Een bericht over hoe een telefoon gekoppeld aan een Yandex.Mail-serviceaccount hielp het domein te kapen van een online publicatie die ik heb gemaakt.""Ik zou graag willen opmerken dat ik al mijn verzamelde geld, ziel en drie jaar nauwgezet werk in deze publicatie heb geïnvesteerd.
Het begon allemaal vandaag, 25 september 2019. Om 15:50 kreeg ik (de domeinbeheerder) een bericht van MTS op mijn telefoon: iemand heeft de vervanging van mijn simkaart in gang gezet:
Dat wil zeggen, iemand heeft mijn simkaart opnieuw uitgegeven. Hoe we dit voor elkaar hebben gekregen, is een grote vraag die we aan MTS stellen.
Het eerste wat ik uiteraard deed, was controleren of ik een sms van oplichters had ontvangen. Nadat ik het nummer in de sms had gecontroleerd, realiseerde ik me dat het nummer correct was, wat betekent dat het probleem ernstig is. Binnen een minuut probeerde ik contact op te nemen met MTS TP. Quests voor het invullen van het MTS-telefoonmenu, waarvan de communicatie met de telefoniste is, verdienen een apart verhaal. Laat me je kort vertellen: het kostte me ongeveer 7 minuten om de live communicatie met de “persoon” te starten.
Helaas duurde de communicatie niet lang; na 20 seconden werd het gesprek onderbroken. Hoogstwaarschijnlijk werd op hetzelfde moment dat de oplichter de simkaart activeerde, omdat ik niet meer kon bellen vanaf mijn nummer, mijn simkaart inactief. Vanaf een ander nummer wisten wij de supportdienst van MTS te bereiken, waardoor het nummer (dat aan mail was gekoppeld) werd geblokkeerd.
Maar het was al te laat. De aanvaller kreeg toegang tot een e-mail op Yandex, waarop het persoonlijke account van de domeinnaamregistrar was geregistreerd.
Aan de mail was overigens tweefactorauthenticatie gekoppeld, maar juist door de koppeling van het telefoonnummer vond deze ‘kaping’ van het domein plaats. Als mijn telefoonnummer niet aan mijn e-mailadres was gekoppeld, had de oplichter mijn wachtwoord niet kunnen resetten.
De fraudeur kon onmiddellijk toegang krijgen tot het persoonlijke account van de registrar (reg.ru) en het domein overzetten naar een ander account. Omdat het domein zich in de internationale .NET-zone bevond, was het overzetten van het domein van het ene account naar het andere niet moeilijk.
Op dit moment werkt de website van onze publicatie en vandaag zijn we er zelfs in geslaagd de bijbehorende te lanceren . Maar ik denk dat morgen, nadat de DNS-servers zijn bijgewerkt, mijn schip, waar ik al drie jaar aan bouw, aan de horizon zal verdwijnen.
Ik zou graag willen geloven dat al mijn brieven aan Yandex, Reg.Ru, een beroep doen op MTS en de politie (ik had vandaag geen tijd om een aanvraag in te dienen, maar ik zal het morgen zeker doen), dit alles zal resultaten opleveren.
We zijn nooit betrokken geweest bij de politiek en hebben nooit materiaal op maat geschreven. Maar een soortgelijk lot trof onze site.
Met hoop op het beste mede-eigenaar van de online publicatie Banks Today.
UPD 26 september 15-00.
Na het invullen van een lang formulier is de toegang tot Yandex-mail al hersteld. Er is aangifte gedaan bij de politie. Scans verzonden naar TP Reg.Ru
UPD 26 september 17-00.
Er gebeurde een groot wonder! Reg.Ru heeft mijn DNS geretourneerd (het domein is nog niet geretourneerd). En zeer binnenkort zullen mijn gebruikers mijn site bezoeken. Blijkbaar rekende de oplichter erop dat tijdens de procedure mijn domein zou worden samengevoegd met het zijne (zijn domein zal ik hier niet noemen, ik denk dat je het zelf gemakkelijk kunt herkennen). Hij heeft een 301-omleiding ingesteld van al mijn pagina's naar pagina's die al op zijn domein staan.
Onze echte DNS veranderde vandaag om ongeveer 3 uur 's nachts. En al vanaf 9 uur werd meer dan de helft van onze lezers doorgestuurd naar het domein van de oplichter. Dynamiek van aanwezigheid:
UPD 28 september 19-00.
Op dit moment zijn er bepaalde positieve veranderingen. Ik ga er nog niet uitgebreid op in, maar ik denk dat we er maandag mee aan de slag gaan. Zodra het allemaal voorbij is, zal ik zeker een gedetailleerd bericht maken met alle fasen! Bedankt voor het advies en de ondersteuning!
Bron: www.habr.com