Подозреваемая уязвимость сервера или данных и сообщение о мошенничестве на сайте

Нашим бизнесом является YouGotaGift.com, интернет-магазин подарочных карт, два дня назад кто-то создал веб-сайт под названием YoGotaGift.com (Вы скучаете по u ) и разослал многим людям почтовую кампанию о том, что на сайте есть рекламная акция. Когда вы заходите на веб-сайт, вы (как профессиональные ИТ-специалисты) сразу же идентифицируете его как мошеннический сайт, но многие люди в любом случае этого не сделают, поэтому они совершают сделки на этом сайте и не получают ничего, за что заплатили.

Поэтому мы перешли в режим паники, чтобы попытаться выяснить, что делать, и что я сделал в качестве технического директора:

1. Об этом сообщает сайт PayPal (единственный способ оплаты, доступный на сайте), но, по-видимому, для закрытия сайта требуется много времени и много спорных транзакций.
2. Об этом сообщили веб-сайту компании, занимающейся регистрацией доменов, и они сотрудничали, но для остановки веб-сайта требуется судебный приказ со стороны суда или ICANN.
3. Об этом сообщает сайт хостинговой компании, пока нет ответа.
4. Проверив данные WHOIS, они неверны, они скопировали информацию о нашей компании и изменили две цифры в почтовом индексе и номере телефона.
5. Об этом сообщили в местной полиции Дубая, но для блокирования сайта также требуется много времени и расследований.
6. Отправьте электронное письмо нашей клиентской базе, сообщив им, что они должны быть в курсе и всегда проверять, находятся ли они на нашем HTTPS-сайте, и проверять доменное имя при покупке.

Моя главная проблема заключалась в том, что многие люди, которые сообщили, что получили электронное письмо (более 10), находятся в нашем списке рассылки, поэтому я боялся, что кто-то получил информацию с нашего сервера, поэтому я:

1. Проверил журнал доступа к системе, чтобы убедиться, что никто не получил доступ к нашему SSH.
2. Проверил журнал доступа к базе данных, чтобы убедиться, что никто не пробовал и не обращался к нашей БД.
3. Проверил журнал брандмауэра, чтобы убедиться, что никто не получил доступ к серверу в любом случае.

После этого моя забота перешла на почтовое программное обеспечение, которое мы используем для отправки наших почтовых кампаний, раньше мы использовали MailChimp, и я не думаю, что они получили бы к нему доступ, но сейчас мы используем Sendy , и я боялся, что они получили к нему доступ. Я проверил форум сайта и не смог обнаружить, что кто-то сообщил об уязвимости с помощью Sendy, а также во многих электронных письмах, зарегистрированных в нашем списке рассылки, сообщалось, что они не получили письмо с сайта мошенников, поэтому мне стало немного комфортно, что никто не дошел до наших данных.

Итак, мои вопросы :

1. Что еще я могу сделать, чтобы никто не заполучил наш список рассылки или данные?
2. Что еще я могу сделать, чтобы сообщить и, возможно, закрыть сайт?
3. Есть ли список режимов паники, когда вы подозреваете несанкционированный доступ к вашему серверу или данным?
4. Как вы можете предотвратить подобные инциденты в будущем?

• вопрос 2

Похоже, что серверы имен и фактический хост для YOGOTAGIFT.COM зарегистрированы через ENOM, Inc. Сайт размещен на EHOST-SERVICES212.COM. Попробуйте отправить отчеты о спаме и уведомления об удалении DMCA eNom и хосту сервера. Страница злоупотребления eNom: http://www.enom.com/help/abusepolicy.aspx

• вопрос 4: медокены

Заполните свой список рассылки и базу данных одной или несколькими поддельными учетными записями, которые направляют на адреса электронной почты или учетные записи, которые вы контролируете

Если вы получаете электронную почту или списывает средства с поддельной учетной записи, вы можете разумно предположить, что список рассылки или база данных были взломаны.

Смотрите статью в Википедии о медокенах .

Кажется, ты действительно хорошо справился.

Вот еще несколько советов:

• 1 Что еще я могу сделать, чтобы никто не заполучил наш список рассылки или данные?

Прочитайте журнал приложения, если есть.

• 2 Что еще я могу сделать, чтобы сообщить и, возможно, закрыть сайт?

Сделайте whois на их IP-адресе и свяжитесь с их Интернет-провайдером (согласно комментариям «попросите вашего адвоката составить письмо типа« прекратить и воздержаться », угрожающее судебному иску»). В этом случае ENOM и DemandMedia.

whois 69.64.155.17

Сообщите о сайте мошенников как можно большему числу учреждений (mozilla, google, ...): они могут добавлять предупреждения в свои приложения, чтобы помочь смягчить мошенничество.

Сделайте на своем сайте специальную веб-страницу, рассказывающую об этой истории.

• 3 Есть ли список режимов паники, когда вы подозреваете несанкционированный доступ к вашему серверу или данным?

Обязательно прочитайте также Как мне работать с взломанным сервером? , В этом вопросе есть много полезных советов, даже если ваш сервер действительно не был взломан.

• 4 Как вы можете предотвратить подобные инциденты в будущем? Обучите своих клиентов тому, как вы обычно ведете себя (например: «Мы никогда не будем отправлять почтовый контент напрямую, а будем ссылаться на вашу страницу на нашем веб-сайте»)

Трудно получить сайт подделки / мошенничества, не невозможно, но обычно очень тяжело. Есть сторонние организации, такие как MarkMonitor, которые могут помочь с этим, но они дороги. Мы нашли их довольно эффективными, особенно если сторона мошенничества явно мошенничает / выдает себя за другого.

Вот несколько предложений с моей стороны

1. Сообщите об инциденте в DMCA.
2. Свяжитесь с хостинг-провайдером и попросите закрыть сайт.
3. Свяжитесь с ICANN и попросите их деактивировать доменное имя.
4. Похоже, кто-то изнутри поделился вашим списком рассылки с конкурентом или, возможно, сервер был взломан. Смотрите обе возможности.