web-dev-qa-db-ja.com

サーバーまたはデータの脆弱性が疑われ、詐欺サイトを報告している

私たちのビジネスは、ギフトカードのオンラインストアであるYouGotaGift.comです。2日前に誰かがYoGotaGift.comというWebサイトを作成し(uがありません)、メールを送信しました。ウェブサイトにプロモーションがあることを多くの人にキャンペーンします。ウェブサイトにアクセスすると、(プロのIT担当者として)すぐに詐欺サイトとして識別されますが、とにかく多くの人はそのサイトで取引します、そして彼らは彼らが支払ったものを何も受け取らないでしょう。

そこで、パニックモードに切り替えて、何をすべきかを考えました。CTOとして私がしたことは次のとおりです。

  1. ウェブサイトをPaypal(サイトで利用可能な唯一の支払い方法)に報告しましたが、明らかに長い時間がかかり、ウェブサイトを閉じるために多くの論争のある取引があります。
  2. Webサイトをドメイン登録会社に報告し、協力しましたが、Webサイトを停止するには、裁判所またはICANNからの法的命令が必要です。
  3. ウェブサイトをホスティング会社に報告しましたが、まだ応答がありません。
  4. WHOISデータを確認したところ、会社情報をコピーして郵便番号と電話番号の2桁を変更したのは無効です。
  5. ドバイの地元警察にウェブサイトを報告しましたが、ウェブサイトをブロックするのにも多くの時間と調査が必要です。
  6. 顧客ベースに電子メールを送信して、HTTPSサイトにアクセスしていることを常に確認し、購入時にドメイン名を確認するように伝えました。

私の主な懸念は、彼らが電子メールを受け取ったと報告した多くの人々(10人以上)が私たちのメーリングリストに載っていることでした。

  1. システムアクセスログをチェックして、SSHに誰もアクセスしていないことを確認しました。
  2. データベースアクセスログをチェックして、誰もDBにアクセスしようとしていないことを確認しました。
  3. ファイアウォールログをチェックして、サーバーに誰もアクセスしていないことを確認しました。

その後、私の懸念は、メールキャンペーンの送信に使用しているメーリングソフトウェアに切り替わりました。以前は MailChimp を使用していたので、アクセスできなかったと思いますが、現在は-を使用しています。 Sendy 、彼らがアクセスするのではないかと心配しました。サイトフォーラムを確認したところ、Sendyを使用して脆弱性を報告している人は見つかりませんでした。また、メーリングリストに登録されている多くのメールで、詐欺サイトからのメールなので、データに誰もアクセスできなかったので少し安心しました。

だから私の質問は

  1. 誰も私たちのメーリングリストやデータを手に入れないようにするために、これ以上何ができますか?
  2. 報告してサイトを削除するには、これ以上何ができますか?
  3. サーバーまたはデータへの不正アクセスが疑われる場合のパニックモードリストはありますか?
  4. このような将来の事件をどのように防ぐことができますか?
13
mpcabd
  • 質問2

YOGOTAGIFT.COMのネームサーバーと実際のホストはENOM、Incを通じて登録されているようです。このサイトはEHOST-SERVICES212.COMでホストされています。スパムレポートとDMCA削除通知の両方をeNomとサーバーホストに送信してみてください。 eNomの不正使用ページは http://www.enom.com/help/abusepolicy.aspx

  • 質問4:ハニートークン

メーリングリストとデータベースに、管理しているメールアドレスまたは支払いアカウントに直接アクセスする1つ以上の偽のアカウントをシードします。

偽のアカウントに電子メールまたは請求を受け取った場合は、メーリングリストまたはデータベースが侵害されたと合理的に推測できます。

honeytokensに関するウィキペディアの記事を参照してください。

12
rblake

これまでのところ、本当にうまくいったようです。

ここにいくつかのヒントがあります:

  • 1誰も私たちのメーリングリストやデータを手に入れないようにするために、これ以上何ができますか?

もしあれば、アプリケーションログを読んでください。

  • 2報告し、サイトを削除するには、これ以上何ができますか?

IPアドレスにwhoisを作成し、ISPに連絡します(コメントによると、「弁護士に「排除措置」タイプの法的措置を脅かす手紙を作成してもらいます」)。この場合、ENOMとDemandMediaです。

whois 69.64.155.17

詐欺師のサイトをできるだけ多くの機関(mozilla、google、...)に報告してください。詐欺を軽減するために、アプリケーションに警告を追加できます。

このストーリーについて説明する専用のWebページをサイトに作成します。

  • 3サーバーまたはデータへの不正アクセスが疑われる場合のパニックモードリストはありますか?

必ず読んでください 侵害されたサーバーに対処するにはどうすればよいですか? 。サーバーが実際に危険にさらされていなくても、この質問にはたくさんの良いアドバイスがあります。

  • 4どうすればこのような将来の事件を防ぐことができますか?通常の行動方法で顧客を教育します(例:「メールコンテンツを直接送信することはありませんが、Webサイトのカスタムページにリンクします」)。
7
user130370

なりすまし/詐欺サイトを削除するのは困難です。不可能ではありませんが、通常は非常に困難です。 MarkMonitor のようなサードパーティがありますが、これらは高価です。ただし、特に詐欺側が明らかに詐欺/なりすましである場合は、かなり効果的であることがわかりました。

4