Post o tym, jak telefon powiązany z kontem usługi Yandex.Mail pomógł przejąć domenę utworzonej przeze mnie publikacji internetowej.”
Wszystko zaczęło się dzisiaj, 25 września 2019 roku. O godzinie 15:50 ja (administrator domeny) otrzymałem na telefon wiadomość od MTS: ktoś zainicjował wymianę mojej karty SIM:
Oznacza to, że ktoś ponownie wydał moją kartę SIM. Jak nam się to udało, to duże pytanie, które stawiamy MTS.
Oczywiście pierwszą rzeczą, którą zrobiłem, było sprawdzenie, czy otrzymałem SMS-a od oszustów. Po sprawdzeniu numeru wskazanego w SMS-ie zorientowałem się, że numer jest prawidłowy, co oznacza, że problem jest poważny. W ciągu minuty zacząłem próbować skontaktować się z MTS TP. Zadania uzupełnienia menu telefonu MTS, których efektem jest komunikacja z operatorem, zasługują na osobną opowieść. Powiem krótko, rozpoczęcie komunikacji na żywo z „osobą” zajęło mi około 7 minut.
Niestety, komunikacja nie trwała długo, po 20 sekundach rozmowa została przerwana. Najprawdopodobniej w tym samym momencie oszust aktywował kartę SIM, ponieważ nie mogłem już wykonywać połączeń z mojego numeru, moja karta SIM stała się nieaktywna. Z innego numeru udało nam się skontaktować z obsługą MTS, w wyniku czego numer (powiązany z pocztą) został zablokowany.
Ale było już za późno. Osoba atakująca uzyskała dostęp do poczty e-mail w serwisie Yandex, na którą zarejestrowane było konto osobiste rejestratora nazw domen.
Nawiasem mówiąc, z pocztą powiązano uwierzytelnianie dwuskładnikowe, ale to właśnie z powodu powiązania numeru telefonu doszło do „porwania” domeny. Gdyby mój numer telefonu nie został powiązany z moim adresem e-mail, oszust nie byłby w stanie zresetować mojego hasła.
Oszust natychmiast uzyskał dostęp do osobistego konta rejestratora (reg.ru) i przeniósł domenę na inne konto. Ponieważ domena znajdowała się w międzynarodowej strefie .NET, przeniesienie domeny z jednego konta na drugie nie było trudne.
W tej chwili strona internetowa naszej publikacji działa, a dziś udało nam się nawet uruchomić odpowiednią
Chciałbym wierzyć, że wszystkie moje listy do Yandex, Reg.Ru, apele do MTS i policji (dzisiaj nie miałem czasu złożyć wniosku, ale na pewno zrobię to jutro), wszystko to przyniesie rezultaty.
Nigdy nie angażowaliśmy się w politykę ani nie pisaliśmy niestandardowych materiałów. Ale podobny los spotkał naszą stronę.
Z nadzieją na najlepsze, współwłaściciel publikacji internetowej Banks Today.
UPD 26 września 15-00.
Po wypełnieniu długiego formularza dostęp do poczty Yandex został już przywrócony. Oświadczenie złożono na policji. Wysłano skany do TP Reg.Ru
UPD 26 września 17-00.
Stał się wielki cud! Reg.Ru zwrócił mój DNS (domena nie została jeszcze zwrócona). Już wkrótce moi użytkownicy trafią na moją witrynę. Najwyraźniej oszust liczył na to, że w trakcie postępowania moja domena zostanie połączona z jego (nie będę tu wymieniał jego domeny, myślę, że sam ją łatwo rozpoznasz). Ustawił przekierowanie 301 ze wszystkich moich stron na strony znajdujące się już w jego domenie.
Nasz prawdziwy DNS zmienił się dzisiaj około 3:9. I już od godziny XNUMX:XNUMX ponad połowa naszych czytelników zaczęła być przekierowywana na domenę oszusta. Dynamika frekwencji:
UPD 28 września 19-00.
Na chwilę obecną widać pewne pozytywne zmiany. Nie będę jeszcze o nich szczegółowo mówić, ale myślę, że w poniedziałek przystąpimy do pracy. Gdy już wszystko się skończy, na pewno zrobię szczegółowy wpis ze wszystkimi etapami! Dziękuję za radę i wsparcie!
Źródło: www.habr.com