Verdacht auf Server- oder Datenverwundbarkeit und Meldung einer betrügerischen Website

13

Unser Geschäft ist YouGotaGift.com, ein Online-Shop für Geschenkkarten. Vor zwei Tagen hat jemand eine Website mit dem Namen YoGotaGift.com (Sie vermissen das u ) erstellt und eine E-Mail-Kampagne an viele Leute gesendet , die darauf hinweist , dass auf der Website Werbung geschaltet wird Wenn Sie auf die Website gehen, werden Sie (als professionelle IT-Mitarbeiter) diese sofort als Betrugssite identifizieren. Viele Leute werden dies sowieso nicht tun. Sie würden also auf dieser Site Transaktionen abwickeln und sie werden nichts erhalten, wofür sie bezahlt haben.

Also haben wir in den Panikmodus gewechselt, um herauszufinden, was zu tun ist, und was ich als CTO getan habe:

  1. Hat die Website an PayPal gemeldet (die einzige auf der Website verfügbare Zahlungsmethode), aber anscheinend dauert es lange und viele umstrittene Transaktionen, um eine Website zu schließen.
  2. Die Website wurde der Domain-Registrierungsfirma gemeldet, sie haben zusammengearbeitet, aber das Stoppen der Website erfordert eine rechtliche Anordnung eines Gerichts oder der ICANN.
  3. Hat die Website dem Hosting-Unternehmen gemeldet, noch keine Antwort.
  4. Überprüfte die WHOIS-Daten, es ist ungültig, sie haben unsere Unternehmensinformationen kopiert und zwei Ziffern in der Postleitzahl und der Telefonnummer geändert.
  5. Hat die Website der örtlichen Polizei in Dubai gemeldet, aber es braucht auch viel Zeit und Nachforschungen, um eine Website zu blockieren.
  6. Sie haben eine E-Mail an unseren Kundenstamm gesendet, in der sie darauf hingewiesen werden, dass sie sich stets auf unserer HTTPS-Website befinden und den Domainnamen beim Kauf überprüfen müssen.

Mein Hauptanliegen war, dass viele Leute, die gemeldet haben, dass sie die E-Mail erhalten haben (mehr als 10), auf unserer Mailingliste stehen. Ich hatte also Angst, dass jemand Informationen von unserem Server hat.

  1. Überprüfte das Systemzugriffsprotokoll, um sicherzustellen, dass niemand auf unser SSH zugegriffen hat.
  2. Überprüfen Sie das Datenbankzugriffsprotokoll, um sicherzustellen, dass niemand versucht hat, auf unsere Datenbank zuzugreifen.
  3. Überprüfte das Firewall-Protokoll, um sicherzustellen, dass auf keinen Fall jemand auf den Server zugegriffen hat.

Nachdem mein Anliegen auf die Mailing-Software übergegangen war , die wir zum Versenden unserer E-Mail-Kampagnen verwenden, haben wir zuvor MailChimp verwendet, und ich glaube nicht, dass sie darauf zugegriffen haben, aber jetzt verwenden wir Sendy , und ich befürchtete, dass sie darauf zugegriffen haben Ich habe das Site-Forum überprüft und konnte nicht feststellen, dass jemand eine Sicherheitslücke mit Sendy gemeldet hat. Außerdem haben viele in unserer Mailing-Liste registrierte E-Mails gemeldet, dass sie keine E-Mails von der Betrugs-Site erhalten haben Keiner ist an unsere Daten gekommen.

Meine Fragen sind also :

  1. Was kann ich noch tun, um sicherzustellen, dass niemand Zugriff auf unsere Mailingliste oder Daten hat?
  2. Was kann ich noch tun, um die Site zu melden und möglicherweise zu entfernen?
  3. Gibt es eine Liste im Panikmodus, wenn Sie den Verdacht haben, dass nicht autorisierter Zugriff auf Ihren Server oder Ihre Daten vorliegt?
  4. Wie können Sie solche zukünftigen Vorfälle verhindern?
mpcabd
quelle
6
Aaaaarghhh Hintergrundsound auf Website .... 1999 angerufen und will ihre Seiten zurück.
Dennis Kaarsemaker
2
Im Interesse Ihrer Kunden sollten Sie diese über Ihre eigene E-Mail-Kampagne darauf aufmerksam machen und auch einen Status auf Ihrer Website einrichten. Sie sollten in Ihrer E-Mail klarstellen, dass Ihre eigene Website NICHT kompromittiert wurde, bis Sie weitere Beweise finden.
Cold T
@ColdT, das kann auch sehr kontraproduktiv sein: Sie spammen jetzt alle Ihre Kunden, einschließlich derer, die keine E-Mails von diesen Betrügern erhalten haben.
Dennis Kaarsemaker
fröhliches Weihnachten: Vergessen Sie nicht , einen Bonus für sich selbst und Mitarbeiter für Implikation auf solche #Tag zu fragen
Mir wurde gesagt, dass eine fehlerhafte Whois-Information ein ausreichender Grund für eine Abschaltung sein könnte. Könnte der einfachste Weg sein.
aif

Antworten:

12
  • Frage 2

Es sieht so aus, als ob die Nameserver und der tatsächliche Host für YOGOTAGIFT.COM über ENOM, Inc. registriert sind. Die Website wird unter EHOST-SERVICES212.COM gehostet. Versuchen Sie, sowohl Spam-Berichte als auch DMCA-Deaktivierungsbenachrichtigungen an eNom und den Server-Host zu senden. Die Missbrauchsseite von eNom ist http://www.enom.com/help/abusepolicy.aspx

  • frage 4: honigtoken

Erweitern Sie Ihre Mailingliste und Datenbank mit einem oder mehreren gefälschten Konten, die auf E-Mail-Adressen oder Zahlungskonten verweisen, die Sie steuern.

Wenn Sie eine E-Mail erhalten oder das falsche Konto belasten, können Sie davon ausgehen, dass die Mailingliste oder die Datenbank kompromittiert wurde.

Siehe den Wikipedia-Artikel über Honigmarken .

rblake
quelle
1
+1 für Honigmarken. Sie scheinen ein großes unbekanntes Merkmal zu sein!
Ich habe bereits einen Spam-Bericht an die Hosting-Firma (eNom) gesendet, aber ihre Antwort, ich habe die Antwort von ihnen heute erhalten, sie werden nichts tun. +1 für Honeytokens, aber ich habe bereits 6 E-Mails in der Mailingliste und keine hat die E-Mail-Kampagne vom Betrüger erhalten. Deshalb war ich erleichtert, dass sie wahrscheinlich die Mailingliste nicht erhalten haben.
mpcabd
7

Scheint so, als hättest du es wirklich gut gemacht.

Hier noch ein paar Hinweise:

  • 1 Was kann ich noch tun, um sicherzustellen, dass niemand Zugriff auf unsere Mailingliste oder Daten hat?

Lesen Sie ggf. das Anwendungsprotokoll.

  • 2 Was kann ich noch tun, um die Site zu melden und möglicherweise zu entfernen?

Machen Sie ein Whois auf ihre IP-Adresse und kontaktieren Sie ihren ISP (laut Kommentaren "Lassen Sie Ihren Anwalt eine Art" Unterlassungsschreiben "verfassen, das rechtliche Schritte androht"). In diesem Fall ENOM und DemandMedia.

whois 69.64.155.17

Melden Sie die Website des Betrügers so vielen Institutionen wie möglich (Mozilla, Google, ...): Sie können Warnungen in ihre Anwendungen einfügen, um den Betrug zu mindern.

Erstellen Sie auf Ihrer Website eine eigene Webseite, die über diese Geschichte berichtet.

  • 3 Gibt es eine Liste im Panikmodus, wenn Sie den Verdacht haben, dass nicht autorisierter Zugriff auf Ihren Server oder Ihre Daten vorliegt?

Lesen Sie unbedingt auch Wie gehe ich mit einem kompromittierten Server um? . In dieser Frage gibt es viele gute Ratschläge, auch wenn Ihr Server nicht kompromittiert wurde.

  • 4 Wie können Sie solche zukünftigen Vorfälle verhindern? Informieren Sie Ihren Kunden über Ihr Verhalten (z. B .: "Wir senden niemals E-Mail-Inhalte direkt, sondern verlinken Sie mit einer benutzerdefinierten Seite auf unserer Website").
Gemeinschaft
quelle
Ich denke nicht, dass dies ein kompromittiertes Systemproblem ist, es sei denn, das OP ist sicher, dass die Mailingliste kompromittiert ist. Ich denke, dies ist nur die traditionelle Betrugsaufgabe, Leute zu fangen, die eine Website-Adresse falsch geschrieben haben.
Rob Moir
1
Fügen Sie @EricDannielou hinzu, wenn Sie feststellen, dass sich der ISP im selben Land wie Sie befindet, und veranlassen Sie Ihren Anwalt, eine Art von Unterlassungsschreiben zu verfassen, in dem mit rechtlichen Schritten gedroht wird. 9 mal von 10, die sich um die Sache bei der ISP-Quelle kümmern.
Techie Joe
4

Es ist schwer, eine Parodie / Betrugs-Website zu entfernen, nicht unmöglich, aber normalerweise sehr schwer. Es gibt Dritte wie MarkMonitor , die dabei helfen können, die aber teuer sind. Wir haben festgestellt, dass sie ziemlich effektiv sind, insbesondere wenn die Betrugsseite eindeutig betrügerisch ist.

Dennis Kaarsemaker
quelle
-1

Hier sind ein paar Vorschläge von meiner Seite

  1. Melden Sie den Vorfall an DMCA.
  2. Wenden Sie sich an den Webhosting-Anbieter und bitten Sie, die Website zu deaktivieren.
  3. Wenden Sie sich an ICANN und bitten Sie sie, den Domainnamen zu deaktivieren.
  4. Es sieht so aus, als hätte jemand von innen Ihre Mailingliste mit einem Konkurrenten geteilt oder der Server wurde gehackt. Sehen Sie beide Möglichkeiten.
RJ Rocker
quelle