Et indlæg om, hvordan en telefon knyttet til en Yandex.Mail-tjenestekonto hjalp med at kapre domænet for en onlinepublikation, jeg oprettede."
Det hele startede i dag den 25. september 2019. 15:50 modtog jeg (domæneadministratoren) en besked fra MTS på min telefon: nogen påbegyndte udskiftningen af mit SIM-kort:
Det vil sige, at nogen genudstedte mit SIM-kort. Hvordan vi formåede at gøre dette er et stort spørgsmål, som vi retter til MTS.
Det første, jeg gjorde, var naturligvis at tjekke, om jeg havde modtaget en SMS fra svindlere. Efter at have kontrolleret nummeret angivet i SMS'en, indså jeg, at nummeret var korrekt, hvilket betyder, at problemet er alvorligt. Inden for et minut begyndte jeg at prøve at kontakte MTS TP. Quests for at fuldføre MTS-telefonmenuen, hvis resultat er kommunikation med operatøren, fortjener en separat historie. Lad mig fortælle dig kort, det tog mig omkring 7 minutter at starte live kommunikation med "personen".
Desværre varede kommunikationen ikke længe, efter 20 sekunder blev samtalen afbrudt. Mest sandsynligt, i samme øjeblik, som svindleren aktiverede SIM-kortet, da jeg ikke længere var i stand til at foretage et opkald fra mit nummer, blev mit SIM-kort inaktivt. Fra et andet nummer lykkedes det os at nå MTS-supporttjenesten, som et resultat af hvilket nummeret (som var knyttet til mail) blev blokeret.
Men det var allerede for sent. Angriberen fik adgang til en e-mail på Yandex, hvorpå domænenavnsregistratorens personlige konto var registreret.
I øvrigt var to-faktor-autentificering forbundet med mailen, men det var netop på grund af tilknytningen af telefonnummeret, at denne "kapring" af domænet skete. Hvis mit telefonnummer ikke var blevet knyttet til min e-mail, ville svindleren ikke have været i stand til at nulstille min adgangskode.
Svindleren var med det samme i stand til at få adgang til registratorens personlige konto (reg.ru) og overførte domænet til en anden konto. Da domænet var i den internationale .NET-zone, var det ikke svært at overføre domænet fra en konto til en anden.
I øjeblikket fungerer hjemmesiden for vores publikation, og i dag lykkedes det endda at lancere den tilsvarende
Jeg vil gerne tro, at alle mine breve til Yandex, Reg.Ru, appellerer til MTS og politiet (jeg havde ikke tid til at indsende en ansøgning i dag, men jeg vil helt sikkert gøre det i morgen), alt dette vil give resultater.
Vi har aldrig været involveret i politik eller skrevet tilpassede materialer. Men en lignende skæbne overgik vores side.
Med håb om det bedste, medejer af online-publikationen Banks Today.
UPD 26. sep 15-00.
Efter at have udfyldt en lang formular, er adgangen til Yandex-mail allerede blevet genoprettet. Der er indgivet en erklæring til politiet. Sendte scanninger til TP Reg.Ru
UPD 26. sep 17-00.
Et stort mirakel skete! Reg.Ru returnerede min DNS (domænet er endnu ikke returneret). Og meget snart vil mine brugere komme til mit websted. Tilsyneladende regnede svindleren med, at mens sagen stod på, ville mit domæne blive slået sammen med hans (jeg vil ikke nævne hans domæne her, jeg tror sagtens du selv kan genkende det). Han oprettede en 301-omdirigering fra alle mine sider til sider, der allerede er på hans domæne.
Vores rigtige DNS ændrede sig cirka kl. 3 i dag. Og allerede fra kl. 9 begyndte mere end halvdelen af vores læsere at blive omdirigeret til svindlerens domæne. Dynamik ved deltagelse:
UPD 28. sep 19-00.
I øjeblikket er der visse positive ændringer. Jeg vil ikke tale om dem i detaljer endnu, men jeg tror, vi skal på arbejde på mandag. Når det hele er overstået, vil jeg være sikker på at lave et detaljeret indlæg med alle stadierne! Tak for råd og støtte!
Kilde: www.habr.com