Подозрение на уязвимость сервера или данных и сообщение о мошенническом сайте

tag-icon tag-icon security web phishing scam
Подозрение на уязвимость сервера или данных и сообщение о мошенническом сайте

Два дня назад кто-то создал веб-сайт с точно таким же доменом, как у компании, в которой я работаю, но с отсутствующей одной буквой в названии, и разослал многим людям почтовую рассылку о том, что на сайте проводится акция. Когда вы зайдете на этот сайт, вы (как профессиональный ИТ-специалист) сразу же определите, что это мошеннический сайт, хотя многие люди и так этого не сделают, поэтому они совершат транзакцию на этом сайте и не получат ничего из того, за что заплатили.

Поэтому мы перешли в режим паники, чтобы попытаться понять, что делать, и вот что я сделал как DevOps:

  1. Сообщил об этом сайте в PayPal (единственный доступный на сайте способ оплаты), но, судя по всему, закрытие сайта занимает много времени и требует множества спорных транзакций.
  2. Сообщил о сайте в компанию по регистрации доменов, они пошли на сотрудничество, но для остановки сайта необходимо судебное постановление или постановление ICANN.
  3. Сообщил о проблеме с сайтом хостинговой компании, ответа пока нет.
  4. Проверил данные WHOIS, они недействительны. Они скопировали данные нашей компании и изменили две цифры в почтовом индексе и номере телефона.
  5. Сообщил о сайте в местную полицию Дубая, но блокировка сайта также занимает много времени и требует расследований.
  6. Отправили электронное письмо нашим клиентам с просьбой быть бдительными и всегда проверять, находятся ли они на нашем сайте по протоколу HTTPS, а также проверять доменное имя при совершении покупок.

Больше всего меня беспокоило то, что многие люди, сообщившие о получении электронного письма (более 10), находятся в нашем списке рассылки, поэтому я опасался, что кто-то украл какую-то информацию с нашего сервера, поэтому я:

  1. Проверили журнал доступа к системе, чтобы убедиться, что никто не получил доступ к нашему SSH.
  2. Проверили журнал доступа к базе данных, чтобы убедиться, что никто не пытался получить доступ к нашей базе данных.
  3. Проверил журнал брандмауэра, чтобы убедиться, что никто не получал доступ к серверу.

После этого мое беспокойство переключилось на почтовое программное обеспечение, которое мы используем для отправки наших email-кампаний. Мы использовалиMailChimpраньше, и я не думаю, что они бы получили к нему доступ, но теперь мы используемСэнди, и я боялся, что они получили к нему доступ, я проверил форум сайта и не нашел сообщений о том, что кто-либо сообщал об уязвимости с использованием Sendy, а также многие адресаты, зарегистрированные в нашем списке рассылки, сообщили, что они не получали письма с мошеннического сайта, поэтому я немного успокоился, что никто не получил доступ к нашим данным.

Итак, мои вопросы::

  1. Что еще я могу сделать, чтобы никто не получил доступ к нашему списку рассылки или данным?
  2. Что еще я могу сделать, чтобы сообщить о проблеме и, возможно, закрыть сайт?
  3. Существует ли список действий, которые следует предпринять в случае подозрения о несанкционированном доступе к вашему серверу или данным?
  4. Как можно предотвратить подобные инциденты в будущем?

решение1

  • вопрос 2

Похоже, что серверы имен и фактический хост для этого домена зарегистрированы через ENOM, Inc. Сайт размещен на EHOST-SERVICES212.COM. Попробуйте отправить как отчеты о спаме, так и уведомления о снятии DMCA в eNom и хосту сервера. Страница злоупотреблений eNomhttp://www.enom.com/help/abusepolicy.aspx

  • вопрос 4:Honeytokens

Добавьте в свой список рассылки и базу данных одну или несколько поддельных учетных записей, которые перенаправляют на адреса электронной почты или платежные счета, которые вы контролируете.

Если вы получаете электронное письмо или платежи на поддельный счет, вы можете обоснованно предположить, что список рассылки или база данных были скомпрометированы.

См. статью в Википедиимедовые жетоны.

решение2

Кажется, вы пока что справились очень хорошо.

Вот еще несколько советов:

  • 1 Что еще я могу сделать, чтобы никто не завладел нашим списком рассылки или данными?

Прочитайте журнал приложений, если таковой имеется.

  • 2 Что еще я могу сделать, чтобы сообщить о нарушении и, возможно, удалить сайт?

Сделайте whois по их IP-адресу и свяжитесь с их интернет-провайдером (согласно комментариям, «попросите своего юриста составить письмо типа «прекратить и воздержаться» с угрозой судебного иска»). В данном случае это ENOM и DemandMedia.

whois 69.64.155.17

Сообщите о сайте мошенника как можно большему числу организаций (Mozilla, Google, ...): они могут добавить предупреждения в свои приложения, чтобы помочь смягчить последствия мошенничества.

Создайте на своем сайте специальную страницу, рассказывающую об этой истории.

  • 3 Существует ли список действий в режиме паники, если вы подозреваете несанкционированный доступ к вашему серверу или данным?

Обязательно прочтите такжеЧто делать, если сервер взломан?. Естьмногохороших советов по этому вопросу, даже если ваш сервер на самом деле не был взломан.

  • 4 Как можно предотвратить подобные инциденты в будущем? Объясните клиенту, как вы обычно себя ведете (например: «Мы никогда не будем отправлять контент по почте напрямую, а вместо этого дадим вам ссылку на пользовательскую страницу на нашем веб-сайте»)

решение3

Трудно закрыть сайт-обманщик/мошенник, не невозможно, но обычно очень трудно. Есть третьи лица, такие какMarkMonitorкто может помочь с этим, но они дорогие. Мы обнаружили, что они довольно эффективны, особенно если мошенническая сторона явно мошенничает/выдает себя за другое лицо.

решение4

Вот несколько предложений с моей стороны.

  1. Сообщите об инциденте в DMCA.
  2. Обратитесь к провайдеру веб-хостинга и попросите удалить сайт.
  3. Обратитесь в ICANN и попросите деактивировать доменное имя.
  4. Похоже, кто-то изнутри поделился вашим списком рассылки с конкурентом или, возможно, сервер был взломан. Рассмотрите обе возможности.

Связанный контент