两天前,有人创建了一个网站,该网站的域名与我工作的公司完全相同,但缺少一个字母,并向许多人发送了一封邮件,称网站上有促销活动,当您访问该网站时,您(作为专业 IT 人员)会立即识别出它是一个诈骗网站,但很多人无论如何都不会意识到,因此他们会在该网站上进行交易,但他们不会收到他们付费购买的任何东西。
因此,我们进入了恐慌模式,试图找出该怎么做,作为 DevOps,我所做的是:
- 向 PayPal(该网站唯一可用的付款方式)报告了该网站,但显然关闭一个网站需要很长时间,而且会涉及很多有争议的交易。
- 向域名注册公司举报了该网站,他们予以配合,但要停止该网站需要法院或 ICANN 的法律命令。
- 已将该网站报告给托管公司,但尚未得到回复。
- 检查了 WHOIS 数据,它是无效的,他们复制了我们的公司信息并更改了邮政编码和电话号码中的两位数字。
- 向迪拜当地警方举报了该网站,但封锁一个网站也需要大量时间和调查。
- 向我们的客户群发送了一封电子邮件,告诉他们注意并始终检查他们是否在我们的 HTTPS 网站上,并在购买时检查域名。
我主要担心的是,许多报告收到电子邮件的人(超过 10 人)都在我们的邮件列表中,所以我担心有人从我们的服务器中获取了一些信息,因此我:
- 检查系统访问日志以确保没有人访问我们的 SSH。
- 检查数据库访问日志以确保没有人尝试访问我们的数据库。
- 检查防火墙日志以确保没有人以任何方式访问服务器。
之后,我的担忧转向了我们用来发送电子邮件活动的邮件软件,我们使用MailChimp以前我认为他们不会访问它,但现在我们正在使用森迪,我担心他们会访问它,我检查了网站论坛,没有发现任何人报告过使用 Sendy 的漏洞,而且我们邮件列表中注册的许多电子邮件都报告说他们没有收到来自欺诈网站的电子邮件,所以我有点放心,没有人访问我们的数据。
我的问题是:
- 我还能做些什么来确保没有人掌握我们的邮件列表或数据?
- 我还能做什么来举报甚至关闭该网站?
- 当您怀疑有人未经授权访问您的服务器或数据时,是否有一个恐慌模式列表?
- 如何防止将来再发生类似事件?
答案1
- 问题2
看起来该域名的名称服务器和实际主机是通过 ENOM, Inc 注册的。该网站托管在 EHOST-SERVICES212.COM。尝试向 eNom 和服务器主机发送垃圾邮件报告和 DMCA 删除通知。eNom 滥用页面是http://www.enom.com/help/abusepolicy.aspx
- 问题4:蜜标
在您的邮件列表和数据库中植入一个或多个虚假账户,这些账户指向您控制的电子邮件地址或支付账户。
如果您收到发送到虚假账户的电子邮件或费用,则您可以合理地认为邮件列表或数据库已被泄露。
请参阅维基百科文章蜜标。
答案2
看来到目前为止你做得很好。
这里还有一些提示:
- 1 我还能做些什么来确保没有人掌握我们的邮件列表或数据?
读取应用程序日志(如果有)。
- 2 我还能做什么来举报甚至关闭该网站?
在他们的 IP 地址上进行 whois 查询并联系他们的 ISP(根据评论“让你的律师起草一份‘停止并终止’类型的威胁采取法律行动的信件”)。在本例中是 ENOM 和 DemandMedia。
whois 69.64.155.17向尽可能多的机构(mozilla、google 等)举报诈骗者的网站:他们可以在其应用程序中添加警告,以帮助减轻诈骗。
在您的网站上创建一个专门的网页来讲述这个故事。
- 3 当您怀疑有人未经授权访问您的服务器或数据时,是否有恐慌模式列表?
请务必阅读我该如何处理受到感染的服务器?。 有很多即使您的服务器确实没有受到损害,您也还是可以在这个问题上得到很好的建议。
- 4 如何防止将来再发生类似事件?向客户说明您的行为方式(例如:“我们永远不会直接发送邮件内容,而是通过链接向您发送我们网站上的自定义页面)”
答案3
很难关闭一个欺骗/欺诈网站,并非不可能,但通常非常困难。有第三方,如马克莫尼特谁能帮忙,但费用昂贵。不过我们发现它们相当有效,特别是当欺诈方明显是欺诈/冒充时。
答案4
以下是我的一些建议
- 向 DMCA 报告此事件。
- 联系网络托管服务提供商并要求关闭该网站。
- 联系 ICANN 并要求他们停用该域名。
- 看起来有人从内部与竞争对手共享了您的邮件列表,或者服务器可能遭到了黑客攻击。请查看这两种可能性。