Kerentanan server atau data yang dicurigai dan melaporkan situs penipuan

13

Bisnis kami adalah YouGotaGift.com, toko daring untuk kartu hadiah, dua hari yang lalu seseorang membuat situs web yang disebut YoGotaGift.com (Anda kehilangan u ), dan mengirim kampanye email ke banyak orang yang ada promosi di situs web , ketika Anda pergi ke situs web Anda (sebagai orang IT profesional) akan segera mengidentifikasinya sebagai situs scam, banyak orang tidak akan melakukannya, jadi mereka akan bertransaksi di situs itu, dan mereka tidak akan menerima apa pun yang mereka bayar.

Jadi kami beralih ke mode panik untuk mencoba dan mencari tahu apa yang harus dilakukan, dan apa yang saya lakukan sebagai CTO adalah:

  1. Melaporkan situs web ke PayPal (satu-satunya metode pembayaran yang tersedia di situs), tetapi tampaknya butuh waktu lama dan banyak transaksi yang disengketakan untuk menutup situs web.
  2. Melaporkan situs web ke perusahaan pendaftaran domain, mereka bekerja sama tetapi menghentikan situs web membutuhkan perintah hukum dari pengadilan atau ICANN.
  3. Melaporkan situs web tersebut ke perusahaan hosting, belum ada tanggapan.
  4. Memeriksa data WHOIS, tidak valid mereka menyalin informasi perusahaan kami dan mengubah dua digit dalam kode pos dan nomor telepon.
  5. Melaporkan situs web ke polisi setempat di Dubai tetapi juga membutuhkan banyak waktu dan penyelidikan untuk memblokir situs web.
  6. Mengirim email ke pangkalan pelanggan kami untuk memberi tahu mereka dan selalu memeriksa mereka ada di situs HTTPS kami dan memeriksa nama domain saat mereka membeli.

Kekhawatiran utama saya adalah bahwa banyak orang yang melaporkan mereka menerima email (lebih dari 10) ada di milis kami, jadi saya takut seseorang telah mendapatkan beberapa informasi dari server kami, jadi saya:

  1. Memeriksa log akses sistem untuk memastikan tidak ada yang mengakses SSH kami.
  2. Memeriksa log akses database untuk memastikan tidak ada yang mencoba dan mengakses DB kami.
  3. Memeriksa log firewall untuk memastikan tidak ada yang mengakses server.

Setelah itu kekhawatiran saya beralih ke perangkat lunak surat yang kami gunakan untuk mengirim kampanye email kami, kami menggunakan MailChimp sebelumnya dan saya tidak berpikir mereka akan mengaksesnya, tetapi sekarang kami menggunakan Sendy , dan saya takut mereka mengaksesnya , Saya memeriksa forum situs dan tidak dapat menemukan bahwa ada orang yang melaporkan kerentanan menggunakan Sendy, dan juga banyak email yang terdaftar di milis kami melaporkan mereka tidak mendapatkan email dari situs penipuan, jadi saya mendapat sedikit kenyamanan bahwa tidak ada yang bisa mengakses data kami.

Jadi pertanyaan saya adalah :

  1. Apa lagi yang bisa saya lakukan untuk memastikan bahwa tidak ada yang mendapatkan milis atau data kami?
  2. Apa lagi yang bisa saya lakukan untuk melaporkan dan mungkin menghapus situs?
  3. Apakah ada daftar mode panik ketika Anda mencurigai akses tidak sah ke server atau data Anda?
  4. Bagaimana Anda bisa mencegah insiden di masa depan seperti ini?
security web phishing scam mpcabd
sumber
6
Suara latar belakang Aaaaarghhh di situs web .... 1999 menelepon dan ingin halaman mereka kembali.
Dennis Kaarsemaker
2
Demi pelanggan Anda, Anda harus membuat mereka sadar melalui kampanye email Anda sendiri dan juga memasang status di situs Anda. Anda harus membuatnya jelas dalam email Anda, situs Anda sendiri TIDAK dikompromikan sampai Anda dapat menemukan bukti lebih lanjut.
Cold T
@ColdT yang juga bisa sangat kontraproduktif: Anda sekarang mengirim spam ke semua pelanggan Anda, termasuk yang tidak menerima email dari penipu ini.
Dennis Kaarsemaker
selamat xmas: Jangan lupa untuk meminta bonus untuk diri sendiri dan rekan kerja untuk implikasinya pada #day
Saya diberitahu bahwa informasi whois yang keliru bisa menjadi alasan yang cukup untuk pencopotan. Mungkin cara paling sederhana.
aif

Jawaban:

12
  • pertanyaan 2

Sepertinya server nama dan host aktual untuk YOGOTAGIFT.COM terdaftar melalui ENOM, Inc. Situs ini dihosting di EHOST-SERVICES212.COM. Coba kirim laporan spam dan pemberitahuan penghapusan DMCA ke eNom dan host server. Halaman penyalahgunaan eNom adalah http://www.enom.com/help/abusepolicy.aspx

  • pertanyaan 4: Honeytokens

Unggah milis dan basis data Anda dengan satu atau lebih akun palsu yang mengarahkan ke alamat email atau akun pembayaran yang Anda kontrol.

Jika Anda menerima email atau tagihan ke akun palsu, Anda dapat dengan wajar mengira milis atau basis data telah dikompromikan.

Lihat artikel Wikipedia tentang madu .

rblake
sumber
1
+1 untuk honeytokens. Mereka tampaknya menjadi fitur yang tidak diketahui hebat!
Saya sudah mengirimkan laporan spam ke perusahaan hosting (eNom) tetapi balasan mereka, saya mendapat balasan dari mereka hari ini, mereka tidak akan melakukan apa-apa. +1 untuk honeytokens tetapi saya sudah memiliki 6 email di milis dan tidak ada yang mendapatkan kampanye email dari penipu, itu sebabnya saya merasa lega bahwa mungkin mereka tidak mendapatkan daftar mailing.
mpcabd
7

Sepertinya Anda melakukannya dengan sangat baik sejauh ini.

Berikut beberapa petunjuk lainnya:

  • 1 Apa lagi yang bisa saya lakukan untuk memastikan tidak ada yang mendapatkan milis atau data kami?

Baca log aplikasi, jika ada.

  • 2 Apa lagi yang bisa saya lakukan untuk melaporkan dan mungkin mencatat situs?

Buat whois di alamat IP mereka dan hubungi ISP mereka (menurut komentar "suruh pengacara Anda untuk membuat jenis surat 'gencatan dan penghentian' yang mengancam tindakan hukum"). Dalam hal ini ENOM dan DemandMedia.

whois 69.64.155.17

Laporkan situs scammer ke sebanyak mungkin institusi (mozilla, google, ...): Mereka dapat menambahkan peringatan dalam aplikasi mereka untuk membantu mengurangi scam.

Buat halaman web khusus di situs Anda untuk menceritakan kisah ini.

  • 3 Apakah ada daftar mode panik ketika Anda mencurigai akses tidak sah ke server atau data Anda?

Pastikan juga membaca Bagaimana cara menangani server yang disusupi? . Ada banyak saran bagus dalam pertanyaan ini, bahkan jika server Anda memang belum dikompromikan.

  • 4 Bagaimana Anda dapat mencegah insiden di masa depan seperti ini? Mendidik pelanggan Anda tentang cara Anda biasanya berperilaku (misalnya: "Kami tidak akan pernah mengirim konten email secara langsung melainkan tautan Anda halaman kustom di situs web kami")
Komunitas
sumber
Saya tidak berpikir ini adalah masalah sistem yang dikompromikan, kecuali OP yakin bahwa milis mereka terganggu. Saya pikir ini hanya pekerjaan penipuan tradisional untuk menangkap orang yang salah mengeja alamat situs web.
Rob Moir
1
Tambahkan ke @EricDannielou jika Anda menemukan bahwa ISP berada di negara yang sama dengan Anda, mintalah pengacara Anda untuk membuat jenis surat 'berhenti dan berhenti' yang mengancam tindakan hukum. 9 kali dari 10 yang menangani masalah ini di sumber ISP.
Techie Joe
4

Sulit untuk mendapatkan situs spoof / penipuan diturunkan, bukan tidak mungkin tetapi biasanya sangat sulit. Ada pihak ketiga seperti MarkMonitor yang dapat membantu dengan ini, tetapi mereka mahal. Kami menemukan mereka agak efektif, terutama jika sisi penipuan jelas penipuan / peniruan.

Dennis Kaarsemaker
sumber
-1

Berikut beberapa saran dari pihak saya

  1. Laporkan insiden tersebut ke DMCA.
  2. Hubungi penyedia hosting web dan minta untuk menghapus situs tersebut.
  3. Hubungi ICANN dan minta mereka untuk menonaktifkan nama domain.
  4. Tampaknya seseorang dari dalam membagikan milis Anda dengan pesaing atau mungkin server diretas. Lihat kedua kemungkinannya.
RJ Rocker
sumber