Назад | Перейти на главную страницу

Предполагаемая уязвимость сервера или данных и сообщение о мошенническом сайте

Наш бизнес - YouGotaGift.com, интернет-магазин подарочных карт, два дня назад кто-то создал сайт под названием YoGotaGift.com (вам не хватает ты) и разослал многим людям почтовую кампанию о том, что на веб-сайте есть продвижение, когда вы заходите на веб-сайт, вы (как профессиональные ИТ-специалисты) сразу определяете его как мошеннический сайт, многие люди все равно этого не сделают, поэтому они совершили транзакцию на этом сайте и не получили ничего, за что заплатили.

Поэтому мы перешли в режим паники, чтобы попытаться понять, что нам делать, и что я сделал как технический директор:

  1. Сообщил о веб-сайте в PayPal (единственный метод оплаты, доступный на сайте), но очевидно, что для закрытия веб-сайта требуется много времени и много спорных транзакций.
  2. Сообщили о веб-сайте компании, занимающейся регистрацией доменов, они сотрудничали, но для остановки веб-сайта требуется судебное решение или ICANN.
  3. Сообщил о веб-сайте хостинговой компании, ответа пока нет.
  4. Проверили данные WHOIS, они недействительны, они скопировали информацию о нашей компании и поменяли две цифры в почтовом индексе и номере телефона.
  5. Сообщил о веб-сайте местной полиции в Дубае, но также требуется много времени и расследований, чтобы заблокировать веб-сайт.
  6. Отправили электронное письмо нашей клиентской базе с просьбой быть в курсе и всегда проверять, что они находятся на нашем HTTPS-сайте, и проверять доменное имя при покупке.

Меня больше всего беспокоило то, что многие люди, которые сообщили, что получили электронное письмо (более 10), находятся в нашем списке рассылки, поэтому я боялся, что кто-то получил некоторую информацию с нашего сервера, поэтому я:

  1. Проверил журнал доступа к системе, чтобы убедиться, что никто не имеет доступа к нашему SSH.
  2. Проверил журнал доступа к базе данных, чтобы убедиться, что никто не пытался получить доступ к нашей БД.
  3. Проверил журнал брандмауэра, чтобы убедиться, что никто все равно не обращался к серверу.

После этого я обратился к почтовому программному обеспечению, которое мы используем для рассылки наших почтовых кампаний, мы использовали MailChimp раньше, и я не думаю, что они получили бы к нему доступ, но теперь мы используем Сэнди, и я боялся, что они получили к нему доступ, я проверил форум сайта и не обнаружил, что кто-то сообщил об уязвимости с помощью Sendy, а также многие электронные письма, зарегистрированные в нашем списке рассылки, сообщали, что они не получали письмо с сайта мошенничества, так что я немного успокоился, что никто не получил доступ к нашим данным.

Итак, мои вопросы:

  1. Что еще я могу сделать, чтобы никто не получил доступ к нашему списку рассылки или данным?
  2. Что еще я могу сделать, чтобы сообщить и, возможно, удалить сайт?
  3. Есть ли список режима паники, когда вы подозреваете несанкционированный доступ к вашему серверу или данным?
  4. Как можно предотвратить подобные инциденты в будущем?
  • вопрос 2

Похоже, что серверы имен и фактический хост для YOGOTAGIFT.COM зарегистрированы через ENOM, Inc. Сайт размещен на EHOST-SERVICES212.COM. Попробуйте отправить как отчеты о спаме, так и уведомления об удалении в соответствии с Законом США "Об авторском праве в цифровую эпоху" в eNom и на хост-сервер. Страница злоупотреблений eNom http://www.enom.com/help/abusepolicy.aspx

  • вопрос 4: Жетоны меда

Заполните свой список рассылки и базу данных одной или несколькими поддельными учетными записями, которые ведут на адреса электронной почты или платежные счета, которые вы контролируете.

Если вы получаете электронную почту или платежи с фальшивой учетной записи, вы можете разумно предположить, что список рассылки или база данных были скомпрометированы.

См. Статью в Википедии о медовые жетоны.

Кажется, у тебя все хорошо до сих пор.

Вот еще несколько советов:

  • 1 Что еще я могу сделать, чтобы никто не получил доступ к нашему списку рассылки или данным?

Прочтите журнал приложения, если он есть.

  • 2 Что еще я могу сделать, чтобы сообщить о сайте и, возможно, удалить его?

Сделайте whois по их IP-адресу и свяжитесь с их интернет-провайдером (согласно комментариям, «попросите своего юриста составить письмо типа« прекратить и воздерживаться »с угрозой судебного иска»). В данном случае ENOM и DemandMedia.

whois 69.64.155.17

Сообщите о сайте мошенника как можно большему количеству организаций (mozilla, google, ...): они могут добавлять предупреждения в свои приложения, чтобы помочь уменьшить мошенничество.

Сделайте на своем сайте специальную веб-страницу, рассказывающую об этой истории.

  • 3 Есть ли список режима паники, когда вы подозреваете несанкционированный доступ к вашему серверу или данным?

Обязательно прочтите Как мне поступить с взломанным сервером? . Есть лоты хороших советов в этом вопросе, даже если ваш сервер действительно не был взломан.

  • 4 Как можно предотвратить подобные инциденты в будущем? Обучите своего клиента тому, как вы обычно себя ведете (например: «Мы никогда не будем отправлять сообщения электронной почты напрямую, а будем ссылаться на пользовательскую страницу нашего веб-сайта»)

Трудно отключить сайт обмана / мошенничества, возможно, но обычно очень сложно. Есть третьи стороны вроде MarkMonitor кто может с этим помочь, но они дорогие. Тем не менее, мы сочли их довольно эффективными, особенно если сторона мошенничества явно связана с мошенничеством / выдачей себя за другое лицо.

Вот несколько предложений с моей стороны

  1. Сообщите об инциденте в DMCA.
  2. Свяжитесь с провайдером веб-хостинга и попросите удалить сайт.
  3. Свяжитесь с ICANN и попросите деактивировать доменное имя.
  4. Похоже, кто-то изнутри поделился вашим списком рассылки с конкурентом, или сервер может быть взломан. Смотрите обе возможности.