域名被盗记:不幸中的万幸

原来总是以为黑客攻击是一件非常遥远的事情。因为我不做黑产,似乎在互联网界也没有什么得罪的朋友。我个人博客虽然什么都有,却从来不涉及争议话题。其原因在与,我既没有能力也没有水平来讨论高大上的问题。这些问题,在我看来,属于“专业工作留给专业人员”的范畴。CBS的60 分钟, Face the Nation, BBC的100 days, Hard Talk, 中央电视台的面对面和东方时空,都是此类代表。如果有某些“老人家”跟我一样喜欢传统纸媒(包括其电子版本),那么国外的WSJ(此WSJ非彼WSJ,特此注明),Financial Times,国内的财新网、人民日报、求是杂志等都属于此范畴。然而,正如我今天奇迹般地挂掉科三考试一样,我这个颇具风情的gujun-sky.com域名居然连同我家小主人的域名一起被盗了。经过几天的不懈努力和申诉,终于完成了我的域名赎回。

一、一封奇怪的邮件

2019年7月22日下午四点左右,老虎妹妹睡觉还没醒,我躲在书房里一边“编”着Stata的代码,一边看着Designated Survivor (此剧强烈推荐,学英语的灵丹妙药。)。突然,狗爹(Godaddy)突然发来了邮件三连:注册变更-隐私保护关闭-域名被转移。这三个邮件几乎同时到达,所以理论上任何用户都不会有反应时间。我当时顿觉不妙。因为我的Godaddy账户其实除了续费很少登录。突然来三个邮件显然不会是我的动作。我隐隐感觉不妙。在登录Godaddy之后,我“惊喜”地发现,My Product下面居然是空的。我的两个域名已经早已不见踪迹。而由于cloudflare的DNS更新具有很大的延迟,blog子域名依然可以顺利解析。但事实上,很多DNS更新比较快的地区当天晚上就已经发现我的域名被跳转了,主页变成了一个白白的、圆圆的不可描述的东西。幸亏好友Sara当时因为家里网络太渣没有打开这个网页,否则恐怕我这“教唆未成年人”犯罪这条是没跑了,说不定还能安上“怪蜀黍”之名。

域名转换已完成?
域名注册信息变更已完成
第一条就是域名被盗以后对方所设置的跳转——内容不可描述

而通过whois信息查询,域名的信息也已经被更改,且完全对不上我之前的信息。该域名直接被跳转到了一个色青页面和在线赌博游戏上。而所跳转的域名则是注册在新网,服务器在福州泉州。考虑到此人使用126邮箱来进行此类活动。我个人感觉此人相对年轻,具有一般或者较差的英语水平,且应该不是专业的黑客。当然,通过后续其他渠道证实,此人并非第一次作案。不过考虑到目前国内并无直接法律来规范此类行为。对于巨大金额案件也一般使用“非法入侵计算机罪”,我也就没有进一步追究此君行为了。不过希望此君就此收手,以免追悔莫及。而我隐隐觉得,这次的泄露应该与最近很是流行的“撞库”有关。

所谓撞库,就是攻击者使用已经泄露的用户名和密码在不同网站进行尝试,以求突破并取得一些经济资源。在此之前,虽然本人号称会计系的计算机专家,且对此类行为有一些耳闻,却从未真正研究过。这次事件终于给了我一个学习的机会。通过对于本人一系列账户社工库查询发现,这次账号被盗纯属是因为用户名与其他网站相同,而这些域名已经于CSDN等网站的数据泄露。各位朋友如果晚上睡不着,可以试着把你们的常用邮箱或者用户名输入进去看看,保管出乎所料。更重要的是,这种信息泄露从大样本来说,对于男同胞们影响更大。毕竟不会有太多妹子去逛CSDN,机锋论坛的吧。不过,在我账号列表中,Adobe和Linkedin也都“名列仙班”,这就不得不小心一点了。

其实早期的时候,这类数据一般都是公开的,且有专门的“志愿者”对数据进行清洗和合并。因此,目前在公网上还是能找到一些公开社工库的蛛丝马迹的。如果诸位有兴趣进行深入挖掘,就会发现目前此类数据主要包括了高管的电话信息(如腾讯早期数据),一些邮箱服务的用户名和密码(多少人就是因为用了126的邮箱而导致iPhone被锁),一些酒店的数据(号称开房库),一些网站的存储数据(如CSDN, Adobe,LinkedIn等)。而最夸张的是,我居然还看到了土耳其公民数据库(Turkish Citizen Dataset)。与早期的网票不同,现在的社工已经成了黑产中非常重要的方法之一。因此,这类数据也很少会免费公开。一般都需要收费并且都转入了暗网。一般人想必也不会去花钱买此类服务了。

二、快速补救行动。

既然出了这档子问题,我首先能想到的就是使用专业知识来做一个策略分析。通过约半个小时的学习,我发现,这个问题首先出在了Godaddy服务的一个巨大漏洞上:该网站居然允许用户在没有第三方认证的情况下直接将域名从A账户转到Godaddy的B账户。第三方验证只有在Godaddy所管理的域名被转出到其他注册商时才会触发。虽然Godaddy此举的目的在于降低用户操作的时间,但却引起了一个重大的安全风险。要命的是,Godaddy似乎从来没有考虑过修复这个问题。而则个问题在我跟Godaddy的技术部门沟通时发现,对方也默许了这个问题的存在。

而相比较其他的案例。我有一个巨大优势。由于我的账号锁绑定的邮箱是Gmail且开了双重认证。这就使得普通的黑客是没有办法在短时间内直接破解的。因此,我账号所绑定的邮箱便无法修改,而该入侵者也无法直接改变我账户的密码。这点在后续的工作中尤为重要。因为如果账号邮箱被换,申请人就有义务来证明其账号的所有权。而这将是一个非常麻烦的工作。而与此同时,幸亏我及时发现了这个邮件。如果我的域名已经被转出超过15天,那后续要申请回来也是一个麻烦事。

我的第一个动作就是直接给Godaddy总部去了电话。但由于时差原因,我打电话的时间是当地凌晨3点35分。接电话的工程师问了我一系列问题,包括账户信息、何时转入域名、账号登录等信息。接着我就大致描述了下我所收到的邮件,包括域名的whois信息已经被修改,DNS记录也已经完全换掉。小哥表示这个事项不用着急。他首先给我域名写了一个备注,然后告诉我需要在当地时间7点以后重新打电话来。他们有一个专门的部门可以帮到我。后来我知道这个部门叫做Undo Department. 而在几个小时之后的电话中,我便详细阐述了这次域名被盗的经过。

在我打完电话以后,为了防止我英文太差而造成的表达错误,同时也是该部门的要求,我直接给[email protected]这个地址写了一个邮件。邮件内容很简单,基本重复了我电话中的内容。大致内容如下。有需要的朋友可以借用下。

I have just received an email minutes ago saying that two of my domains: 1. A, and 2. B, was transferred and the privacy protection was ended without any knowledge.of mine. I can make sure that there is no way to break into my Gmail account as I have set up a two-step verification request. To make things safe, I have changed both the passwords for Gmail and for Godaddy.  A was transferred in again in 2017 and B as registered directly at Godaddy.com. According to my memory, I should have never issued a change of plan or any request to a transfer since 2017. Would you mind please suggest what to do next?

我给Godaddy的Undo部门第一份邮件

大约十二小时左右,我便收到了Undo部门的回复。与网上所列要求填表的要求不同,该部门直接给我列了三个问题。当然,这三个问题一定是会存档的而且如果我们胡说八道,可能会涉及法律问题。这三个问题主要为:

1. Who requested the registrant change?
2. How did this person get access to your Godaddy account?
3. Tell us about your relationship with the person who made the change.

Godaddy的第一次回函

这三个问题虽然简单,要回答的有逻辑却并不容易。对于第一个问题:谁提出了域名转移申请?考虑到我的域名是属于被盗,我们就应该声明:我并不知道这个人是谁,他为什么要转走我的域名。我们之间没有任何商业往来,他的操作也完全在我意料之外。这个问题虽然我们说的是“不知道”,但却不能这么简单。于是,在我的英文写作能力大爆发之下,我有了第一段。这一段中,我首先否认了与他相识,同时,我也给出了我的一些看法(用126邮箱的同志不要打我~)

You asked me who requested the registrant change. Unfortunately, I do not know given my account is indeed compromised but not a request under my approval, or at least under my knowledge.  One email from Godaddy shows that it is transferred to the account of “[email protected]‘.  I have no knowledge of who he/she is and the reason why he/she asks for a transfer. This email should be an alias and should be registered with fake information, though 126.com indicates that he/she might be a people living or being familiar with China, as 126.com is a commonly used free email service in China.

第一个问题的回复

第二个问题:他如何进入你的账户?这不废话么,被盗了啊。老外的脑回路不同,没办法,那我们也得好好说话啊,不过咱也得有礼有节,不能灭了咱自己的威风。由于这段内容实在太长,我就列出几条关键的吧:

首先,我们先说结论:没答案(我要有找你干嘛)。同时给出猜想,我估计是被撞库了。而且不是我主动泄露密码。原因?他没法搞定我的邮箱设置啊!同时,我也提出,你们转出域名时候根本没有第三方认证啊,只是给个邮件通知。这通知好比我把你点着烧完了,给你发个短信说:贵府已归尘土,莫念。你觉得这个除了让我想打人以外还能有什么用?哦,还是有的,请及时申诉嘛。为了让这些说法更加具有客观性,我还提供了近期访问的证据,欢迎他们前来查询。由于其中涉及较多个人信息,这里就不贴上来了。大家自行发挥就好。

Unfortunately again,  there is no answer, and I will have to leave this to technicians and computer scientists identifying what really happens to this account. My initial guess is that he received some datasets that contain multiple confidential from data leakage of some sites.  I have investigated myself on my email service by performing a series of security check,  there is no illegal invasion or security alerts. So it is possible that the guy just pops in my Godaddy account directly without interfering my email service. His incapacity of changing my account email and passwords might support this assumption. To make things safe and to prevent from further losses, I have changed the passwords of both Godaddy and my Gmail account instantly, and both Godaddy and Gmail are under the protection of two-step verification (Gmail has been under protection for years).

第二个问题的回复

而第三个问题则显得更为有趣:请问你们俩有什么关系?我是被害人,他是贼,你觉得我们俩有什么关系?猫和老鼠的关系?班主任和同学的关系(大雾)?这时我耳边想起了我老板对我的教诲。于是,在我老板的梦幻指导下,我写下了如下一段话.还是三板斧:1. 我不认识这孙子;2. 不知道他想干嘛;3. 这两个域名主要是我个人用途,有纪念意义;4. 这俩域名根本不值钱那!

The final question is about my relationship with the person who made the change. Sorry but given that I have no knowledge of who he/she is and that I have never assigned anyone for such a transfer, I claim no relationship with the person who bravely got into my account and transferred both domains. These two domains are indeed for personal use only. A links up with a website as http://blog.gujun-sky.com, which is indeed my personal blog. The other domain, B, is linked up with a blog set up for my three-year-old daughter. There is no reason why I should transfer them for any purpose. In addition, neither of them is a hot domain that can be sold for a big price.

Reply for the third question.

在我这个长邮件丢回去之后,世界就清净了。虽然期间我买了gujun.uk域名来作为被盗域名的替代,但心里总有些不甘,毕竟这实在是一件很丢面子的事情。在等待了48小时没有回音以后,我便开始了我的每晚十一点保留节目——去楼下夺命连环call。如果在此期间你发现我家小区楼下有个二傻操着不知道哪国口音的英语在手舞足蹈,那么不用怀疑,这个人一定就是我。在连续两个晚上共计四十多分钟的越洋电话以后(我发现电话效率远高于邮件,但目前网上攻略没有提到电话的),并在我养颜给ICANN投诉以后,undo部门给我发来了一个邮件,开始我还以为是补交材料,却没想到我的申诉很快有了结果。当然,这时候我就把ICANN的投诉也撤回了。

Support Staff Response
We have reviewed and reverted your account and domains back. When you have the ability to login to a computer, please contact our 24/7 Customer Support department for assistance with gaining access back to the account. They can be reached at 480.505.8877 or (https://www.godaddy.com/contact-us.aspx).

A final decision made by Godaddy Undo Department

三、后记

经过千辛甘苦,我终于要回来了我的域名。然后我第一时间就恢复了这个域名的博客。毕竟,相比其新的域名,旧域名更为大家所熟知。同时也对搜索引擎更为友好。这次的时间,总结起来,其实有这么几个教训或者经验吧:

  • 不要到处使用同一个用户名密码。这样虽然方便了自己,也方便了那些利用系统漏洞的人。虽然这条最为浅显易懂,但也最难实现(人要吃饭啊!)
  • 要养成定时收邮件的好习惯。这点似乎国人都做得不太好;
  • 定期修改密码,或者打开二次认证。这样可以大大降低被K的可能。毕竟要解决二次认证一般情况下不使用国家级大杀器是不太容易办到的。即使遇到Gmail之类的中间人攻击,二次认证也能解决大多数问题。
  • 紧急沟通时候一定使用电话。电话效率还是比邮件高太多了。这次的问题最后应该还是我的夺命连环Call起到了重要的作用吧。
  • 当然,还是希望大家不要遇到这种问题的好。

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.