Support ist eine echte Sicherheitslücke.

Sie befolgen alle Sicherheitsregeln, verwenden eindeutige Kennwörter, eine Zwei-Faktor-Authentifizierung und einen sicheren Computer. Denken Sie, dass Ihr Konto und Ihre persönlichen Daten jetzt sicher sind? Nein. Das Beispiel von Amazon zeigt, dass dies nicht der Fall ist. Der am stärksten gefährdete Link im System ist der Amazon-Supportdienst, der bereit ist, Ihre persönlichen Daten an einen Außenstehenden weiterzugeben, wenn dieser über die Fähigkeiten des Social Engineering verfügt.

Die Tragödie von Matt Honan wurde noch nicht gelöscht(2012 Jahr). In nur einer Stunde hackte der Journalist Amazon-, GMail-, Apple- und Twitter-Konten und zerstörte Informationen auf seinem iPad, iPhone und MacBook aus der Ferne. Unter anderem verlor er alle Fotos seiner Tochter von Geburt an, viele Dokumente und den größten Teil der Korrespondenz. Alles begann damit, dass der Angreifer den Amazon-Support anrief und dabei die persönlichen Daten des Opfers aus Whois-Aufzeichnungen auf seiner Website verwendete.

Eine ähnliche Geschichte ereignete sich jetzt mit dem Entwickler Eric Springer, einem Kunden von AWS und Amazon. Auch hier hat sich der Support von Amazon als echte Sicherheits-Hintertür erwiesen.

Alles begann damit, dass Eric vom Support-Team einen ziemlich unschuldigen Brief erhielt: „Hallo! Vielen Dank für Ihre Kontaktaufnahme. Viele Grüße, Maheshvaran. "

Das Problem ist, dass Eric sie nicht kontaktiert hat.



Zuerst dachte er, es sei ein später Brief vor einem Monat, als er sich an den Support wandte.

Es herrschte jedoch Neugierde, und er wandte sich immer noch mit der Frage an Amazon, was los war. Sie antworteten, dass er gerade mit der Supportabteilung gesprochen habe. Verwirrt schickte Eric ein Chat-Protokoll.



Eric erklärt, dass die im Chat angegebene Adresse nicht echt ist. Er hat sie nur einmal bei der Registrierung einer Domain verwendet, sodass diese Adresse in Whois-Datensätzen gespeichert wird. Weiter:



Wie Sie sehen können, gab der Support-Mitarbeiter nach einer solchen „Identitätsbestätigung“ detaillierte Informationen über die Bestellung heraus: Was wurde bestellt, an welche Adresse wurde gesendet, welcher Kontostand, die tatsächliche Privatadresse und die Telefonnummer des Opfers. Dies reicht bereits aus, um einen echten Angriff zu starten.

Eric Springer war ernsthaft wütend, dass einige Linke einer Person alle Informationen über ihn gegeben hatten. Er wandte sich an den Support und bat ihn, sein Konto als sozial Social Engineering-gefährdet zu kennzeichnen, damit Chats erst nach Genehmigung im System mit ihm durchgeführt werden konnten. Ein Amazon-Mitarbeiter sagte, dass er eine Notiz auf dem Konto machen wird, und ein Spezialist wird ihn separat kontaktieren (er hat sich nie gemeldet).

Nach ein paar Monaten, als alles in der Vergangenheit zu sein schien, kam ein weiterer Brief. Nochmals das gleiche: "Vielen Dank, dass Sie sich an Amazon.com gewandt haben ...".



Eric kontaktierte erneut einen Support-Mitarbeiter, der nicht verstehen konnte, dass sich jemand als eine andere Person ausgab. Am Ende schickte er immer noch das Chat-Protokoll.



Der Hacker (oder Social Engineer) verwendete die Adresse, die er in der vorherigen Phase des Angriffs erhalten hatte.



Und wieder das Gleiche. Der Support-Mitarbeiter gab erneut die Lieferadresse an, dh die tatsächliche Privatadresse des Opfers.

Als nächstes versuchte der Hacker, die letzten vier Ziffern der Kreditkarte herauszufinden. Gott sei Dank war es erfolglos, sonst hätte er Zugang zu vielen anderen Webdiensten erhalten, einschließlich Apple iCloud, wie es bei Matt Honan der Fall ist.



Eric kontaktierte den Bremssattel und wiederholte das gleiche Mantra über die Wichtigkeit, Ihr Konto sicher zu halten und keine persönlichen Informationen an Dritte weiterzugeben. Sie versprachen, das Konto zu markieren und dass dies nie wieder passieren wird und dass ein Spezialist ihn kontaktieren wird (dies geschah nicht noch einmal).

Basierend auf den Ergebnissen der Geschichte entschied Eric Springer, dass dem Unternehmen nicht vertraut werden sollte, und löschte daher Informationen über seine Adresse vollständig aus dem Amazon-Konto.

Bald erhielt er einen weiteren Brief, der eindeutig als Antwort auf ein vorheriges Gespräch geschrieben war (was nicht der Fall war).



Dieses Mal konnte das Chat-Protokoll nicht abgerufen werden, da der Angreifer telefonisch angerufen hat.

Es ist nicht klar, was der Hacker sucht, aber eines ist klar: Der Typ ist eindeutig nicht sehr erfahren. Auf Wunsch kann der Social Engineer über die Haupt-Hintertür des Sicherheitssystems - den Support-Service - viel mehr Schaden anrichten.

Eric Springer empfiehlt allen Amazon-Nutzern, vorsichtig zu sein und auf diese Art von Angriffen vorbereitet zu sein. Im Gegenzug empfiehlt er, dass Sie erst mit Kunden chatten, nachdem diese sich im Online-Shop angemeldet haben. Eine Ausnahme kann gemacht werden, wenn eine Person das Passwort vergessen hat.

Source: https://habr.com/ru/post/de389453/