Sospetta vulnerabilità di server o dati e segnalazione di un sito fraudolento


13

La nostra attività è YouGotaGift.com, un negozio online di buoni regalo, due giorni fa qualcuno ha creato un sito web chiamato YoGotaGift.com (ti manca u ) e ha inviato una campagna di posta elettronica a molte persone che esiste una promozione sul sito Web , quando vai sul sito web tu (come personale IT professionale) lo identifichi immediatamente come sito di truffa, molte persone non lo faranno comunque, quindi effettuerebbero transazioni su quel sito e non riceveranno nulla per cui hanno pagato.

Quindi siamo passati alla modalità panico per cercare di capire cosa fare e ciò che ho fatto come CTO è:

  1. Segnalato il sito Web a PayPal (l'unico metodo di pagamento disponibile sul sito), ma a quanto pare occorrono molto tempo e molte transazioni controverse per chiudere un sito Web.
  2. Hanno segnalato il sito Web alla società di registrazione del dominio, hanno collaborato ma per interrompere il sito Web è necessario un ordine legale da un tribunale o dall'ICANN.
  3. Segnalato il sito Web alla società di hosting, nessuna risposta ancora.
  4. Controllati i dati WHOIS, non è valido hanno copiato le informazioni sulla nostra azienda e hanno cambiato due cifre nel codice postale e nel numero di telefono.
  5. Ha segnalato il sito Web alla polizia locale di Dubai, ma ci vuole anche molto tempo e indagini per bloccare un sito Web.
  6. Ho inviato un'e-mail alla nostra base di clienti dicendo loro di essere consapevoli e controllare sempre che siano sul nostro sito HTTPS e controllare il nome del dominio quando stanno acquistando.

La mia preoccupazione principale era che molte persone che hanno riferito di aver ricevuto l'e-mail (più di 10) sono nella nostra mailing list, quindi temevo che qualcuno avesse ottenuto alcune informazioni dal nostro server, quindi io:

  1. Controllato il registro di accesso al sistema per assicurarsi che nessuno abbia effettuato l'accesso al nostro SSH.
  2. Controllato il registro di accesso al database per accertarsi che nessuno abbia provato e acceduto al nostro DB.
  3. Controllato il registro del firewall per assicurarsi che nessuno accedesse comunque al server.

Dopo che la mia preoccupazione è passata al software di mailing che stiamo usando per inviare le nostre campagne e-mail, abbiamo già usato MailChimp e non credo che ci avrebbero avuto accesso, ma ora stiamo usando Sendy e temevo che ci accedessero , Ho controllato il forum del sito e non sono riuscito a scoprire che qualcuno ha segnalato una vulnerabilità utilizzando Sendy, e anche molte email registrate nella nostra mailing list hanno riferito di non aver ricevuto l'e-mail dal sito di frode, quindi mi sono sentito un po 'a mio agio che nessun organismo ha ottenuto i nostri dati.

Quindi le mie domande sono :

  1. Cosa posso fare di più per assicurarmi che nessuno si sia impossessato della nostra mailing list o dei nostri dati?
  2. Cosa posso fare di più per segnalare e forse smontare il sito?
  3. Esiste un elenco delle modalità di panico quando sospetti un accesso non autorizzato al tuo server o ai tuoi dati?
  4. Come puoi prevenire incidenti futuri come questo?

6
Aaaaarghhh suono di sottofondo sul sito web .... 1999 chiamato e rivive le loro pagine.
Dennis Kaarsemaker,

2
Per il bene dei tuoi clienti, dovresti renderli consapevoli tramite la tua campagna e-mail e anche inserire uno stato sul tuo sito. Dovresti chiarire nella tua e-mail, il tuo sito NON è stato compromesso fino a quando non puoi trovare ulteriori prove.
Cold T

@ColdT può anche essere molto controproducente: ora stai inviando spam a tutti i tuoi clienti, inclusi quelli che non hanno ricevuto posta da questi imbroglioni.
Dennis Kaarsemaker,

buon natale: non dimenticare di chiedere un bonus per te e il collega per le implicazioni su tale #giorno

Mi è stato detto che un'informazione whois errata potrebbe essere una ragione sufficiente per una rimozione. Potrebbe essere il modo più semplice.
aif il

Risposte:


12
  • Domanda 2

Sembra che i server dei nomi e l'host effettivo per YOGOTAGIFT.COM siano registrati tramite ENOM, Inc. Il sito è ospitato su EHOST-SERVICES212.COM. Prova a inviare sia notifiche spam che notifiche di rimozione DMCA a eNom e all'host del server. La pagina di abuso di eNom è http://www.enom.com/help/abusepolicy.aspx

  • domanda 4: Honeytokens

Semina la tua mailing list e il database con uno o più account falsi che indirizzano a indirizzi e-mail o account di pagamento che controlli.

Se ricevi e-mail o addebiti sull'account falso, puoi ragionevolmente supporre che la mailing list o il database siano stati compromessi.

Vedi l'articolo di Wikipedia sui favi .


1
+1 per i favi. Sembrano essere una grande caratteristica sconosciuta!

Ho già inviato una segnalazione di spam alla società di hosting (eNom) ma la loro risposta, ho ricevuto la risposta da loro oggi, non faranno nulla. +1 per i favi, ma ho già 6 e-mail nella mailing list e nessuno ha ricevuto la campagna e-mail dal truffatore, ecco perché sono stato sollevato dal fatto che probabilmente non hanno ricevuto la mailing list.
mpcabd,

7

Sembra che tu abbia fatto davvero bene finora.

Ecco alcuni altri suggerimenti:

  • 1 Cosa posso fare di più per assicurarmi che nessuno si sia impossessato della nostra mailing list o dei nostri dati?

Leggi il registro dell'applicazione, se presente.

  • 2 Cosa posso fare di più per segnalare e forse rimuovere il sito?

Fai un whois sul loro indirizzo IP e contatta il loro ISP (secondo i commenti "fai in modo che il tuo avvocato elabori un tipo di lettera" cessa e desista "che minacci un'azione legale"). In questo caso ENOM e DemandMedia.

whois 69.64.155.17

Segnala il sito del truffatore al maggior numero possibile di istituzioni (mozilla, google, ...): possono aggiungere avvisi nelle loro applicazioni per aiutare a mitigare la truffa.

Crea una pagina web dedicata sul tuo sito raccontando questa storia.

  • 3 Esiste un elenco delle modalità di panico quando si sospetta un accesso non autorizzato al server o ai dati?

Assicurati di leggere anche Come posso gestire un server compromesso? . Ci sono molti buoni consigli in questa domanda, anche se il tuo server non è stato effettivamente compromesso.

  • 4 Come puoi prevenire incidenti futuri come questo? Educare i tuoi clienti sul modo in cui ti comporti normalmente (ad esempio: "Non invieremo mai direttamente i contenuti della posta, ma piuttosto un collegamento a una pagina personalizzata sul nostro sito Web")

Non penso che questo sia un problema di sistema compromesso, a meno che l'OP non sia certo che la loro mailing list sia compromessa. Penso che questo sia solo il tradizionale lavoro di truffa di catturare persone che scrivono male un indirizzo del sito web.
Rob Moir,

1
Aggiungi a @EricDannielou se scopri che l'ISP si trova nello stesso paese in cui ti trovi, chiedi al tuo avvocato di redigere un tipo di lettera "cessare e desistere" che minacci un'azione legale. 9 volte su 10 che si occupano della questione alla fonte dell'ISP.
Techie Joe,

4

È difficile smantellare un sito di spoofing / frode, non impossibile ma di solito molto difficile. Ci sono terze parti come MarkMonitor che possono aiutare con questo, ma sono costose. Li abbiamo trovati piuttosto efficaci, soprattutto se il lato fraudolento è chiaramente una frode / imitazione.


-1

Ecco alcuni suggerimenti da parte mia

  1. Segnala l'incidente a DMCA.
  2. Contatta il provider di web hosting e chiedi di eliminare il sito.
  3. Contatta ICANN e chiedi loro di disattivare il nome di dominio.
  4. Sembra che qualcuno dall'interno abbia condiviso la tua mailing list con la concorrenza o che il server sia stato violato. Vedi entrambe le possibilità.
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.