ديگه چه خبر

پست زیر شرحی است بر ماجرای یک دزدی کثیف و عظیم دامنه های اینترنتی که احتمال می‌رود کار یک ایرانی باشد!

نمی‌دانم خبر دارید یا نه ، حدود ۲۰ روز پیش Domain سایت معروف MakeUseOf هک شد و به یک ثبت کننده‌ی دیگه منتقل شد. خبر به سرعت در وبلاگ های انگلیسی پخش شد و همه شوک شده بودند که چه اتفاقی افتاده تا بالاخره خود MakeUseOf خبر را منتشر کرد و اعلام کرد که در تلاش‌اند تا دامنه را به طور قانونی پس بگیرند.

این کار به این صورت انجام شده بود که هکر به ایمیل مدیر MakeUseOf دسترسی پیدا کرده بود و از این طریق به راحتی درخواست ترنسفر داده و درخواست را تایید کرده بود. خود مدیران هم نمی‌دانستند که هکر رمز را با چه ترفندی به دست آورده.

MakeUseOf این پست را منتشر کرد و مشخص شد که هکر از یک حفره امنیتی در جیمیل استفاده کرده (الان مدتیه پچ شده).

حالا قسمت جالب ماجرا از اینجا شروع میشه!

در همان پست MakeUseOf اشاره شده که چند دامین دیگه هم به همین روش دزدیده شده. هکر MakeUseOf گفته بود در ازای دریافت ۲۰۰۰ دلار دامین را دوباره به صاحبان اصلیش برمی‌گردونه. اسم این هکر شریف در ایمیل Ferank بوده.

۱۷ روز بعد از ماجرا MakeUseOf ایمیلی از صاحب سایت YuMP3.org دریافت می‌کنه که میگه دامین من هم به همان روشی که دامین شما دزدیده شده بود دزدیده شده و درخواست کمک می‌کنه.

اطلاعات جدید که در Whois سایت YuMP3 دیده میشه نشان می‌ده صاحب جدید دامین آقای «امیر امامی» است. (مهم صحت نام نیست ، ایرانی بودنش کافیه)

این امیر آقای امامی مجازی هم ۲۰۰۰ دلار ناقابل از صاحب سایت جهت بازگرداندن دامین تقاضا کرده.

حالا بگین چی؟! ایشون همان Ferank ه که MakeUseOf را دزدیده بود ، چون با هر دوی آنها از طریق ایمیل webs@domainsgame.com مکاتبه کرده.

سه روز بعد مدیر سایت Cucirca.com به MakeUseOf ایمیل می‌زنه که دامین منه بدبخت را هم با همان روش دزدیده‌اند. دامین ایشون در الکسا رتبه‌ی ۷۶۸۱ داشته و بازدید بالای ۱۰۰ هزار نفر در روز.

ایشون ایمیل های مدیر سایت Cucirca را به دو آدرس joy.hock@gmail.com و domain.selln@gmail.com فوروارد کرده بوده که بعد از جستجوی ایمیل دوم به این صفحه رسیده که خبر از دزدیده شدن ۷۸۸ دامین دیگر می‌دهد از جمله برخی از دامین های بسیار ارزشمند.

حالا این ایمیل ها متعلق به کیست؟ «Aydin Bolourizadeh» ، «آیدین بلوری زاده»

بعد از اینکه MakeUseOf ایمیل هکر را در وبلاگ منتشر می‌کند این ایمیلی دریافت می‌کند که آنها را تهدید می‌کند که ایمیل و نام سایت Domainsgame را از سایت پاک کنند وگرنه با حملات DDOS شدید سایت را Down می‌کند.

همین دزدی برای دامین Davidairey.com (مربوط به یک طراح معروف لوگو به نام دیوید) اتفاق افتاد (حدود یک سال پیش). دیوید اول فکر کرد دامینش به وقت تمدید رسیده و اون فراموش کرده که تمدید کنه و به صاحب جدید به نام Peyam Irvani (پیام ایروانی؟) ایمیل زد و ازش خواست که دامینش را از او بخرد.

که هکر هم رقم ۶۵۰$ را پیشنهاد می‌کنه ، دیوید نوشته «حتی اگه ۲ سنت هم می‌خواست من قبول نمی‌کردم! من پولمو به یه خلافکار نمی‌دم» که بعد از اون دوباره هکر رقم ۲۵۰$ را به عنوان فروش ویژه کریسمس! بهش پیشنهاد میده.

اگه به Peyam Irvani شک دارید بهتره بدونید که ایمیل های دیوید به آدرس ba_marame_pooli@yahoo.com (با مرام پولی!) فروارد شده بود.

دیوید از طریق یک از آشنایانش که دوست صمیمی Bob Parsons (موسس Godaddy) دامینش را پس می‌گیره و MakeUseOf هم با مکاتبه های فراوان و ارائه مدارک و… بالاخره دامین را به صورت قانونی پس می‌گیره.

این آقا دیوید بیچاره با دوست دخترش در سفر بوده که این اتفاق افتاده ، بیچاره سفرش کوفتش شده!

اون آسیب پذیری جیمیل جریانش چیه؟
در حال حاظر رفع شده ، این طوری بود که شما وارد ایمیل‌تان می‌شوید و روی یک لینک حاوی کد های مخرب به طور ناخواسته کلیک می‌کنید و اون کد مخرب یک Forwarder در جیمیل شما تنظیم می‌کنه که ایمیل های شما را مستقیمآ به ایمیل هکر ارسال می‌کنه و شما اصلآ متوجه آمدن ایمیل ها نمی‌شوید.

نفع این دزدی ها برای اون هکر چیه؟
خیلی سادست و درآمدش هم شدیدآ زیاده! ، اولآ دیدیم که دامین ها یکی دو تا نبوده و حداقل ۷۸۸ دامین را این طوری دزدیده ، خوب سه راه کسب درآمد از این دامین ها براش وجود داره:

۱- همانطور که دیدید به صاحب دامین پیشنهاد می‌ده که در ازای مثلآ ۱۰۰۰ دلار دامین را پس می‌دهم.

۲- سایت را در بازار های مخصوص فروش دامین سریعآ به حراج می‌ذاره و بسته به اسم دامین از ۵۰-۶۰ دلار حتی تا ۲۰ هزار دلار به فروش می‌رسونه ، بدون اینکه خریدار متوجه بشه دامین دزدیه.

۳- دامین را اصطلاحآ پارک می‌کنه ، یعنی DNS ها را تغییر میده به DNS های مخصوص تبلیغات و این یعنی در تمام صفحات سایت تبلیغ به نمایش در میاد که در ازای هر کلیک پول به حسابش واریز میشه. حالا فرض کنید سایتی با بازدید روزانه ۱۰۰ هزار نفر….

پس اگر دیدید یکی یک دفعه در عرض یک ماه پولدار شد زیاد تعجب نکنید ، شاید یه باگ تو جیمیل پیدا کرده!
(اما این باگ توسط این هکر پیدا نشده!)

اگر از جیمیل استفاده می‌کنید شاید قربانی بعدی شما باشید!
حتمآ از قسمت Settings چک کنید که ایمیل هایتان Forward نشده باشند.
اگر از IMAP و POP3 استفاده نمی‌کنید آنها را غیرفعال کنید.
https را به جای http فعال کنید.
Last Account Activity را چک کنید.

لازم به تذکره که اسم های ذکر شده به احتمال ۹۹.۹۹٪ اسم حقیقی این هکر نیست بلکه فقط نام های جعلیه. این را گفتم که فرد بی‌گناه دیگری با همان اسم را متهم به انجام این دزدی نکرده باشم.