puede que el servidor haya sido pirateado. Vea ambas posibilidades.