Suspeita de vulnerabilidade de servidor ou de dados e relatar um site de fraude

13

Nosso negócio é o YouGotaGift.com, uma loja on-line de cartões-presente, há dois dias alguém criou um site chamado YoGotaGift.com (você está com saudade do u ) e enviou uma campanha por e-mail a muitas pessoas que há uma promoção no site , quando você acessa o site em que você (como profissional de TI) o identifica imediatamente como um site fraudulento, muitas pessoas não o fazem, de modo que realizam transações no site e não recebem nada pelo que pagaram.

Então, mudamos para o modo de pânico para tentar descobrir o que fazer, e o que eu fiz como CTO é:

  1. Relatei o site ao PayPal (o único método de pagamento disponível no site), mas aparentemente leva muito tempo e muitas transações em disputa para fechar um site.
  2. Relataram o site à empresa de registro de domínio, eles cooperaram, mas a interrupção do site precisa de uma ordem legal de um tribunal ou da ICANN.
  3. Relatou o site para a empresa de hospedagem, sem resposta ainda.
  4. Verificados os dados do WHOIS, é inválido que eles tenham copiado as informações da empresa e alterado dois dígitos no código postal e no número de telefone.
  5. Denunciei o site à polícia local em Dubai, mas também leva muito tempo e investigações para bloquear um site.
  6. Enviou um e-mail à nossa base de clientes informando-os e sempre verifique se eles estão em nosso site HTTPS e verifique o nome do domínio na compra.

Minha principal preocupação era que muitas pessoas que informaram que receberam o email (mais de 10) estão na nossa lista de emails, então eu tinha medo que alguém tivesse algumas informações fora do nosso servidor, então eu:

  1. Verificou o log de acesso ao sistema para garantir que ninguém acessasse nosso SSH.
  2. Verificou o log de acesso ao banco de dados para garantir que ninguém tentasse acessar o nosso banco de dados.
  3. Verificou o log do firewall para garantir que ninguém acessasse o servidor de qualquer maneira.

Depois disso, minha preocupação mudou para o software de correspondência que estamos usando para enviar nossas campanhas por e-mail, antes usamos o MailChimp e acho que eles não teriam acessado, mas agora estamos usando o Sendy e tive medo de que eles o acessassem. , Verifiquei o fórum do site e não consegui descobrir se alguém havia relatado uma vulnerabilidade usando o Sendy. Além disso, muitos e-mails registrados em nossa lista de e-mails informaram que não receberam o e-mail do site de fraude. Fiquei um pouco à vontade com isso. ninguém chegou aos nossos dados.

Então, minhas perguntas são :

  1. O que mais posso fazer para garantir que ninguém tenha acesso à nossa lista de emails ou dados?
  2. O que mais posso fazer para denunciar e talvez derrubar o site?
  3. Existe uma lista de modo de pânico quando você suspeita de acesso não autorizado ao seu servidor ou dados?
  4. Como você pode evitar futuros incidentes como esse?
security web phishing scam mpcabd
fonte
6
Aaaaarghhh som de fundo no site .... 1999 ligou e quer suas páginas de volta.
Dennis Kaarsemaker
2
Para o bem de seus clientes, você deve conscientizá-los por meio de sua própria campanha de e-mail e também colocar um status em seu site. Você deve deixar claro em seu e-mail que seu próprio site NÃO foi comprometido até que você possa encontrar mais evidências.
Fria T
@ColdT que também pode ser muito contraproducente: agora você está enviando spam a todos os seus clientes, incluindo aqueles que não receberam e-mails desses trapaceiros.
Dennis Kaarsemaker
feliz natal: Não se esqueça de pedir um bônus para você e para o colega de trabalho por implicação em tal # dia #
Disseram-me que uma informação incorreta sobre o whois poderia ser uma razão suficiente para uma remoção. Pode ser a maneira mais simples.
aif

Respostas:

12
  • Questão 2

Parece que os servidores de nome e o host real do YOGOTAHotéis.COM estão registrados na ENOM, Inc. O site está hospedado no EHOST-SERVICES212.COM. Tente enviar relatórios de spam e avisos de remoção de DMCA para o eNom e o host do servidor. A página de abuso do eNom é http://www.enom.com/help/abusepolicy.aspx

  • pergunta 4: Honeytokens

Propague sua lista de endereços e banco de dados com uma ou mais contas falsas que direcionam para endereços de email ou contas de pagamento que você controla.

Se você receber e-mails ou cobranças na conta falsa, poderá razoavelmente supor que a lista de correspondência ou o banco de dados foi comprometida.

Veja o artigo da Wikipedia sobre honeytokens .

rblake
fonte
1
+1 para honeytokens. Eles parecem ser um ótimo recurso desconhecido!
Já enviei uma denúncia de spam para a empresa de hospedagem (eNom), mas a resposta deles foi recebida hoje, eles não farão nada. +1 para honeytokens, mas eu já tenho 6 e-mails na lista de e-mails e nenhum recebeu a campanha por e-mail do fraudador, por isso fiquei aliviado que provavelmente eles não receberam a lista de e-mails.
mpcabd
7

Parece que você se saiu muito bem até agora.

Aqui estão mais algumas dicas:

  • 1 O que mais posso fazer para garantir que ninguém tenha acesso à nossa lista de emails ou dados?

Leia o log do aplicativo, se houver.

  • 2 O que mais posso fazer para denunciar e talvez derrubar o site?

Faça um whois no endereço IP e entre em contato com o ISP (de acordo com os comentários "peça ao seu advogado que elabore uma carta do tipo 'cessar e desistir' que ameace a ação legal"). Nesse caso, ENOM e DemandMedia.

whois 69.64.155.17

Relate o site do golpista para o maior número possível de instituições (mozilla, google, ...): Eles podem adicionar avisos em seus aplicativos para ajudar a atenuar o golpe.

Faça uma página da web dedicada em seu site contando essa história.

  • 3 Existe uma lista de modo de pânico quando você suspeita de acesso não autorizado ao seu servidor ou dados?

Leia também Como lidar com um servidor comprometido? . Existem muitos bons conselhos nessa questão, mesmo que seu servidor não tenha sido comprometido.

  • 4 Como você pode evitar futuros incidentes como esse? Eduque seu cliente da maneira que você costuma se comportar (por exemplo: "Nós nunca enviaremos conteúdo de email diretamente, mas um link para uma página personalizada em nosso site")
Comunidade
fonte
Eu não acho que esse seja um problema de sistema comprometido, a menos que o OP tenha certeza de que sua lista de emails está comprometida. Acho que esse é apenas o trabalho tradicional de embuste de capturar pessoas que escrevem incorretamente o endereço de um site.
precisa
1
Adicione ao @EricDannielou se você achar que o ISP está no mesmo país que você, peça ao seu advogado para elaborar uma carta do tipo 'cessar e desistir' que ameace a ação legal. 9 vezes em 10 que cuida do assunto na fonte do ISP.
Techie Joe
4

É difícil derrubar um site de falsificação / fraude, não impossível, mas geralmente muito difícil. Existem terceiros como o MarkMonitor que podem ajudar com isso, mas eles são caros. Nós os achamos bastante eficazes, especialmente se o lado da fraude é claramente uma fraude / representação.

Dennis Kaarsemaker
fonte
-1

Aqui estão algumas sugestões do meu lado

  1. Relate o incidente à DMCA.
  2. Entre em contato com o provedor de hospedagem e peça para derrubar o site.
  3. Entre em contato com a ICANN e peça para desativar o nome de domínio.
  4. Parece que alguém de dentro compartilhou sua lista de endereços com o concorrente ou pode ter sido hackeado no servidor. Veja as duas possibilidades.
RJ Rocker
fonte