译自 《How I Lost My $50,000 Twitter Username》
我有一个极其罕见的 Twitter 帐号 @N,曾经有人出价 $50000 买它。经常有人尝试偷它。我的邮箱经常有密码重置信。现在,我已经不再拥有 @N,因为被敲诈不得已放弃。
2014 年 1 月 20 号我在吃中饭的时候,我收到来自 Paypal 的验证码消息。有人尝试偷我的 Paypal 帐号。我忽略了它继续吃饭。
当天晚些时候,我查了一下自己 Google Apps 的邮箱, 这个邮箱用了我通过 GoDaddy 注册的域名。
我发现来自 GoDaddy 的最后一封邮件:“账户设置变更确认”。你懂得,这为什么是最后一个。
From: [email protected] GoDaddy
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 12:50:02 -0800
Subject: 账户设置变更确认
Dear naoki hiroshima,
收到这封邮件是因为您的信息被下面的账户修改:
XXXXXXXX修改有一定的有效时间
如果不是您自己修改,请到账户修改安全设置。
如果无法访问帐号或者该账户下的域名发生了未授权的变更,请联系 [email protected] or (480) 505-8877.
Please note that Accounts are subject to our Universal Terms of Service.
Sincerely,
GoDaddy
我尝试登录我的 GoDaday 帐号,但没用。我打电话给 GoDaddy 并解释了问题。客服问了我信用卡后六位做为验证方式。因为信用卡信息已经被攻击者修改所以这个方法行不通。事实上,我的所有信息都被修改了。我没有办法来证明我是域名的所有者。
GoDaddy 的客服建议我使用公民身份信息在 Godaday 官网来填一个申请报告。我这么做了,然后告诉我需要 48 小时。我期待这个可以证明我的身份和账户所有权。
敲诈继续
大多的网站使用邮箱做为验证方式。如果你的邮箱被攻击了,攻击者会很容易重置你的密码。控制我的域名后,攻击者试图控制我的邮件。
基于之前的攻击,我很快意识到,我那令人垂涎的 Twitter 帐号才是目标。很奇怪的是,在 Facebook 有陌生人发了消息给我鼓励我修改我的 Twitter 邮件地址。我认为这是从攻击者发送的,但我还是改了它。Twitter 帐号的邮件地址现在攻击者已经访问不了了。
由于花时间变更了可以控制我域名服务器的 MX 记录,攻击者尝试重置了几次我的 Twitter 密码发现他不能收到任何重置邮件。攻击者在 Twitter 的客服系统上开了个工单 #16134409。
N,1 月 20 号 下午 1:43:
Twitter 账户:@n
邮箱:****@****.***
最后登录:十二月
手机号: n/a
其它信息:我收不到我的密码重置邮件,你可以手动发一个给我么?
Twitter 要求攻击者提供更多信息,攻击者放弃了这个方式。
然后我才知道为了和我讨价还价,攻击者已经破坏了我的 Facebook 帐号。我才意识到当一个朋友开始在 Facebook 上问的很奇怪意味着什么。
我最后收到了来自于攻击者的邮件。攻击者要敲诈我:
From: [email protected] SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 15:55:43 -0800
Subject: Hello.
我看到了你和我的同伴谈话,我只想告诉你,你是正确的,@N 才是目标。现在已经是未激活状态了,我通知你我已经掌握了你的 Godday 域名,只需一个假冒的支付就可以让 Godaddy 交换所有权并且不会被看到 D:我看到你访问过不少网站,我还留着这些帐号,所有这些网站的数据都还算保持完整。你是否要妥协?让我访问 @N 5 分钟直到我交换你的 Godaddy 控制权,并且可以帮你保护你的信息?
很短时间,我收到了 GoDaddy 的回复。
From: [email protected]
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 17:49:41 -0800
Subject: Update [Incident ID: 21773161] — XXXXX.XXX
不幸的是,域名服务部门不能帮助你来修改,因为你不是域名当前的所有者。由于注册商原因,我们必须在注册所有人的同意后做出修改。你可以尝试通过下面的选项来帮助你继续:
- Visit http://who.godaddy.com/ to locate the Whois record for the domain name and resolve the issue with the registrant directly.
- Go to http://www.icann.org/dndr/udrp/approved-providers.htm to find an ICANN approved arbitration provider.
- Provide the following link to your legal counsel for information on submitting legal documents to GoDaddy: http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA GoDaddy now considers this matter closed.
因为我不是「当前所有者」,我的申请被拒绝了,GoDaddy 问了攻击者是否同意要做出改变,在他们攻击的时候它们当然不同意。GoDaday 把我激怒了,它把麻烦都给了我这个真正的所有者。
我的一个同事可以联系到 GoDaddy 的执行官,执行官尝试让安全团队来帮助解决,但没有下文了。也许是因为「马丁路德金日」。
然后我收到了攻击者的邮件。
From: [email protected] SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 18:50:16 -0800
Subject: …hello
你准备好交换了么?GoDadday 帐号准备好了,密码修改好了并且我放到了电子邮件。
我问了我一个 Twitter 的朋友如果攻击者拿到我的 Twitter 帐号会发生什么。我记得 @mat 出了什么事儿 中的结论是放弃账户是避免逆天灾难的唯一办法。所以我告诉攻击者:
From: <*****@*****.***> Naoki Hiroshima
To: [email protected] SOCIAL MEDIA KING
Date: Mon, 20 Jan 2014 19:41:17 -0800
Subject: Re: …hello
@N 我不要了,拿走它吧。
我从 2007 年至今第一次修改了我的用户名 @N 为 @N_is_stolen。至此告别了我的问题帐号。
我收到下面的回复。
From: [email protected] SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:44:02 -0800
Subject: RE: …hello
非常感谢,你的 godaddy 密码是:V;Mz,3{;!’g&
如果你喜欢我可以告诉你我是如何入侵你的 godaddy 账户的,并且可以告诉你怎么保护好它。
攻击者很快掌握了用户名,我的 GoDaddy 账户也失而复得了。
PayPal 和 GoDaday 方便了攻击者
我问攻击者如何被攻击的,然后收到了下面的回复:
From: [email protected] SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 19:53:52 -0800
Subject: RE: …hello
我打电话给 paypal 并且用了非常简单的工程学策略来获得你信用卡的后四位(防止的方案是打电话给 paypal 要求客服为你的账户添加一个不通过电话获得资料的备注)
我打电话给 godaddy 告诉他们我的信用卡丢失了并且我只记得后四位,客服让我尝试号码(就是 00-99)我没有发现可以提高 godaday 帐号安全性的方式,然而如果你让我推荐注册商的话建议是:NameCheap 或者 eNom(不要用 networks solutions 用 enom.com)
很难说有多震撼,事实是 Paypal 通过在电话里给了攻击者我的信用卡后四位号码,而 GoDaddy 支持用它来做验证。当我准备再问点什么的时候,攻击者回了我一个邮件:
From: [email protected] SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:00:31 -0800
Subject: RE: …hello
paypal 通过电话告诉我(我扮演一个员工)的信息,然后 godaday 让我「猜」信用卡的前两位。
猜 2 位不那么容易是吧?
From: [email protected] SOCIAL MEDIA KING
To: <*****@*****.***> Naoki Hiroshima
Date: Mon, 20 Jan 2014 20:09:21 -0800
Subject: RE: …hello
我第一个电话就知道了,很多客服会让你试到成功为止。
他很幸运他只需要通过电话猜两个号码。问题是,GoDaday 允许他猜中为止。
避免使用自定义域名做为登录邮件地址
当我的 GoDaday 账户恢复后,我重获访问我邮件的权限,我修改了很多网站的邮件地址为 @gmail.com 的地址。使用自定义域名的 Google Apps 会很好玩,但是会存在被攻击的可能性。如果我的 Facebook 用了 @gmail.com 邮箱地址,攻击者不可能获得我的 Facebook 访问权。
如果你在使用自定义域名来登录不同的网站,我强烈建议你不要用,只使用 @gmail.com 做为登录地址。你可以用自定义域名来收发邮件,我依然这么做的。
然后,我强烈建议你修改 MX 记录的 TTL(过期时间)为一个小时,可以在被攻击丢失 DNS 控制权时有充足的时间来收邮件。如果 TTL 时间长点我就能有恢复我账户的机会。
必须用两步验证。这可以避免攻击者登录我的 PayPal 账户。虽然这些情况下两步验证都没用。
总结
愚蠢的公司会把你的个人信息给别人(比如信用卡号)。有些公司仍在使用验证信用卡最后几位号码的方式这种难以接受的做法。
为了避免他们破坏你的数字生活,不要让 PalPal 和 GoDaddy 存储你的行用卡信息。我已经删掉了。我也会尽快离开 GoDaddy 和 Paypal。