Вы соблюдаете все правила безопасности, используете уникальные пароли, двухфакторную аутентификацию и защищенный компьютер.
Думаете ли вы, что ваша учетная запись и личная информация теперь в безопасности? Нет. Пример Amazon показывает, что это не так.
Самым уязвимым звеном в системе является служба поддержки Amazon, которая готова выдать вашу личную информацию постороннему лицу, если он обладает навыками социальной инженерии.
Еще не исчез из моей памяти трагедия Мэтта Хонана (2012 год).
Всего за час аккаунты журналиста в Amazon, GMail, Apple и Twitter были взломаны, а информация на его iPad, iPhone и MacBook удаленно уничтожена.
Помимо прочего, он потерял все фотографии дочери с ее рождения, множество документов и большую часть переписки.
Затем все началось с того, что злоумышленник позвонил в службу поддержки Amazon, используя личную информацию жертвы из записей Whois на его сайте.
Похожая история Теперь случилось с разработчиком Эриком Спрингером, клиентом AWS и магазина Amazon. В очередной раз поддержка Amazon оказалась настоящим лазейкой в системе безопасности.
Все началось с того, что Рик получил довольно невинное письмо от службы поддержки: «Привет! Благодарим Вас за обращение к нам.
С наилучшими пожеланиями, Махешваран».
Проблема в том, что Рик не связался с ними.
Сначала он подумал, что какое-то письмо пришло с опозданием месяц назад, когда обратился в поддержку.
Однако любопытство взяло над ним верх, и он наконец связался с Amazon и спросил, в чем дело? Они ответили, что он только что разговаривал со службой поддержки.
Журнал чата был отправлен озадаченному Рику.
Рик объясняет, что адрес, указанный в чате, ненастоящий, он просто использовал его один раз при регистрации домена, поэтому этот адрес хранится в записях Whois. Дальше: 
Как мы видим, после такого «подтверждения личности» сотрудник службы поддержки предоставил подробную информацию о заказе: что было заказано, на какой адрес отправлено, каков баланс счета, реальный домашний адрес и номер телефона жертвы.
Этого уже вполне достаточно для начала настоящей атаки.
Рик Спрингер серьезно разозлился, что какому-то леваку выдали всю информацию о нем человеку.
Он обратился в службу поддержки и, с трудом сдерживая себя, попросил пометить его аккаунт как подверженный риску социальной инженерии, чтобы чаты с ним осуществлялись только после авторизации в системе.
Сотрудник Amazon сказал, что они сделают пометку в аккаунте и с ним отдельно свяжется специалист (на связь он так и не вышел).
Через пару месяцев, когда казалось, что все в прошлом, пришло еще одно письмо.
Опять то же самое: «Спасибо, что обратились к Amazon.com…».
«Рик снова связался с сотрудником службы поддержки, который не мог понять, что кто-то выдает себя за другого человека.
В конце концов он все же прислал лог чата.
Хакер (или социальный инженер) использовал адрес, который он получил на предыдущем этапе атаки.
И снова то же самое.
Сотрудник службы поддержки снова назвал адрес доставки, то есть настоящий домашний адрес пострадавшего.
Далее хакер попытался узнать последние четыре цифры кредитной карты.
Слава богу, это не удалось, иначе он получил бы доступ ко многим другим веб-сервисам, включая Apple iCloud, как в случае с Мэттом Хонаном.
Рик связался со службой поддержки и повторил ту же мантру о важности обеспечения безопасности учетной записи и неразглашения никому своей личной информации.
Обещали пометить аккаунт и что такого больше никогда не повторится, и что с ним свяжется специалист (этого опять не произошло).
В результате этой истории Рик Спрингер решил, что компании нельзя доверять, поэтому полностью удалил информацию об адресе из своей учетной записи Amazon. Вскоре он получил еще одно письмо, явно написанное в ответ на предыдущий разговор (которого не произошло).
На этот раз журнал чата получить не удалось, поскольку злоумышленник звонил по телефону.
Непонятно, чего пытается добиться хакер, но ясно одно: парень явно не очень опытен.
При желании социальный инженер мог бы нанести гораздо больше вреда, воспользовавшись главным бэкдором безопасности — справочной службой.
Рик Спрингер советует всем пользователям Amazon быть осторожными и быть готовыми к такого рода атакам.
В свою очередь он рекомендует интернет-магазину начинать общение с покупателями только после того, как они авторизовались в системе.
Исключение может быть сделано, если человек забыл пароль.
Теги: #amazon #социальная инженерия #взлом #whois #управление электронной коммерцией
-
Google Street View Идет На Спад
19 Oct, 24 -
Одноклассники.инфо
19 Oct, 24 -
Перчатки Для Любителей Зимних Видов Спорта.
19 Oct, 24 -
(Видео) Презентация Hp Helion
19 Oct, 24
