Nuestro negocio es YouGotaGift.com, una tienda en línea para tarjetas de regalo, hace dos días alguien creó un sitio web llamado YoGotaGift.com (le falta la u ), y envió una campaña por correo a muchas personas para indicar que hay una promoción en el sitio web. , cuando vaya al sitio web, usted (como personal de TI profesional) lo identificaría de inmediato como un sitio fraudulento, muchas personas no lo harán de todos modos, por lo que realizarán transacciones en ese sitio y no recibirán nada por lo que pagaron.
Así que cambiamos al modo de pánico para tratar de averiguar qué hacer, y lo que hice como CTO es:
- Informó el sitio web a PayPal (el único método de pago disponible en el sitio), pero aparentemente lleva mucho tiempo y muchas transacciones en disputa cerrar un sitio web.
- Reportaron el sitio web a la compañía de registro de dominio, cooperaron, pero para detener el sitio web se necesita una orden legal de un tribunal o de la ICANN.
- Informó el sitio web a la empresa de alojamiento, aún no hay respuesta.
- Verificaron los datos de WHOIS, no es válido, copiaron la información de nuestra empresa y cambiaron dos dígitos en el código postal y el número de teléfono.
- Informó el sitio web a la policía local en Dubai, pero también lleva mucho tiempo e investigaciones bloquear un sitio web.
- Enviamos un correo electrónico a nuestra base de clientes diciéndoles que estén atentos y siempre verifiquen que estén en nuestro sitio HTTPS y verifiquen el nombre de dominio cuando compren.
Mi principal preocupación era que muchas personas que informaron que recibieron el correo electrónico (más de 10) están en nuestra lista de correo, por lo que temía que alguien obtuviera información de nuestro servidor, así que yo:
- Revisó el registro de acceso al sistema para asegurarse de que nadie accediera a nuestro SSH.
- Revisó el registro de acceso a la base de datos para asegurarse de que nadie haya intentado acceder a nuestra base de datos.
- Revisó el registro del firewall para asegurarse de que nadie accediera al servidor de ninguna manera.
Después de eso, mi preocupación cambió al software de correo que estamos usando para enviar nuestras campañas de correo electrónico, usamos MailChimp antes y no creo que hubieran accedido a él, pero ahora estamos usando Sendy , y temía que accedieran a él. , Revisé el foro del sitio y no pude encontrar que alguien haya reportado una vulnerabilidad usando Sendy, y también muchos correos electrónicos registrados en nuestra lista de correo informaron que no recibieron el correo electrónico del sitio de fraude, así que me sentí un poco cómodo Ningún cuerpo llegó a nuestros datos.
Entonces mis preguntas son :
- ¿Qué más puedo hacer para asegurarme de que nadie se apodere de nuestra lista de correo o datos?
- ¿Qué más puedo hacer para informar y tal vez eliminar el sitio?
- ¿Existe una lista de modo de pánico cuando sospecha acceso no autorizado a su servidor o datos?
- ¿Cómo puede prevenir futuros incidentes como este?
Respuestas:
Parece que los servidores de nombres y el host real de YOGOTAGIFT.COM están registrados a través de ENOM, Inc. El sitio está alojado en EHOST-SERVICES212.COM. Intente enviar informes de spam y avisos de eliminación de DMCA a eNom y al servidor host. La página de abuso de eNom es http://www.enom.com/help/abusepolicy.aspx
Siembra tu lista de correo y base de datos con una o más cuentas falsas que dirigen a direcciones de correo electrónico o cuentas de pago que controlas.
Si recibe correos electrónicos o cargos en la cuenta falsa, puede suponer razonablemente que la lista de correo o la base de datos se han visto comprometidas.
Vea el artículo de Wikipedia sobre honeytokens .
fuente
Parece que lo hiciste muy bien hasta ahora.
Aquí hay algunos consejos más:
Lea el registro de la aplicación, si corresponde.
Haga un whois en su dirección IP y póngase en contacto con su ISP (de acuerdo con los comentarios "haga que su abogado redacte un tipo de carta de 'cese y desista' que amenace con acciones legales"). En este caso ENOM y DemandMedia.
Informe el sitio del estafador a tantas instituciones como sea posible (mozilla, google, ...): pueden agregar advertencias en sus aplicaciones para ayudar a mitigar la estafa.
Haga una página web dedicada en su sitio que cuente sobre esta historia.
Asegúrese de leer también ¿Cómo trato con un servidor comprometido? . Hay muchos buenos consejos en esta pregunta, incluso si su servidor no se ha visto comprometido.
fuente
Es difícil eliminar un sitio fraudulento / fraudulento, no es imposible, pero generalmente es muy difícil. Hay terceros como MarkMonitor que pueden ayudar con esto, pero son caros. Sin embargo, los hemos encontrado bastante efectivos, especialmente si el lado del fraude es claramente fraude / suplantación.
fuente
Aquí hay algunas sugerencias de mi parte
fuente