Vulnérabilité de serveur ou de données suspectée et signalement d'un site frauduleux

13

Notre entreprise est YouGotaGift.com, une boutique en ligne de cartes-cadeaux, il y a deux jours, quelqu'un a créé un site Web qui s'appelle YoGotaGift.com (il vous manque le u ), et a envoyé une campagne de publipostage à beaucoup de gens pour qu'il y ait une promotion sur le site Web , lorsque vous accédez au site Web, vous (en tant que professionnel de l'informatique) l'identifiez immédiatement comme un site d'arnaque, de nombreuses personnes ne le feront pas de toute façon, donc elles effectueraient des transactions sur ce site et ne recevraient rien pour lesquelles elles auraient payé.

Nous sommes donc passés en mode panique pour essayer de comprendre quoi faire, et ce que j'ai fait en tant que CTO est:

  1. Signalé le site Web à PayPal (le seul moyen de paiement disponible sur le site), mais apparemment, il faut beaucoup de temps et de nombreuses transactions contestées pour fermer un site Web.
  2. Signalé le site Web à la société d'enregistrement de domaine, ils ont coopéré, mais l'arrêt du site Web nécessite un ordre juridique d'un tribunal ou de l'ICANN.
  3. Signalé le site Web à la société d'hébergement, aucune réponse pour le moment.
  4. Vérifié les données WHOIS, il n'est pas valide, ils ont copié les informations de notre entreprise et changé deux chiffres dans le code postal et le numéro de téléphone.
  5. Signalé le site Web à la police locale de Dubaï, mais il faut également beaucoup de temps et d'enquêtes pour bloquer un site Web.
  6. Envoyé un e-mail à notre base de clients leur disant d'être au courant et de toujours vérifier qu'ils sont sur notre site HTTPS et de vérifier le nom de domaine lors de leur achat.

Ma principale préoccupation était que de nombreuses personnes ayant déclaré avoir reçu l'e-mail (plus de 10) figuraient sur notre liste de diffusion, alors j'avais peur que quelqu'un ait obtenu des informations de notre serveur, alors j'ai:

  1. Vérifiez le journal d'accès au système pour vous assurer que personne n'a accédé à notre SSH.
  2. Vérifiez le journal d'accès à la base de données pour vous assurer que personne n'a essayé et accédé à notre base de données.
  3. Vérifiez le journal du pare-feu pour vous assurer que personne n'a accédé au serveur de toute façon.

Après cela, mon inquiétude est passée au logiciel de messagerie que nous utilisons pour envoyer nos campagnes par courrier électronique, nous avons déjà utilisé MailChimp et je ne pense pas qu'ils y auraient accédé, mais maintenant nous utilisons Sendy , et j'avais peur qu'ils y accèdent , J'ai vérifié le forum du site et je n'ai pas trouvé que quelqu'un ait signalé une vulnérabilité en utilisant Sendy, et de nombreux e-mails enregistrés dans notre liste de diffusion ont signalé qu'ils n'avaient pas reçu l'e-mail du site de fraude, donc je suis un peu à l'aise que aucun organisme n'a obtenu nos données.

Mes questions sont donc :

  1. Que puis-je faire de plus pour m'assurer que personne ne met la main sur notre liste de diffusion ou nos données?
  2. Que puis-je faire de plus pour signaler et peut-être supprimer le site?
  3. Existe-t-il une liste de modes panique lorsque vous soupçonnez un accès non autorisé à votre serveur ou à vos données?
  4. Comment pouvez-vous éviter de futurs incidents comme celui-ci?
security web phishing scam mpcabd
la source
6
Son de fond Aaaaarghhh sur le site web .... 1999 a appelé et veut récupérer ses pages.
Dennis Kaarsemaker
2
Pour le bien de vos clients, vous devez les sensibiliser via votre propre campagne email et également mettre en place un statut sur votre site. Vous devez le préciser dans votre e-mail, votre propre site n'a pas été compromis jusqu'à ce que vous puissiez trouver d'autres preuves.
Cold T
@ColdT qui peut également être très contre-productif: vous spammez maintenant tous vos clients, y compris ceux qui n'ont pas reçu de courrier de ces filous.
Dennis Kaarsemaker
joyeux noël: N'oubliez pas de demander un bonus pour vous-même et votre collègue pour implication un tel jour
On m'a dit qu'une information whois erronée pourrait être une raison suffisante pour un retrait. Cela pourrait être le moyen le plus simple.
aif

Réponses:

12
  • question 2

Il semble que les serveurs de noms et l'hôte réel de YOGOTAGIFT.COM soient enregistrés via ENOM, Inc. Le site est hébergé sur EHOST-SERVICES212.COM. Essayez d'envoyer des rapports de spam et des avis de retrait DMCA à eNom et à l'hôte du serveur. La page d'abus eNom est http://www.enom.com/help/abusepolicy.aspx

  • question 4: Honeytokens

Créez votre liste de diffusion et votre base de données avec un ou plusieurs faux comptes qui dirigent vers les adresses e-mail ou les comptes de paiement que vous contrôlez.

Si vous recevez des e-mails ou des frais sur le faux compte, vous pouvez raisonnablement supposer que la liste de diffusion ou la base de données a été compromise.

Voir l'article Wikipedia sur les jetons de miel .

rblake
la source
1
+1 pour les jetons de miel. Ils semblent être une grande caractéristique inconnue!
J'ai déjà soumis un rapport de spam à la société d'hébergement (eNom) mais leur réponse, j'ai reçu leur réponse aujourd'hui, ils ne feront rien. +1 pour les honeytokens mais j'ai déjà 6 e-mails dans la liste de diffusion et aucun n'a reçu la campagne d'e-mail du fraudeur, c'est pourquoi j'ai été soulagé de constater qu'ils n'avaient probablement pas reçu la liste de diffusion.
mpcabd
7

Il semble que vous ayez vraiment bien réussi jusqu'à présent.

Voici quelques conseils supplémentaires:

  • 1 Que puis-je faire de plus pour m'assurer que personne ne met la main sur notre liste de diffusion ou nos données?

Lisez le journal d'application, le cas échéant.

  • 2 Que puis-je faire de plus pour signaler et peut-être supprimer le site?

Faites un whois sur leur adresse IP et contactez leur FAI (selon les commentaires "demandez à votre avocat de rédiger une lettre de type" cesser et s'abstenir "menaçant de poursuites"). Dans ce cas, ENOM et DemandMedia.

whois 69.64.155.17

Signalez le site de l'escroc au plus grand nombre possible d'institutions (Mozilla, Google, ...): ils peuvent ajouter des avertissements dans leurs applications pour aider à atténuer l'escroquerie.

Créez une page Web dédiée sur votre site racontant cette histoire.

  • 3 Existe-t-il une liste de modes panique lorsque vous suspectez un accès non autorisé à votre serveur ou à vos données?

N'oubliez pas de lire également Comment gérer un serveur compromis? . Il y a beaucoup de bons conseils dans cette question, même si votre serveur n'a pas été compromis.

  • 4 Comment pouvez-vous éviter de futurs incidents comme celui-ci? Éduquez votre client sur la façon dont vous vous comportez habituellement (par exemple: «Nous n'enverrons jamais directement le contenu du courrier mais plutôt un lien vers une page personnalisée sur notre site Web»)
Communauté
la source
Je ne pense pas que ce soit un problème de système compromis, sauf si l'OP est certain que leur liste de diffusion est compromise. Je pense que c'est juste le travail d'arnaque traditionnel consistant à attraper des personnes qui ont mal orthographié une adresse de site Web.
Rob Moir
1
Ajoutez à @EricDannielou si vous trouvez que le FAI est dans le même pays que vous, demandez à votre avocat de rédiger une lettre de type 'cesser et s'abstenir' menaçant de poursuites judiciaires. 9 fois sur 10 qui s'occupe du dossier à la source du FAI.
Techie Joe
4

Il est difficile d'obtenir un site de fraude / usurpation d'identité, pas impossible mais généralement très difficile. Il existe des tiers comme MarkMonitor qui peuvent vous aider, mais ils sont chers. Nous les avons cependant trouvés plutôt efficaces, surtout si la fraude est clairement une fraude / usurpation d'identité.

Dennis Kaarsemaker
la source
-1

Voici quelques suggestions de mon côté

  1. Signalez l'incident au DMCA.
  2. Contactez le fournisseur d'hébergement Web et demandez à retirer le site.
  3. Contactez l'ICANN et demandez-leur de désactiver le nom de domaine.
  4. Il semble que quelqu'un de l'intérieur a partagé votre liste de diffusion avec un concurrent ou que le serveur a été piraté. Voir les deux possibilités.
RJ Rocker
la source