Sospecha de vulnerabilidad de servidor o datos e informar un sitio de fraude


13

Nuestro negocio es YouGotaGift.com, una tienda en línea para tarjetas de regalo, hace dos días alguien creó un sitio web llamado YoGotaGift.com (le falta la u ), y envió una campaña por correo a muchas personas para indicar que hay una promoción en el sitio web. , cuando vaya al sitio web, usted (como personal de TI profesional) lo identificaría de inmediato como un sitio fraudulento, muchas personas no lo harán de todos modos, por lo que realizarán transacciones en ese sitio y no recibirán nada por lo que pagaron.

Así que cambiamos al modo de pánico para tratar de averiguar qué hacer, y lo que hice como CTO es:

  1. Informó el sitio web a PayPal (el único método de pago disponible en el sitio), pero aparentemente lleva mucho tiempo y muchas transacciones en disputa cerrar un sitio web.
  2. Reportaron el sitio web a la compañía de registro de dominio, cooperaron, pero para detener el sitio web se necesita una orden legal de un tribunal o de la ICANN.
  3. Informó el sitio web a la empresa de alojamiento, aún no hay respuesta.
  4. Verificaron los datos de WHOIS, no es válido, copiaron la información de nuestra empresa y cambiaron dos dígitos en el código postal y el número de teléfono.
  5. Informó el sitio web a la policía local en Dubai, pero también lleva mucho tiempo e investigaciones bloquear un sitio web.
  6. Enviamos un correo electrónico a nuestra base de clientes diciéndoles que estén atentos y siempre verifiquen que estén en nuestro sitio HTTPS y verifiquen el nombre de dominio cuando compren.

Mi principal preocupación era que muchas personas que informaron que recibieron el correo electrónico (más de 10) están en nuestra lista de correo, por lo que temía que alguien obtuviera información de nuestro servidor, así que yo:

  1. Revisó el registro de acceso al sistema para asegurarse de que nadie accediera a nuestro SSH.
  2. Revisó el registro de acceso a la base de datos para asegurarse de que nadie haya intentado acceder a nuestra base de datos.
  3. Revisó el registro del firewall para asegurarse de que nadie accediera al servidor de ninguna manera.

Después de eso, mi preocupación cambió al software de correo que estamos usando para enviar nuestras campañas de correo electrónico, usamos MailChimp antes y no creo que hubieran accedido a él, pero ahora estamos usando Sendy , y temía que accedieran a él. , Revisé el foro del sitio y no pude encontrar que alguien haya reportado una vulnerabilidad usando Sendy, y también muchos correos electrónicos registrados en nuestra lista de correo informaron que no recibieron el correo electrónico del sitio de fraude, así que me sentí un poco cómodo Ningún cuerpo llegó a nuestros datos.

Entonces mis preguntas son :

  1. ¿Qué más puedo hacer para asegurarme de que nadie se apodere de nuestra lista de correo o datos?
  2. ¿Qué más puedo hacer para informar y tal vez eliminar el sitio?
  3. ¿Existe una lista de modo de pánico cuando sospecha acceso no autorizado a su servidor o datos?
  4. ¿Cómo puede prevenir futuros incidentes como este?

66
Aaaaarghhh sonido de fondo en el sitio web ... 1999 llamó y quiere volver a sus páginas.
Dennis Kaarsemaker

2
Por el bien de sus clientes, debe informarles a través de su propia campaña de correo electrónico y también poner un estado en su sitio. Debe dejar en claro en su correo electrónico, su propio sitio NO se ha visto comprometido hasta que pueda encontrar más evidencia.
Cold T

@ColdT que también puede ser muy contraproducente: ahora está enviando spam a todos sus clientes, incluidos los que no recibieron correo de estos embaucadores.
Dennis Kaarsemaker

Feliz Navidad: No te olvides de pedir un bono para ti y tu compañero de trabajo por implicación en tal #day

Me dijeron que una información whois errónea podría ser una razón suficiente para un derribo. Podría ser la forma más sencilla.
aif

Respuestas:


12
  • Pregunta 2

Parece que los servidores de nombres y el host real de YOGOTAGIFT.COM están registrados a través de ENOM, Inc. El sitio está alojado en EHOST-SERVICES212.COM. Intente enviar informes de spam y avisos de eliminación de DMCA a eNom y al servidor host. La página de abuso de eNom es http://www.enom.com/help/abusepolicy.aspx

  • pregunta 4: Honeytokens

Siembra tu lista de correo y base de datos con una o más cuentas falsas que dirigen a direcciones de correo electrónico o cuentas de pago que controlas.

Si recibe correos electrónicos o cargos en la cuenta falsa, puede suponer razonablemente que la lista de correo o la base de datos se han visto comprometidas.

Vea el artículo de Wikipedia sobre honeytokens .


1
+1 para los honeytokens. ¡Parecen ser una gran característica desconocida!

Ya envié un informe de spam a la empresa de alojamiento (eNom) pero su respuesta, recibí la respuesta de ellos hoy, no harán nada. +1 para honeytokens pero ya tengo 6 correos electrónicos en la lista de correo y ninguno recibió la campaña de correo electrónico del estafador, por eso me sentí aliviado de que probablemente no obtuvieron la lista de correo.
mpcabd

7

Parece que lo hiciste muy bien hasta ahora.

Aquí hay algunos consejos más:

  • 1 ¿Qué más puedo hacer para asegurarme de que nadie se apodere de nuestra lista de correo o datos?

Lea el registro de la aplicación, si corresponde.

  • 2 ¿Qué más puedo hacer para informar y tal vez eliminar el sitio?

Haga un whois en su dirección IP y póngase en contacto con su ISP (de acuerdo con los comentarios "haga que su abogado redacte un tipo de carta de 'cese y desista' que amenace con acciones legales"). En este caso ENOM y DemandMedia.

whois 69.64.155.17

Informe el sitio del estafador a tantas instituciones como sea posible (mozilla, google, ...): pueden agregar advertencias en sus aplicaciones para ayudar a mitigar la estafa.

Haga una página web dedicada en su sitio que cuente sobre esta historia.

  • 3 ¿Existe una lista de modo de pánico cuando sospecha acceso no autorizado a su servidor o datos?

Asegúrese de leer también ¿Cómo trato con un servidor comprometido? . Hay muchos buenos consejos en esta pregunta, incluso si su servidor no se ha visto comprometido.

  • 4 ¿Cómo puede prevenir futuros incidentes como este? Eduque a su cliente sobre la forma en que se comporta habitualmente (por ejemplo: "Nunca le enviaremos contenido de correo directamente, sino más bien un enlace a una página personalizada en nuestro sitio web")

No creo que este sea un problema del sistema comprometido, a menos que el OP esté seguro de que su lista de correo está comprometida. Creo que este es solo el trabajo de estafa tradicional de atrapar a las personas que escriben mal la dirección de un sitio web.
Rob Moir

1
Agregue a @EricDannielou si encuentra que el ISP está en el mismo país que usted, haga que su abogado redacte una carta de tipo 'cese y desista' que amenace con una acción legal. 9 de cada 10 veces que se ocupa del asunto en la fuente del ISP.
Techie Joe

4

Es difícil eliminar un sitio fraudulento / fraudulento, no es imposible, pero generalmente es muy difícil. Hay terceros como MarkMonitor que pueden ayudar con esto, pero son caros. Sin embargo, los hemos encontrado bastante efectivos, especialmente si el lado del fraude es claramente fraude / suplantación.


-1

Aquí hay algunas sugerencias de mi parte

  1. Reporte el incidente a DMCA.
  2. Póngase en contacto con el proveedor de alojamiento web y solicite eliminar el sitio.
  3. Póngase en contacto con ICANN y pídales que desactiven el nombre de dominio.
  4. Parece que alguien desde adentro compartió su lista de correo con la competencia o puede ser un servidor pirateado. Ver las dos posibilidades.
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.