เซิร์ฟเวอร์หรือช่องโหว่ของข้อมูลที่ต้องสงสัยและรายงานไซต์ที่หลอกลวง


13

ธุรกิจของเราคือ YouGotaGift.com, ร้านค้าออนไลน์สำหรับบัตรของขวัญสองวันที่ผ่านมามีคนสร้างเว็บไซต์ที่เรียกว่า YoGotaGift.com (คุณจะหายไปU ) และส่งแคมเปญอีเมลไปยังคนจำนวนมากที่มีโปรโมชั่นบนเว็บไซต์ เมื่อคุณไปที่เว็บไซต์ของคุณ (ในฐานะผู้เชี่ยวชาญด้านไอที) จะระบุว่าเป็นเว็บไซต์ที่หลอกลวงคนจำนวนมากจะไม่ทำเช่นนั้นดังนั้นพวกเขาจึงทำธุรกรรมบนเว็บไซต์นั้นและพวกเขาจะไม่ได้รับสิ่งที่พวกเขาจ่ายไป

ดังนั้นเราจึงเปลี่ยนเป็นโหมดตื่นตระหนกเพื่อลองและคิดว่าจะทำอย่างไรและสิ่งที่ฉันทำในฐานะ CTO คือ:

  1. รายงานเว็บไซต์ไปยัง PayPal (วิธีการชำระเงินเพียงวิธีเดียวที่มีในเว็บไซต์) แต่เห็นได้ชัดว่ามันใช้เวลานานและการทำธุรกรรมที่มีข้อโต้แย้งมากมายเพื่อปิดเว็บไซต์
  2. รายงานเว็บไซต์ไปยัง บริษัท จดทะเบียนโดเมนพวกเขาให้ความร่วมมือ แต่การหยุดเว็บไซต์ต้องมีคำสั่งทางกฎหมายจากศาลหรือ ICANN
  3. รายงานเว็บไซต์ต่อ บริษัท โฮสติ้งแล้วยังไม่มีการตอบกลับ
  4. ตรวจสอบข้อมูล WHOIS ว่าไม่ถูกต้องพวกเขาคัดลอกข้อมูล บริษัท ของเราและเปลี่ยนตัวเลขสองหลักในรหัสไปรษณีย์และหมายเลขโทรศัพท์
  5. รายงานเว็บไซต์ให้ตำรวจท้องที่ในดูไบ แต่ใช้เวลานานและการตรวจสอบเพื่อบล็อกเว็บไซต์
  6. ส่งอีเมลไปยังฐานลูกค้าของเราเพื่อแจ้งให้พวกเขาทราบและตรวจสอบพวกเขาอยู่เสมอในเว็บไซต์ HTTPS ของเราและตรวจสอบชื่อโดเมนเมื่อพวกเขากำลังซื้อ

ความกังวลหลักของฉันคือคนจำนวนมากที่รายงานว่าพวกเขาได้รับอีเมล (มากกว่า 10) อยู่ในรายชื่อผู้รับจดหมายของเราดังนั้นฉันจึงกลัวว่ามีใครบางคนได้รับข้อมูลบางอย่างจากเซิร์ฟเวอร์ของเราดังนั้นฉัน:

  1. ตรวจสอบบันทึกการเข้าถึงระบบเพื่อให้แน่ใจว่าไม่มีใครเข้าถึง SSH ของเรา
  2. ตรวจสอบบันทึกการเข้าถึงฐานข้อมูลเพื่อให้แน่ใจว่าไม่มีใครลองและเข้าถึงฐานข้อมูลของเรา
  3. ตรวจสอบบันทึกของไฟร์วอลล์เพื่อให้แน่ใจว่าไม่มีใครเข้าถึงเซิร์ฟเวอร์ได้

หลังจากนั้นความกังวลของฉันเปลี่ยนไปเป็นซอฟต์แวร์ส่งจดหมายที่เราใช้เพื่อส่งแคมเปญอีเมลของเราเราใช้MailChimpมาก่อนและฉันไม่คิดว่าพวกเขาจะเข้าถึงได้ แต่ตอนนี้เรากำลังใช้Sendyและฉันกลัวว่าพวกเขาจะเข้าถึงมัน ฉันตรวจสอบฟอรัมไซต์แล้วและไม่พบว่ามีใครรายงานว่ามีช่องโหว่ในการใช้ Sendy และมีอีเมลจำนวนมากที่ลงทะเบียนในรายชื่อผู้รับจดหมายของเรารายงานว่าพวกเขาไม่ได้รับอีเมลจากไซต์ที่ฉ้อโกง ร่างกายไม่ได้รับข้อมูลของเรา

ดังนั้นคำถามของฉันคือ :

  1. ฉันสามารถทำอะไรได้อีกบ้างเพื่อให้แน่ใจว่าไม่มีใครได้รับรายชื่ออีเมลหรือข้อมูลของเรา
  2. ฉันต้องทำอะไรมากกว่านี้ในการรายงานและอาจทำให้ไซต์ล้มเหลว
  3. มีรายการโหมดตกใจเมื่อคุณสงสัยว่ามีการเข้าถึงเซิร์ฟเวอร์หรือข้อมูลโดยไม่ได้รับอนุญาตหรือไม่?
  4. คุณจะป้องกันเหตุการณ์ในอนาคตเช่นนี้ได้อย่างไร?

6
เสียงพื้นหลัง Aaaaarghhh บนเว็บไซต์ .... ปี 1999 ได้เรียกและต้องการให้หน้าเว็บของพวกเขากลับมา
Dennis Kaarsemaker

2
เพื่อประโยชน์ของลูกค้าของคุณคุณควรทำให้พวกเขารู้ผ่านแคมเปญอีเมลของคุณเองและวางสถานะในเว็บไซต์ของคุณ คุณควรทำให้ชัดเจนภายในอีเมลเว็บไซต์ของคุณเองยังไม่ถูกบุกรุกจนกว่าคุณจะพบหลักฐานเพิ่มเติม
เย็น T

@ColdT ที่สามารถต่อต้านมาก: ตอนนี้คุณสแปมลูกค้าทั้งหมดของคุณรวมถึงคนที่ไม่ได้รับจดหมายจากผู้หลอกลวงเหล่านี้
Dennis Kaarsemaker

merry xmas: อย่าลืมขอโบนัสให้ตัวเองและผู้ร่วมงานในวันนี้ #130

ฉันได้รับแจ้งว่าข้อมูล whois ที่ผิดพลาดอาจเป็นเหตุผลเพียงพอสำหรับการลบออก อาจเป็นวิธีที่ง่ายที่สุด
aif

คำตอบ:


12
  • คำถามที่ 2

ดูเหมือนว่าเซิร์ฟเวอร์ชื่อและโฮสต์จริงสำหรับ YOGOTAGIFT.COM นั้นได้รับการลงทะเบียนผ่าน ENOM, Inc. ไซต์ดังกล่าวโฮสต์ที่ EHOST-SERVICES212.COM ลองส่งทั้งรายงานสแปมและการแจ้งลบเนื้อหา DMCA ไปยัง eNom และโฮสต์เซิร์ฟเวอร์ หน้าการละเมิด eNom คือhttp://www.enom.com/help/abusepolicy.aspx

  • คำถามที่ 4: Honeytokens

สร้างรายชื่อผู้รับจดหมายและฐานข้อมูลของคุณด้วยบัญชีปลอมหนึ่งบัญชีหรือมากกว่าที่ส่งไปยังที่อยู่อีเมลหรือบัญชีการชำระเงินที่คุณควบคุม

หากคุณได้รับอีเมลหรือการเรียกเก็บเงินไปยังบัญชีปลอมคุณสามารถสมมติได้ว่ารายชื่อผู้รับจดหมายหรือฐานข้อมูลถูกโจมตี

ดูบทความวิกิพีเดียhoneytokens


1
+1 สำหรับ honeytokens พวกเขาดูเหมือนจะเป็นคุณสมบัติที่ไม่รู้จักที่ดี!

ฉันส่งรายงานสแปมไปยัง บริษัท โฮสติ้ง (eNom) แล้ว แต่การตอบกลับของพวกเขาฉันได้รับคำตอบจากพวกเขาในวันนี้พวกเขาจะไม่ทำอะไรเลย +1 สำหรับ honeytokens แต่ฉันมีอีเมล 6 ฉบับในรายชื่อผู้รับจดหมายและไม่มีแคมเปญอีเมลจากผู้หลอกลวงนั่นคือสาเหตุที่ฉันรู้สึกโล่งใจที่พวกเขาอาจไม่ได้รับรายชื่ออีเมล
mpcabd

7

ดูเหมือนคุณจะทำได้ดีมาก

ต่อไปนี้เป็นคำแนะนำเพิ่มเติม:

  • 1 ฉันสามารถทำอะไรได้อีกบ้างเพื่อให้แน่ใจว่าไม่มีใครได้รับรายชื่ออีเมลหรือข้อมูลของเรา

อ่านบันทึกการใช้งานถ้ามี

  • 2 ฉันต้องทำอะไรมากกว่านี้ในการรายงานและอาจทำให้ไซต์ล้มเหลว

ทำ whois บนที่อยู่ IP ของพวกเขาและติดต่อ ISP ของพวกเขา (ตามความเห็น "ให้ทนายของคุณวาดจดหมายประเภท 'หยุดและหยุดยั้ง' ที่คุกคามการดำเนินการทางกฎหมาย") ในกรณีนี้ ENOM และ DemandMedia

whois 69.64.155.17

รายงานเว็บไซต์ของนักต้มตุ๋นไปยังสถาบันให้ได้มากที่สุด (mozilla, google, ... ): พวกเขาสามารถเพิ่มคำเตือนในแอปพลิเคชันของพวกเขาเพื่อช่วยบรรเทาการหลอกลวง

ทำให้หน้าเว็บเฉพาะบนเว็บไซต์ของคุณบอกเล่าเรื่องราวนี้

  • 3 มีรายการโหมดตกใจเมื่อคุณสงสัยว่ามีการเข้าถึงเซิร์ฟเวอร์หรือข้อมูลโดยไม่ได้รับอนุญาตหรือไม่?

โปรดอ่านด้วยฉันจะจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างไร . มีคำแนะนำที่ดีมากมายในคำถามนี้แม้ว่าเซิร์ฟเวอร์ของคุณจะไม่ถูกบุกรุก

  • 4 คุณจะป้องกันเหตุการณ์ในอนาคตเช่นนี้ได้อย่างไร? ให้ความรู้แก่ลูกค้าของคุณในแบบที่คุณมักจะประพฤติตน (เช่น: "เราจะไม่ส่งเนื้อหาอีเมลโดยตรง แต่จะเชื่อมโยงคุณไปยังหน้าเว็บที่กำหนดเองบนเว็บไซต์ของเรา")

ฉันไม่คิดว่านี่เป็นปัญหาของระบบที่ถูกบุกรุกเว้นแต่ OP จะมั่นใจได้ว่ารายชื่ออีเมลของพวกเขาถูกโจมตี ฉันคิดว่านี่เป็นเพียงงานหลอกลวงแบบดั้งเดิมในการจับคนที่สะกดผิดที่อยู่เว็บไซต์
Rob Moir

1
เพิ่ม @EricDannielou หากคุณพบว่า ISP อยู่ในประเทศเดียวกับคุณให้ทนายของคุณเขียนจดหมายประเภท 'หยุดและหยุดยั้ง' ที่คุกคามการดำเนินคดีทางกฎหมาย 9 เท่าจาก 10 ที่ดูแลเรื่องนี้ที่แหล่ง ISP
Techie Joe

4

มันยากที่จะเอาเว็บไซต์ที่หลอกลวง / ฉ้อโกงมาลงซึ่งเป็นไปไม่ได้ แต่มักจะยากมาก มีบุคคลที่สามเช่นMarkMonitorที่สามารถช่วยเหลือเรื่องนี้ได้ แต่พวกเขามีราคาแพง เราพบว่ามันค่อนข้างมีประสิทธิภาพโดยเฉพาะอย่างยิ่งหากด้านการฉ้อโกงเป็นการฉ้อโกง / การแอบอ้างบุคคลอื่นอย่างชัดเจน


-1

นี่คือคำแนะนำบางส่วนจากด้านข้างของฉัน

  1. รายงานเหตุการณ์ไปยัง DMCA
  2. ติดต่อผู้ให้บริการเว็บโฮสติ้งและขอให้ลงเว็บไซต์
  3. ติดต่อ ICANN และขอให้ปิดการใช้งานชื่อโดเมน
  4. ดูเหมือนว่ามีคนจากภายในแบ่งปันรายชื่อผู้รับจดหมายของคุณกับคู่แข่งหรืออาจถูกแฮ็คเซิร์ฟเวอร์ ดูทั้งความเป็นไปได้
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.