Ein Beitrag darüber, wie ein mit einem Yandex.Mail-Dienstkonto verknüpftes Telefon dabei geholfen hat, die Domain einer von mir erstellten Online-Publikation zu kapern.“„Ich möchte anmerken, dass ich mein ganzes angesammeltes Geld, meine ganze Seele und drei Jahre sorgfältiger Arbeit in diese Veröffentlichung investiert habe.
Alles begann heute, am 25. September 2019. Um 15:50 Uhr erhielt ich (der Domain-Administrator) eine Nachricht von MTS auf meinem Telefon: Jemand hat den Austausch meiner SIM-Karte veranlasst:
Das heißt, jemand hat meine SIM-Karte neu ausgestellt. Wie wir das geschafft haben, ist eine große Frage, die wir an MTS richten.
Als erstes habe ich natürlich geschaut, ob ich eine SMS von Betrügern erhalten habe. Nachdem ich die in der SMS angegebene Nummer überprüft hatte, stellte ich fest, dass die Nummer korrekt war, was bedeutet, dass das Problem ernst ist. Innerhalb einer Minute begann ich zu versuchen, MTS TP zu kontaktieren. Quests zur Vervollständigung des MTS-Telefonmenüs, deren Ergebnis die Kommunikation mit dem Betreiber ist, verdienen eine eigene Geschichte. Lassen Sie mich es Ihnen kurz sagen: Ich habe etwa 7 Minuten gebraucht, um die Live-Kommunikation mit der „Person“ zu starten.
Leider dauerte die Kommunikation nicht lange, nach 20 Sekunden wurde das Gespräch unterbrochen. Höchstwahrscheinlich wurde meine SIM-Karte im selben Moment, als der Betrüger die SIM-Karte aktivierte, inaktiv, da ich von meiner Nummer aus keinen Anruf mehr tätigen konnte. Von einer anderen Nummer aus gelang es uns, den MTS-Support zu erreichen, woraufhin die Nummer (die mit der E-Mail verknüpft war) gesperrt wurde.
Aber es war bereits zu spät. Der Angreifer verschaffte sich Zugang zu einer E-Mail auf Yandex, in der das persönliche Konto des Domainnamen-Registrators registriert war.
Mit der Mail war übrigens eine Zwei-Faktor-Authentifizierung verbunden, aber gerade durch die Verknüpfung der Telefonnummer kam es zu diesem „Hijacking“ der Domain. Wenn meine Telefonnummer nicht mit meiner E-Mail-Adresse verknüpft gewesen wäre, hätte der Betrüger mein Passwort nicht zurücksetzen können.
Der Betrüger konnte sich sofort Zugang zum persönlichen Konto des Registrars (reg.ru) verschaffen und die Domain auf ein anderes Konto übertragen. Da sich die Domain in der internationalen .NET-Zone befand, war die Übertragung der Domain von einem Konto auf ein anderes nicht schwierig.
Im Moment funktioniert die Website unserer Publikation und heute ist es uns sogar gelungen, die entsprechende zu veröffentlichen . Aber ich denke, morgen, nach der Aktualisierung der DNS-Server, wird mein Schiff, an dem ich drei Jahre lang gebaut habe, am Horizont verschwinden.
Ich würde gerne glauben, dass alle meine Briefe an Yandex, Reg.Ru, Appelle an MTS und die Polizei (ich hatte heute keine Zeit, einen Antrag einzureichen, aber ich werde es morgen definitiv tun), all dies zu Ergebnissen führen wird.
Wir haben uns nie in der Politik engagiert oder kundenspezifische Materialien geschrieben. Aber ein ähnliches Schicksal ereilte unsere Website.
Mit Hoffnung auf das Beste, Miteigentümer der Online-Publikation Banks Today.
UPD 26. September 15-00.
Nach dem Ausfüllen eines langen Formulars wurde der Zugriff auf Yandex-Mail bereits wiederhergestellt. Eine Aussage wurde bei der Polizei eingereicht. Scans an TP Reg.Ru gesendet
UPD 26. September 17-00.
Ein großes Wunder geschah! Reg.Ru hat mein DNS zurückgegeben (die Domain wurde noch nicht zurückgegeben). Und sehr bald werden meine Benutzer auf meine Website gelangen. Offenbar hatte der Betrüger damit gerechnet, dass während des laufenden Verfahrens meine Domain mit seiner zusammengelegt würde (seine Domain werde ich hier nicht erwähnen, ich denke, Sie können es selbst leicht erkennen). Er hat eine 301-Weiterleitung von allen meinen Seiten auf Seiten eingerichtet, die sich bereits auf seiner Domain befinden.
Unser echter DNS hat sich heute gegen 3 Uhr morgens geändert. Und bereits ab 9 Uhr morgens wurde mehr als die Hälfte unserer Leser auf die Domain des Betrügers weitergeleitet. Anwesenheitsdynamik:
UPD 28. September 19-00.
Im Moment gibt es gewisse positive Veränderungen. Ich werde noch nicht im Detail darauf eingehen, aber ich denke, dass wir uns am Montag an die Arbeit machen werden. Sobald alles vorbei ist, werde ich auf jeden Fall einen detaillierten Beitrag mit allen Etappen verfassen! Danke für den Rat und die Unterstützung!
Source: habr.com