Предполагаемая уязвимость сервера или данных и сообщение о мошенничестве на сайте

Нашим бизнесом является YouGotaGift.com, интернет-магазин подарочных карт, два дня назад кто-то создал сайт под названием YoGotaGift.com (Вы скучаете по u), и отправил почтовую кампанию для многих людей о том, что на сайте есть рекламная акция. Когда вы заходите на веб-сайт, вы (как профессиональные ИТ-специалисты) сразу же идентифицируете его как мошеннический сайт, многие люди в любом случае этого не сделают, поэтому они совершают сделки на этом сайте и не получают ничего, за что заплатили.

Поэтому мы перешли в режим паники, чтобы попытаться выяснить, что делать, и что я сделал как технический директор:

  1. Об этом сообщает сайт PayPal (единственный способ оплаты, доступный на сайте), но, по-видимому, для закрытия сайта требуется много времени и много спорных транзакций.
  2. Об этом сообщили веб-сайту компании, занимающейся регистрацией доменов, и они сотрудничали, но для остановки веб-сайта требуется судебное решение от суда или ICANN.
  3. Об этом сообщает сайт хостинговой компании, пока нет ответа.
  4. Проверив данные WHOIS, они не верны, они скопировали информацию о нашей компании и изменили две цифры в почтовом индексе и номере телефона.
  5. Об этом сообщает местная полиция в Дубае, но для блокирования сайта также требуется много времени и расследований.
  6. Отправьте электронное письмо нашей клиентской базе, сообщив им, что они должны быть в курсе и всегда проверять, находятся ли они на нашем HTTPS-сайте, и проверять доменное имя при покупке.

Моя главная проблема заключалась в том, что многие люди, которые сообщили, что получили электронное письмо (более 10), находятся в нашем списке рассылки, поэтому я боялся, что кто-то получил некоторую информацию с нашего сервера, поэтому я:

  1. Проверил журнал доступа к системе, чтобы убедиться, что никто не получил доступ к нашему SSH.
  2. Проверил журнал доступа к базе данных, чтобы убедиться, что никто не пробовал и не обращался к нашей БД.
  3. Проверял журнал брандмауэра, чтобы убедиться, что никто не получил доступ к серверу.

После этого моя забота перешла на почтовое программное обеспечение, которое мы используем для отправки наших почтовых кампаний, раньше мы использовали MailChimp, и я не думаю, что они получили бы к нему доступ, но сейчас мы используем Sendy, и я боялся, что они получили к нему доступ. Я проверил форум сайта и не смог обнаружить, что кто-то сообщил об уязвимости с помощью Sendy, а также во многих электронных письмах, зарегистрированных в нашем списке рассылки, сообщалось, что они не получили письмо с сайта мошенников, поэтому мне стало немного комфортно, что никто не дошел до наших данных.

Итак, мои вопросы:

  1. Что еще я могу сделать, чтобы никто не заполучил наш список рассылки или данные?
  2. Что еще я могу сделать, чтобы сообщить и, возможно, закрыть сайт?
  3. Есть ли список режимов паники, когда вы подозреваете несанкционированный доступ к вашему серверу или данным?
  4. Как вы можете предотвратить подобные инциденты в будущем?
Источник

4 ответа

  • вопрос 2

Похоже, что серверы имен и фактический хост для YOGOTAGIFT.COM зарегистрированы через ENOM, Inc. Сайт размещен на EHOST-SERVICES212.COM. Попробуйте отправить отчеты о спаме и уведомления об удалении DMCA eNom и хосту сервера. Страница злоупотребления eNom: http://www.enom.com/help/abusepolicy.aspx

  • вопрос 4: медокены

Заполните свой список рассылки и базу данных одной или несколькими поддельными учетными записями, которые направляют на адреса электронной почты или платежные учетные записи, которые вы контролируете.

Если вы получаете электронную почту или списывает средства с поддельной учетной записи, вы можете разумно предположить, что список рассылки или база данных были взломаны.

Смотрите статью в Википедии о медокенах.

Источник

Кажется, ты действительно хорошо справился.

Вот еще несколько советов:

  • 1 Что еще я могу сделать, чтобы никто не заполучил наш список рассылки или данные?

Прочитайте журнал приложения, если есть.

  • 2 Что еще я могу сделать, чтобы сообщить и, возможно, закрыть сайт?

Сделайте whois на их IP-адресе и свяжитесь с их Интернет-провайдером (согласно комментариям "попросите вашего адвоката составить письмо типа" прекратить и воздержаться ", угрожающее судебному иску"). В этом случае ENOM и DemandMedia.

whois 69.64.155.17

Сообщите о сайте мошенников как можно большему числу учреждений (mozilla, google, ...): они могут добавлять предупреждения в свои приложения, чтобы помочь смягчить мошенничество.

Сделайте на своем сайте специальную веб-страницу, рассказывающую об этой истории.

  • 3 Есть ли список режимов паники, когда вы подозреваете несанкционированный доступ к вашему серверу или данным?

Обязательно прочтите также Как мне работать с взломанным сервером?, В этом вопросе есть много полезных советов, даже если ваш сервер действительно не был взломан.

  • 4 Как вы можете предотвратить подобные инциденты в будущем? Обучите своего клиента тому, как вы обычно ведете себя (например: "Мы никогда не будем отправлять почтовый контент напрямую, а будем ссылаться на вашу страницу на нашем веб-сайте")
Источник

Трудно получить сайт подделки / мошенничества, не невозможно, но обычно очень сложно. Есть третьи стороны, такие как MarkMonitor, которые могут помочь с этим, но они дороги. Мы нашли их довольно эффективными, особенно если сторона мошенничества явно мошенничает / выдает себя за другого.

Источник

Вот несколько предложений с моей стороны

  1. Сообщить об инциденте в DMCA.
  2. Свяжитесь с хостинг-провайдером и попросите закрыть сайт.
  3. Свяжитесь с ICANN и попросите их деактивировать доменное имя.
  4. Похоже, кто-то изнутри поделился вашим списком рассылки с конкурентом или, возможно, сервер был взломан. Смотрите обе возможности.
Источник
Другие вопросы по тегам