Suspeita de vulnerabilidade de servidor ou dados e relatório de um site de fraude

13

Nosso negócio é YouGotaGift.com, uma loja online de cartões-presente, há dois dias alguém criou um site chamado YoGotaGift.com (você está sem o u ) e enviou uma campanha por e-mail para Muitas pessoas que há uma promoção no site, quando você vai para o site você (como profissionais de TI) imediatamente identificá-lo como um site de fraude, muitas pessoas não vão de qualquer maneira, então eles transacionariam naquele site, e eles não receberão nada pelo que pagaram.

Então mudamos para o modo de pânico para tentar descobrir o que fazer e o que fiz como CTO:

  1. Informou o site ao PayPal (o único método de pagamento disponível no site), mas aparentemente leva muito tempo e muitas transações contestadas para fechar um site.
  2. Informou o site para a empresa de registro de domínio, eles cooperaram, mas parar o site precisa de uma ordem legal de um tribunal ou da ICANN.
  3. Informou o site para a empresa de hospedagem, sem resposta ainda.
  4. Verificados os dados do WHOIS, é inválido que eles tenham copiado as informações da empresa e alterado dois dígitos no código postal e o número de telefone.
  5. Informou o site à polícia local em Dubai, mas também é preciso muito tempo e investigações para bloquear um site.
  6. Enviamos um e-mail para nossa base de clientes informando que eles estão atentos e sempre verificam se estão em nosso site HTTPS e verificam o nome do domínio quando estiverem comprando.

Minha principal preocupação era que muitas pessoas que informaram ter recebido o e-mail (mais de 10) estão na nossa lista de e-mails, então eu temia que alguém tivesse algumas informações do nosso servidor, então eu:

  1. Verifiquei o log de acesso do sistema para garantir que ninguém acessou nosso SSH.
  2. Verifiquei o log de acesso ao banco de dados para garantir que ninguém tentou e acessou nosso banco de dados.
  3. Verificou o log do firewall para garantir que ninguém acessasse o servidor de qualquer maneira.

Depois disso, minha preocupação mudou para o software de correspondência que estamos usando para enviar nossas campanhas por e-mail. Usamos o MailChimp antes e não acho eles teriam acessado, mas agora estamos usando Sendy , e eu temia que eles acessassem, eu verifiquei o fórum do site e não consegui encontrar que alguém relatou uma vulnerabilidade usando Sendy, e também muitos e-mails registrados em nossa lista de e-mails relataram que não receberam o e-mail do site de fraude, então fiquei um pouco à vontade que nenhum corpo chegou aos nossos dados.

Então, minhas perguntas são :

  1. O que mais posso fazer para garantir que ninguém tenha acesso à nossa lista de e-mails ou dados?
  2. O que mais posso fazer para denunciar e talvez derrubar o site?
  3. Existe uma lista de modos de pânico quando você suspeita de acesso não autorizado ao seu servidor ou dados?
  4. Como você pode evitar incidentes futuros como este?
por mpcabd 24.12.2013 / 13:48

4 respostas

12

  • pergunta 2

Parece que os servidores de nomes e o host real de YOGOTAGIFT.COM são registrados por meio da ENOM, Inc. O site está hospedado em EHOST-SERVICES212.COM. Tente enviar os relatórios de spam e os avisos de remoção do DMCA para o eNom e o host do servidor. A página de abuso do eNom é o link

  • pergunta 4: Honeytokens

Distribua sua lista de e-mails e banco de dados com uma ou mais contas falsas que direcionam para endereços de e-mail ou contas de pagamento que você controla.

Se você receber um e-mail ou cobranças na conta falsa, você pode razoavelmente supor que a lista de e-mails ou o banco de dados foi comprometido.

Veja o artigo da Wikipedia sobre honeytokens .

    
por 24.12.2013 / 16:32
7

Parece que você foi muito bem até agora.

Aqui estão mais algumas dicas:

  • 1 O que mais posso fazer para garantir que ninguém tenha acesso à nossa lista de e-mails ou dados?

Leia o log do aplicativo, se houver.

  • 2 O que mais posso fazer para denunciar e talvez derrubar o site?

Faça um whois em seu endereço IP e entre em contato com seu ISP (de acordo com os comentários "peça ao seu advogado para redigir um tipo de carta de 'cesse e desista' ameaçando ação legal"). Neste caso, ENOM e DemandMedia.

whois 69.64.155.17

Denuncie o site do scammer ao maior número de instituições possível (mozilla, google, ...): eles podem adicionar avisos em seus aplicativos para ajudar a atenuar o golpe.

Crie uma página da web dedicada em seu site contando sobre essa história.

  • 3 Existe uma lista de modos de pânico quando você suspeita de acesso não autorizado ao seu servidor ou dados?

Certifique-se também de ler Como faço para lidar com um servidor comprometido Existem lotes de bons conselhos nesta questão, mesmo que o seu servidor não tenha sido realmente comprometido.

  • 4 Como você pode evitar incidentes futuros como este? Eduque seu cliente sobre o modo como você costuma se comportar (por exemplo: "Nunca enviaremos conteúdo de e-mail diretamente, mas vincularemos uma página personalizada em nosso site")
por 24.12.2013 / 14:17
4

É difícil derrubar um site de falsificação / fraude, não impossível, mas geralmente muito difícil. Existem terceiros, como o MarkMonitor , que podem ajudar com isso, mas são caros. Descobrimos que eles são bastante eficazes, especialmente se o lado da fraude for claramente uma fraude / representação.

    
por 24.12.2013 / 14:29
-1

Aqui estão algumas sugestões do meu lado

  1. Denuncie o incidente ao DMCA.
  2. Entre em contato com o provedor de hospedagem na Web e peça para retirar o site.
  3. Entre em contato com a ICANN e solicite a desativação do nome de domínio.
  4. Parece que alguém de dentro compartilhou sua lista de discussão com o concorrente ou pode ter sido invadido pelo servidor. Veja as duas possibilidades.
por 29.08.2016 / 12:26