Et innlegg om hvordan en telefon koblet til en Yandex.Mail-tjenestekonto hjalp til med å kapre domenet til en nettpublikasjon jeg opprettet.""Jeg vil merke at jeg investerte alle mine akkumulerte penger, sjelen og 3 års møysommelig arbeid i denne publikasjonen.
Det hele startet i dag, 25. september 2019. Klokken 15:50 mottok jeg (domeneadministratoren) en melding fra MTS på telefonen min: noen startet utskiftingen av SIM-kortet mitt:
Det vil si at noen ga SIM-kortet mitt på nytt. Hvordan vi klarte dette er et stort spørsmål som vi retter til MTS.
Det første jeg gjorde var naturligvis å sjekke om jeg hadde mottatt en SMS fra svindlere. Etter å ha sjekket nummeret som er angitt i SMS-en, innså jeg at nummeret var riktig, noe som betyr at problemet er alvorlig. I løpet av et minutt begynte jeg å prøve å kontakte MTS TP. Oppdrag for å fullføre MTS-telefonmenyen, hvis resultat er kommunikasjon med operatøren, fortjener en egen historie. La meg fortelle deg kort, det tok meg omtrent 7 minutter å starte direkte kommunikasjon med "personen".
Dessverre varte ikke kommunikasjonen lenge, etter 20 sekunder ble samtalen avbrutt. Mest sannsynlig, i samme øyeblikk som svindleren aktiverte SIM-kortet, siden jeg ikke lenger var i stand til å ringe fra nummeret mitt, ble SIM-kortet mitt inaktivt. Fra et annet nummer klarte vi å nå MTS-støttetjenesten, som et resultat av at nummeret (som var knyttet til e-post) ble blokkert.
Men det var allerede for sent. Angriperen fikk tilgang til en e-post på Yandex, der den personlige kontoen til domenenavnregistratoren ble registrert.
Forresten, tofaktorautentisering var koblet til e-posten, men det var nettopp på grunn av koblingen av telefonnummeret at denne "kapringen" av domenet skjedde. Hvis telefonnummeret mitt ikke hadde vært knyttet til e-posten min, ville ikke svindleren ha kunnet tilbakestille passordet mitt.
Umiddelbart kunne svindleren få tilgang til registrarens personlige konto (reg.ru) og overførte domenet til en annen konto. Siden domenet var i den internasjonale .NET-sonen, var det ikke vanskelig å overføre domenet fra en konto til en annen.
For øyeblikket fungerer nettstedet til publikasjonen vår, og i dag klarte vi til og med å lansere den tilsvarende . Men jeg tror i morgen, etter at DNS-serverne er oppdatert, vil skipet mitt, som jeg har bygget i 3 år, forsvinne over horisonten.
Jeg vil gjerne tro at alle brevene mine til Yandex, Reg.Ru, appellerer til MTS og politiet (jeg hadde ikke tid til å sende inn en søknad i dag, men jeg vil definitivt gjøre det i morgen), alt dette vil gi resultater.
Vi har aldri vært involvert i politikk eller skrevet tilpasset materiale. Men en lignende skjebne rammet nettstedet vårt.
Med håp om det beste, medeier av nettpublikasjonen Banks Today.
UPD 26. sep 15-00.
Etter å ha fylt ut et langt skjema, er tilgangen til Yandex-post allerede gjenopprettet. Det er inngitt en forklaring til politiet. Sendte skanninger til TP Reg.Ru
UPD 26. sep 17-00.
Et stort mirakel skjedde! Reg.Ru returnerte DNS-en min (domenet er ennå ikke returnert). Og veldig snart kommer brukerne mine til siden min. Tilsynelatende regnet svindleren med det faktum at mens rettssaken pågikk, ville mitt domene bli slått sammen med hans (jeg vil ikke nevne domenet hans her, jeg tror du lett kan gjenkjenne det selv). Han satte opp en 301-viderekobling fra alle sidene mine til sider som allerede er på domenet hans.
Vår virkelige DNS endret seg omtrent klokken 3 i dag. Og allerede fra klokken 9 begynte mer enn halvparten av leserne våre å bli omdirigert til svindlerens domene. Dynamikk for oppmøte:
UPD 28. sep 19-00.
For øyeblikket er det visse positive endringer. Jeg vil ikke snakke om dem i detalj ennå, men jeg tror vi kommer på jobb på mandag. Når det hele er over, skal jeg sørge for å lage et detaljert innlegg med alle stadiene! Takk for råd og støtte!
Kilde: www.habr.com