兩天前,有人創建了一個網站,該網站與我工作的公司具有完全相同的域名,但缺少一封信,並向許多人發送了一封郵件活動,說該網站上有促銷活動,當您造訪該網站時,您(作為專業IT 人員)會立即將其識別為詐騙網站,但許多人無論如何都不會,因此他們會在該網站上進行交易,但他們不會收到任何付費的東西。
因此,我們切換到恐慌模式來嘗試弄清楚該怎麼做,而我作為 DevOps 所做的是:
- 已向 PayPal(網站上唯一可用的付款方式)舉報該網站,但顯然關閉網站需要很長時間和許多有爭議的交易。
- 向網域註冊公司報告了該網站,他們進行了合作,但停止該網站需要法院或 ICANN 的法律命令。
- 已向託管公司報告該網站,但尚未得到回應。
- 檢查了WHOIS數據,他們複製了我們公司的資訊並更改了郵遞區號和電話號碼中的兩位數字,這是無效的。
- 已向杜拜當地警方舉報該網站,但封鎖該網站也需要大量時間和調查。
- 向我們的客戶群發送了一封電子郵件,告訴他們要注意並始終檢查他們是否訪問我們的 HTTPS 網站,並在購買時檢查網域名稱。
我主要擔心的是,許多報告收到電子郵件的人(超過 10 人)都在我們的郵件列表中,所以我擔心有人從我們的伺服器中獲取了一些信息,所以我:
- 檢查系統存取日誌以確保沒有人存取我們的 SSH。
- 檢查資料庫存取日誌以確保沒有人嘗試存取我們的資料庫。
- 檢查防火牆日誌以確保沒有人訪問伺服器。
之後,我的焦點轉向了我們用來發送電子郵件活動的郵件軟體,我們使用郵件黑猩猩以前,我認為他們不會訪問它,但現在我們正在使用森迪,我擔心他們訪問了它,我檢查了網站論壇,找不到任何人報告使用 Sendy 的漏洞,而且我們的郵件列表中註冊的許多電子郵件報告說他們沒有從欺詐網站收到電子郵件,所以我對沒有人得到我們的數據感到有點放心。
所以我的問題是:
- 我還能做些什麼來確保沒有人掌握我們的郵件清單或數據?
- 我還能做些什麼來舉報甚至關閉該網站?
- 當您懷疑未經授權存取您的伺服器或資料時,是否有緊急模式清單?
- 如何防止未來發生類似事件?
答案1
- 問題2
該網域的名稱伺服器和實際主機似乎是透過 ENOM, Inc. 註冊的。嘗試向 eNom 和伺服器主機發送垃圾郵件報告和 DMCA 刪除通知。 eNom 濫用頁面是http://www.enom.com/help/abusepolicy.aspx
- 問題4:蜜幣
在您的郵件清單和資料庫中植入一個或多個指向您控制的電子郵件地址或付款帳戶的虛假帳戶。
如果您收到虛假帳戶的電子郵件或收費,您可以合理地假設郵件清單或資料庫已洩露。
請參閱維基百科文章蜜幣。
答案2
看來到目前為止你做得很好。
這裡還有一些提示:
- 1 我還能做什麼來確保沒有人掌握我們的郵件清單或資料?
閱讀應用程式日誌(如果有)。
- 2 我還可以採取哪些措施來舉報甚至關閉該網站?
在他們的 IP 位址上進行 whois 並聯繫他們的 ISP(根據評論「讓你的律師起草一份『停止和停止』類型的威脅採取法律行動的信函」)。在本例中,ENOM 和 DemandMedia。
whois 69.64.155.17向盡可能多的機構(mozilla、google 等)舉報詐騙者的網站:他們可以在其應用程式中添加警告,以幫助減輕詐騙。
在您的網站上製作一個專門的網頁來講述這個故事。
- 3 當您懷疑您的伺服器或資料受到未經授權的存取時,是否有緊急模式清單?
請務必還閱讀如何處理受感染的伺服器?。有地段即使您的伺服器確實沒有受到損害,在這個問題上也有很多很好的建議。
- 4 如何避免類似事件再次發生?教育您的客戶您通常的行為方式(例如:「我們不會直接發送郵件內容,而是將您連結到我們網站上的自訂頁面」)
答案3
關閉欺騙/詐騙網站很困難,並非不可能,但通常非常困難。還有像這樣的第三方標記監視器誰可以幫忙解決這個問題,但是他們很貴。不過,我們發現它們相當有效,尤其是在欺詐方面明顯是欺詐/冒充的情況下。
答案4
以下是我個人的一些建議
- 向 DMCA 報告該事件。
- 聯絡網站寄存提供者並要求關閉網站。
- 聯絡 ICANN 並要求他們停用該網域。
- 看起來內部有人與競爭對手共享了您的郵件列表,或者伺服器可能被駭客入侵。看看這兩種可能性。