Le support est un véritable trou de sécurité.

Vous suivez toutes les règles de sécurité, utilisez des mots de passe uniques, une authentification à deux facteurs, un ordinateur sécurisé. Vous pensez que votre compte et vos informations personnelles sont désormais en sécurité? Non. L'exemple d'Amazon montre que ce n'est pas le cas. Le lien le plus vulnérable du système est le service d'assistance d'Amazon, qui est prêt à communiquer vos informations personnelles à un étranger, s'il a les compétences d'ingénierie sociale.

La tragédie de Matt Honan n'a pas encore été effacée(2012 ans). En seulement une heure, le journaliste a piraté des comptes Amazon, GMail, Apple et Twitter, détruit à distance des informations sur son iPad, iPhone et MacBook. Entre autres choses, il a perdu toutes les photos de sa fille de sa naissance, de nombreux documents et la plupart de la correspondance. Ensuite, tout a commencé avec le fait que l'attaquant a appelé le support d'Amazon en utilisant les données personnelles de la victime à partir des enregistrements Whois sur son site Web.

Une histoire similaire s'est maintenant produite avec le développeur Eric Springer, un client de la boutique AWS et Amazon. Et encore une fois, le support d'Amazon s'est avéré être une véritable porte dérobée de sécurité.

Tout a commencé avec le fait qu'Eric a reçu une lettre plutôt innocente de l'équipe de support: «Bonjour! Merci de nous avoir contacté. Cordialement, Maheshvaran. "

Le problème est qu'Eric ne les a pas contactés.



Au début, il pensait que c'était une lettre tardive il y a un mois quand il a contacté le support.

Cependant, la curiosité a prévalu et il s'est toujours tourné vers Amazon avec une question, quel était le problème? Ils ont répondu qu'il venait de parler avec le service d'assistance. Perplexe, Eric a envoyé un journal de discussion.



Eric explique que l'adresse indiquée dans le chat n'est pas réelle, il ne l'a utilisée qu'une seule fois lors de l'enregistrement d'un domaine, donc cette adresse est stockée dans des enregistrements Whois. Suivant:



Comme vous pouvez le constater, après une telle «confirmation d'identité», l'officier de soutien a donné des informations détaillées sur la commande: ce qui a été commandé, à quelle adresse elle a été envoyée, quel solde de compte, adresse réelle du domicile et numéro de téléphone de la victime. C'est déjà suffisant pour lancer une véritable attaque.

Eric Springer était sérieusement en colère contre le fait qu'une partie ait reçu toutes les informations à son sujet. Il a contacté le support et, avec difficulté à se retenir, a demandé de marquer son compte comme étant à risque d'ingénierie sociale, afin que les conversations ne soient effectuées avec lui qu'après autorisation dans le système. Un employé d'Amazon a déclaré qu'il ferait une note dans le compte et qu'un spécialiste le contacterait séparément (il n'a jamais pris contact).

Après quelques mois, alors que tout semblait aller dans le passé, une autre lettre est arrivée. Encore la même chose: "Merci d'avoir contacté Amazon.com ...".



Eric a de nouveau contacté un employé de soutien qui ne pouvait pas comprendre que quelqu'un se faisait passer pour une autre personne. À la fin, il a quand même envoyé le journal de discussion.



Le pirate (ou ingénieur social) a utilisé l'adresse qu'il avait reçue au stade précédent de l'attaque.



Et encore la même chose. L’agent de soutien a de nouveau fourni l’adresse de livraison, c’est-à-dire la véritable adresse du domicile de la victime.

Ensuite, le pirate a essayé de comprendre les quatre derniers chiffres de la carte de crédit. Dieu merci, cela n'a pas réussi, sinon il aurait pu accéder à de nombreux autres services Web, dont Apple iCloud, comme c'est le cas avec Matt Honan.



Eric a contacté l'étrier et a répété le même mantra sur l'importance de garder votre compte en sécurité et de ne divulguer aucune information personnelle à quiconque. Ils ont promis d'étiqueter le compte et que cela ne se reproduira plus jamais, et qu'un spécialiste le contactera (cela ne s'est pas reproduit).

Sur la base des résultats de l'histoire, Eric Springer a décidé que la société ne devait pas faire confiance, il a donc complètement supprimé les informations sur son adresse du compte Amazon.

Bientôt, il a reçu une autre lettre, clairement écrite en réponse à une conversation précédente (qui ne l'était pas).



Cette fois, le journal de discussion n'a pas pu être obtenu car l'attaquant a appelé par téléphone.

Ce n'est pas clair ce que le pirate recherche, mais une chose est claire: le gars n'est clairement pas très expérimenté. Si vous le souhaitez, l'ingénieur social pourrait faire beaucoup plus de mal en utilisant la porte dérobée principale du système de sécurité - le service d'assistance.

Eric Springer recommande à tous les utilisateurs d'Amazon d'être prudents et préparés à ce type d'attaques. À son tour, il vous recommande de commencer à discuter avec les clients uniquement après leur connexion à la boutique en ligne. Une exception peut être faite si une personne a oublié le mot de passe.

Source: https://habr.com/ru/post/fr389453/