서버 또는 데이터 취약점이 의심되어 사기 사이트 신고

tag-icon tag-icon security web phishing scam
서버 또는 데이터 취약점이 의심되어 사기 사이트 신고

이틀 전 어떤 사람이 제가 근무하는 회사와 똑같은 도메인으로 웹사이트를 만들었는데, 한 글자가 빠졌는데, 그 웹사이트에 접속하면 그 웹사이트에 프로모션이 있다는 메일 캠페인을 많은 사람들에게 보냈습니다. 전문 IT 담당자로서) 즉시 사기 사이트로 식별할 수 있지만 많은 사람들은 그렇지 않으므로 해당 사이트에서 거래하고 지불한 금액을 받지 못할 것입니다.

그래서 우리는 무엇을 해야 할지 알아보기 위해 패닉 모드로 전환했습니다. DevOps로서 제가 한 일은 다음과 같습니다.

  1. 웹사이트를 PayPal(사이트에서 사용할 수 있는 유일한 결제 방법)에 신고했지만 웹사이트를 폐쇄하는 데 시간이 오래 걸리고 분쟁이 많은 거래가 많은 것 같습니다.
  2. 도메인 등록업체에 해당 웹사이트를 신고하고 협력했지만 웹사이트를 중지하려면 법원이나 ICANN의 법적 명령이 필요합니다.
  3. 호스팅 업체에 홈페이지를 신고했지만 아직 답변이 없습니다.
  4. WHOIS 데이터를 확인해 보니 회사 정보를 복사하고 우편번호와 전화번호 두 자리를 변경한 것은 잘못된 것입니다.
  5. 해당 웹사이트를 두바이 현지 경찰에 신고했지만 웹사이트를 차단하는 데도 많은 시간과 조사가 필요합니다.
  6. 고객에게 항상 HTTPS 사이트에 있는지 확인하고 구매할 때 도메인 이름을 확인하라는 이메일을 보냈습니다.

나의 주요 관심사는 이메일을 받았다고 보고한 많은 사람들(10개 이상)이 우리 메일링 리스트에 있다는 것이었습니다. 그래서 누군가가 우리 서버에서 일부 정보를 얻었을까봐 걱정되어 다음과 같이 했습니다.

  1. 시스템 액세스 로그를 확인하여 SSH에 액세스한 사람이 없는지 확인했습니다.
  2. 데이터베이스 액세스 로그를 확인하여 누구도 우리 DB에 접근하려고 시도하지 않았는지 확인했습니다.
  3. 방화벽 로그를 확인하여 누구도 서버에 액세스하지 않았는지 확인했습니다.

그 후 내 관심사는 이메일 캠페인을 보내는 데 사용하는 메일링 소프트웨어로 전환되었습니다.메일침프이전에는 그들이 액세스하지 않았을 것 같지만 지금은센디, 그리고 그들이 접속할까 두려웠고, 사이트 포럼을 확인해 보니 누군가 Sendy를 사용하여 취약점을 보고한 것을 찾을 수 없었으며 또한 우리 메일링 리스트에 등록된 많은 이메일에서 사기 사이트로부터 이메일을 받지 못했다고 보고했습니다. 그래서 아무도 우리 데이터에 접근하지 못한다는 사실이 조금은 편안해졌습니다.

그래서 내 질문은:

  1. 누구도 우리의 메일링 리스트나 데이터를 확보하지 못하도록 하려면 어떻게 해야 합니까?
  2. 사이트를 신고하고 게시 중단하려면 어떻게 해야 합니까?
  3. 서버나 데이터에 대한 무단 액세스가 의심되는 경우 패닉 모드 목록이 있습니까?
  4. 앞으로 이와 같은 사고를 어떻게 예방할 수 있습니까?

답변1

  • 질문 2

해당 도메인의 이름 서버와 실제 호스트는 ENOM, Inc.를 통해 등록된 것 같습니다. 사이트는 EHOST-SERVICES212.COM에서 호스팅됩니다. eNom과 서버 호스트에 스팸 신고와 DMCA 게시 중단 알림을 모두 보내보세요. eNom 남용 페이지는 다음과 같습니다.http://www.enom.com/help/abusepolicy.aspx

  • 질문 4:허니토큰

귀하가 관리하는 이메일 주소나 지불 계정으로 연결되는 하나 이상의 가짜 계정으로 메일링 리스트와 데이터베이스를 시드하세요.

가짜 계정으로 이메일을 받거나 요금이 청구된다면 메일링 리스트나 데이터베이스가 손상되었다고 합리적으로 추측할 수 있습니다.

에 대한 Wikipedia 기사를 참조하세요.허니 토큰.

답변2

지금까지 정말 잘 해오신 것 같습니다.

다음은 몇 가지 추가 힌트입니다.

  • 1 누구도 우리의 메일링 리스트나 데이터를 확보하지 못하도록 하려면 어떻게 해야 합니까?

애플리케이션 로그가 있으면 읽어보세요.

  • 2 사이트를 신고하고 게시 중단하려면 어떻게 해야 합니까?

IP 주소에 whois를 만들고 해당 ISP에 문의하십시오("변호사에게 법적 조치를 위협하는 '중지 및 중단' 유형의 편지를 작성하도록 요청하십시오"라는 설명에 따라). 이 경우 ENOM 및 DemandMedia입니다.

whois 69.64.155.17

가능한 한 많은 기관(Mozilla, Google 등)에 사기꾼 사이트를 신고하세요. 사기를 완화하는 데 도움이 되도록 애플리케이션에 경고를 추가할 수 있습니다.

귀하의 사이트에 이 이야기를 전하는 전용 웹페이지를 만드십시오.

  • 3 서버나 데이터에 대한 무단 액세스가 의심되는 경우 패닉 모드 목록이 있습니까?

도 꼭 읽어보세요손상된 서버를 어떻게 처리합니까?. 있다많이서버가 실제로 손상되지 않은 경우에도 이 질문에 대한 좋은 조언이 있습니다.

  • 4 앞으로 이와 같은 사고를 예방하려면 어떻게 해야 합니까? 귀하의 평소 행동 방식에 대해 고객에게 교육하십시오(예: "우리는 메일 내용을 직접 보내지 않고 오히려 우리 웹사이트의 사용자 정의 페이지에 대한 링크를 보내드립니다.")

답변3

스푸핑/사기 사이트를 폐쇄하는 것은 어렵습니다. 불가능하지는 않지만 일반적으로 매우 어렵습니다. 다음과 같은 제3자가 있습니다.마크모니터누가 도와줄 수 있지만 비용이 많이 듭니다. 그러나 특히 사기 측면이 명백히 사기/사칭인 경우 더욱 효과적이었습니다.

답변4

내 의견은 다음과 같습니다.

  1. 사건을 DMCA에 신고하세요.
  2. 웹 호스팅 제공업체에 연락하여 사이트 게시 중단을 요청하세요.
  3. ICANN에 연락하여 도메인 이름을 비활성화하도록 요청하세요.
  4. 내부 누군가가 귀하의 메일링 리스트를 경쟁업체와 공유했거나 서버가 해킹당한 것 같습니다. 두 가지 가능성을 모두 확인하세요.

관련 정보