我有一個(gè)極其罕見的 Twitter 帳號(hào) @N,曾經(jīng)有人出價(jià) $50000 買它。經(jīng)常有人嘗試偷它。我的郵箱經(jīng)常有密碼重置信。現(xiàn)在,我已經(jīng)不再擁有 @N,因?yàn)楸磺迷p不得已放棄。
2014 年 1 月 20 號(hào)我在吃中飯的時(shí)候,我收到來(lái)自 Paypal 的驗(yàn)證碼消息。有人嘗試偷我的 Paypal 帳號(hào)。我忽略了它繼續(xù)吃飯。
當(dāng)天晚些時(shí)候,我查了一下自己 Google Apps 的郵箱, 這個(gè)郵箱用了我通過 GoDaddy 注冊(cè)的域名。
我發(fā)現(xiàn)來(lái)自 GoDaddy 的最后一封郵件:“賬戶設(shè)置變更確認(rèn)”。你懂得,這為什么是最后一個(gè)。
From: support@godaddy.com GoDaddy
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 12:50:02 -0800
Subject: 賬戶設(shè)置變更確認(rèn)
Dear naoki hiroshima,
收到這封郵件是因?yàn)槟男畔⒈幌旅娴馁~戶修改:
XXXXXXXX修改有一定的有效時(shí)間
如果不是您自己修改,請(qǐng)到賬戶修改安全設(shè)置。
如果無(wú)法訪問帳號(hào)或者該賬戶下的域名發(fā)生了未授權(quán)的變更,請(qǐng)聯(lián)系 support@godaddy.com or (480) 505-8877.
Please note that Accounts are subject to our Universal Terms of Service.
Sincerely,
GoDaddy
我嘗試登錄我的 GoDaday 帳號(hào),但沒用。我打電話給 GoDaddy 并解釋了問題。客服問了我信用卡后六位做為驗(yàn)證方式。因?yàn)樾庞每ㄐ畔⒁呀?jīng)被攻擊者修改所以這個(gè)方法行不通。事實(shí)上,我的所有信息都被修改了。我沒有辦法來(lái)證明我是域名的所有者。
GoDaddy 的客服建議我使用公民身份信息在 Godaday 官網(wǎng)來(lái)填一個(gè)申請(qǐng)報(bào)告。我這么做了,然后告訴我需要 48 小時(shí)。我期待這個(gè)可以證明我的身份和賬戶所有權(quán)。
敲詐繼續(xù)
大多的網(wǎng)站使用郵箱做為驗(yàn)證方式。如果你的郵箱被攻擊了,攻擊者會(huì)很容易重置你的密碼。控制我的域名后,攻擊者試圖控制我的郵件。
基于之前的攻擊,我很快意識(shí)到,我那令人垂涎的 Twitter 帳號(hào)才是目標(biāo)。很奇怪的是,在 Facebook 有陌生人發(fā)了消息給我鼓勵(lì)我修改我的 Twitter 郵件地址。我認(rèn)為這是從攻擊者發(fā)送的,但我還是改了它。Twitter 帳號(hào)的郵件地址現(xiàn)在攻擊者已經(jīng)訪問不了了。
由于花時(shí)間變更了可以控制我域名服務(wù)器的 MX 記錄,攻擊者嘗試重置了幾次我的 Twitter 密碼發(fā)現(xiàn)他不能收到任何重置郵件。攻擊者在 Twitter 的客服系統(tǒng)上開了個(gè)工單 #16134409。
N,1 月 20 號(hào) 下午 1:43:
Twitter 賬戶:@n
郵箱:****@****.***
最后登錄:十二月
手機(jī)號(hào): n/a
其它信息:我收不到我的密碼重置郵件,你可以手動(dòng)發(fā)一個(gè)給我么?
Twitter 要求攻擊者提供更多信息,攻擊者放棄了這個(gè)方式。
然后我才知道為了和我討價(jià)還價(jià),攻擊者已經(jīng)破壞了我的 Facebook 帳號(hào)。我才意識(shí)到當(dāng)一個(gè)朋友開始在 Facebook 上問的很奇怪意味著什么。
我最后收到了來(lái)自于攻擊者的郵件。攻擊者要敲詐我:
From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 15:55:43 -0800
Subject: Hello.
我看到了你和我的同伴談話,我只想告訴你,你是正確的,@N 才是目標(biāo)。現(xiàn)在已經(jīng)是未激活狀態(tài)了,我通知你我已經(jīng)掌握了你的 Godday 域名,只需一個(gè)假冒的支付就可以讓 Godaddy 交換所有權(quán)并且不會(huì)被看到 D:我看到你訪問過不少網(wǎng)站,我還留著這些帳號(hào),所有這些網(wǎng)站的數(shù)據(jù)都還算保持完整。你是否要妥協(xié)?讓我訪問 @N 5 分鐘直到我交換你的 Godaddy 控制權(quán),并且可以幫你保護(hù)你的信息?
很短時(shí)間,我收到了 GoDaddy 的回復(fù)。
From: change@godaddy.com
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 17:49:41 -0800
Subject: Update [Incident ID: 21773161]?—?XXXXX.XXX
不幸的是,域名服務(wù)部門不能幫助你來(lái)修改,因?yàn)槟悴皇怯蛎?dāng)前的所有者。由于注冊(cè)商原因,我們必須在注冊(cè)所有人的同意后做出修改。你可以嘗試通過下面的選項(xiàng)來(lái)幫助你繼續(xù):
- Visit http://who.godaddy.com/ to locate the Whois record for the domain name and resolve the issue with the registrant directly.
- Go to http://www.icann.org/dndr/udrp/approved-providers.htm to find an ICANN approved arbitration provider.
- Provide the following link to your legal counsel for information on submitting legal documents to GoDaddy: http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA GoDaddy now considers this matter closed.
因?yàn)槲也皇恰府?dāng)前所有者」,我的申請(qǐng)被拒絕了,GoDaddy 問了攻擊者是否同意要做出改變,在他們攻擊的時(shí)候它們當(dāng)然不同意。GoDaday 把我激怒了,它把麻煩都給了我這個(gè)真正的所有者。
我的一個(gè)同事可以聯(lián)系到 GoDaddy 的執(zhí)行官,執(zhí)行官嘗試讓安全團(tuán)隊(duì)來(lái)幫助解決,但沒有下文了。也許是因?yàn)椤格R丁路德金日」。
然后我收到了攻擊者的郵件。
From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 18:50:16 -0800
Subject: …h(huán)ello
你準(zhǔn)備好交換了么?GoDadday 帳號(hào)準(zhǔn)備好了,密碼修改好了并且我放到了電子郵件。
我問了我一個(gè) Twitter 的朋友如果攻擊者拿到我的 Twitter 帳號(hào)會(huì)發(fā)生什么。我記得 @mat 出了什么事兒 中的結(jié)論是放棄賬戶是避免逆天災(zāi)難的唯一辦法。所以我告訴攻擊者:
From: <*****@*****.***> Naoki Hiroshima
To: swiped@live.com SOCIAL MEDIA KING
Date: Mon, 20 Jan 2014 19:41:17 -0800
Subject: Re: …h(huán)ello
@N 我不要了,拿走它吧。
我從 2007 年至今第一次修改了我的用戶名 @N 為 @N_is_stolen。至此告別了我的問題帳號(hào)。
我收到下面的回復(fù)。
From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:44:02 -0800
Subject: RE: …h(huán)ello
非常感謝,你的 godaddy 密碼是:V;Mz,3{;!’g&
如果你喜歡我可以告訴你我是如何入侵你的 godaddy 賬戶的,并且可以告訴你怎么保護(hù)好它。
攻擊者很快掌握了用戶名,我的 GoDaddy 賬戶也失而復(fù)得了。
PayPal 和 GoDaday 方便了攻擊者
我問攻擊者如何被攻擊的,然后收到了下面的回復(fù):
From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:53:52 -0800
Subject: RE: …h(huán)ello
我打電話給 paypal 并且用了非常簡(jiǎn)單的工程學(xué)策略來(lái)獲得你信用卡的后四位(防止的方案是打電話給 paypal 要求客服為你的賬戶添加一個(gè)不通過電話獲得資料的備注)
我打電話給 godaddy 告訴他們我的信用卡丟失了并且我只記得后四位,客服讓我嘗試號(hào)碼(就是 00-99)我沒有發(fā)現(xiàn)可以提高 godaday 帳號(hào)安全性的方式,然而如果你讓我推薦注冊(cè)商的話建議是:NameCheap 或者 eNom(不要用 networks solutions 用 enom.com)
很難說(shuō)有多震撼,事實(shí)是 Paypal 通過在電話里給了攻擊者我的信用卡后四位號(hào)碼,而 GoDaddy 支持用它來(lái)做驗(yàn)證。當(dāng)我準(zhǔn)備再問點(diǎn)什么的時(shí)候,攻擊者回了我一個(gè)郵件:
From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:00:31 -0800
Subject: RE: …h(huán)ello
paypal 通過電話告訴我(我扮演一個(gè)員工)的信息,然后 godaday 讓我「猜」信用卡的前兩位。
猜 2 位不那么容易是吧?
From: swiped@live.com SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:09:21 -0800
Subject: RE: …h(huán)ello
我第一個(gè)電話就知道了,很多客服會(huì)讓你試到成功為止。
他很幸運(yùn)他只需要通過電話猜兩個(gè)號(hào)碼。問題是,GoDaday 允許他猜中為止。
避免使用自定義域名做為登錄郵件地址
當(dāng)我的 GoDaday 賬戶恢復(fù)后,我重獲訪問我郵件的權(quán)限,我修改了很多網(wǎng)站的郵件地址為 @gmail.com 的地址。使用自定義域名的 Google Apps 會(huì)很好玩,但是會(huì)存在被攻擊的可能性。如果我的 Facebook 用了 @gmail.com 郵箱地址,攻擊者不可能獲得我的 Facebook 訪問權(quán)。
如果你在使用自定義域名來(lái)登錄不同的網(wǎng)站,我強(qiáng)烈建議你不要用,只使用 @gmail.com 做為登錄地址。你可以用自定義域名來(lái)收發(fā)郵件,我依然這么做的。
然后,我強(qiáng)烈建議你修改 MX 記錄的 TTL(過期時(shí)間)為一個(gè)小時(shí),可以在被攻擊丟失 DNS 控制權(quán)時(shí)有充足的時(shí)間來(lái)收郵件。如果 TTL 時(shí)間長(zhǎng)點(diǎn)我就能有恢復(fù)我賬戶的機(jī)會(huì)。
必須用兩步驗(yàn)證。這可以避免攻擊者登錄我的 PayPal 賬戶。雖然這些情況下兩步驗(yàn)證都沒用。
總結(jié)
愚蠢的公司會(huì)把你的個(gè)人信息給別人(比如信用卡號(hào))。有些公司仍在使用驗(yàn)證信用卡最后幾位號(hào)碼的方式這種難以接受的做法。
為了避免他們破壞你的數(shù)字生活,不要讓 PalPal 和 GoDaddy 存儲(chǔ)你的行用卡信息。我已經(jīng)刪掉了。我也會(huì)盡快離開 GoDaddy 和 Paypal。
