Suspeita de vulnerabilidade de servidor ou dados e denúncia de site fraudulento

tag-icon tag-icon security web phishing scam
Suspeita de vulnerabilidade de servidor ou dados e denúncia de site fraudulento

Há dois dias alguém criou um site que tem exatamente o mesmo domínio da empresa em que trabalho, mas faltando uma carta, e enviou uma campanha por e-mail para muitas pessoas informando que há uma promoção no site, quando você acessa o site você ( como profissionais de TI) o identificariam imediatamente como um site fraudulento, muitas pessoas não o farão de qualquer maneira, então fariam transações nesse site e não receberiam nada pelo que pagaram.

Então, mudamos para o modo de pânico para tentar descobrir o que fazer, e o que fiz como DevOps foi:

  1. Relatei o site ao PayPal (único método de pagamento disponível no site), mas aparentemente leva muito tempo e muitas transações contestadas para fechar um site.
  2. Relatou o site à empresa de registro de domínio, eles cooperaram, mas para interromper o site é necessária uma ordem legal de um tribunal ou da ICANN.
  3. Relatei o site à empresa de hospedagem, sem resposta ainda.
  4. Verifiquei os dados WHOIS, são inválidos, copiaram as informações da nossa empresa e alteraram dois dígitos no código postal e no número de telefone.
  5. Denunciou o site à polícia local em Dubai, mas também leva muito tempo e investigações para bloquear um site.
  6. Enviou um e-mail para nossa base de clientes avisando-os para ficarem atentos e sempre verificarem se estão em nosso site HTTPS e verificar o nome de domínio no momento da compra.

Minha principal preocupação era que muitas pessoas que relataram ter recebido o e-mail (mais de 10) estão em nossa lista de e-mails, então tive medo de que alguém tivesse obtido alguma informação de nosso servidor, então eu:

  1. Verifiquei o log de acesso do sistema para garantir que ninguém acessou nosso SSH.
  2. Verifiquei o log de acesso ao banco de dados para garantir que ninguém tentou acessar nosso banco de dados.
  3. Verifiquei o log do firewall para ter certeza de que ninguém acessou o servidor.

Depois disso minha preocupação mudou para o software de mailing que usamos para enviar nossas campanhas de email, usamosMailChimpantes e não acho que eles teriam acessado, mas agora estamos usandoSendy, e fiquei com medo de que eles acessassem, verifiquei o fórum do site e não encontrei ninguém que tenha reportado uma vulnerabilidade usando o Sendy, e também muitos e-mails cadastrados em nossa mailing list relataram que não receberam o e-mail do site fraudulento, então fiquei um pouco confortável porque ninguém acessou nossos dados.

Então minhas perguntas são:

  1. O que mais posso fazer para garantir que ninguém tenha acesso à nossa lista de e-mails ou aos nossos dados?
  2. O que mais posso fazer para denunciar e talvez retirar o site do ar?
  3. Existe uma lista de modo de pânico quando você suspeita de acesso não autorizado ao seu servidor ou dados?
  4. Como você pode evitar incidentes futuros como este?

Responder1

  • Questão 2

Parece que os servidores de nomes e o host real desse domínio estão registrados através da ENOM, Inc. O site está hospedado em EHOST-SERVICES212.COM. Tente enviar relatórios de spam e avisos de remoção DMCA para o eNom e o host do servidor. A página de abuso do eNom éhttp://www.enom.com/help/abusepolicy.aspx

  • questão 4:Moedas de mel

Promova sua lista de e-mails e banco de dados com uma ou mais contas falsas que direcionam para endereços de e-mail ou contas de pagamento que você controla.

Se você receber e-mails ou cobranças na conta falsa, poderá razoavelmente supor que a lista de e-mails ou banco de dados foi comprometida.

Veja o artigo da Wikipédia sobretokens de mel.

Responder2

Parece que você se saiu muito bem até agora.

Aqui estão mais algumas dicas:

  • 1 O que mais posso fazer para garantir que ninguém tenha acesso à nossa lista de e-mails ou aos nossos dados?

Leia o log do aplicativo, se houver.

  • 2 O que mais posso fazer para denunciar e talvez retirar o site do ar?

Faça um whois em seu endereço IP e entre em contato com seu ISP (de acordo com os comentários "peça ao seu advogado para redigir uma carta do tipo 'cesse e desista' ameaçando ação legal"). Neste caso ENOM e DemandMedia.

whois 69.64.155.17

Denuncie o site do golpista ao maior número possível de instituições (mozilla, google, ...): elas podem adicionar avisos em seus aplicativos para ajudar a mitigar o golpe.

Faça uma página dedicada em seu site contando sobre essa história.

  • 3 Existe uma lista de modo de pânico quando você suspeita de acesso não autorizado ao seu servidor ou dados?

Não deixe de ler tambémComo faço para lidar com um servidor comprometido?. Hágrande quantidadede bons conselhos nesta questão, mesmo que o seu servidor não tenha sido realmente comprometido.

  • 4 Como você pode evitar futuros incidentes como este? Eduque seu cliente sobre a maneira como você normalmente se comporta (por exemplo: "Nunca enviaremos conteúdo de e-mail diretamente, mas sim um link para uma página personalizada em nosso site")

Responder3

É difícil derrubar um site de falsificação/fraude, não é impossível, mas geralmente é muito difícil. Existem terceiros comoMarkMonitorquem pode ajudar com isso, mas eles são caros. No entanto, nós os consideramos bastante eficazes, especialmente se o lado da fraude for claramente uma fraude/personificação.

Responder4

Aqui estão algumas sugestões da minha parte

  1. Relate o incidente ao DMCA.
  2. Entre em contato com o provedor de hospedagem na web e peça para retirar o site do ar.
  3. Entre em contato com a ICANN e peça para desativar o nome de domínio.
  4. Parece que alguém de dentro compartilhou sua lista de e-mails com um concorrente ou o servidor pode ter sido hackeado. Veja ambas as possibilidades.

informação relacionada