O suporte é uma verdadeira falha de segurança.

Você segue todas as regras de segurança, usa senhas exclusivas, autenticação de dois fatores, um computador seguro. Acha que sua conta e suas informações pessoais estão seguras agora? Não. O exemplo da Amazon mostra que esse não é o caso. O link mais vulnerável do sistema é o serviço de suporte da Amazon, que está pronto para fornecer suas informações pessoais a terceiros, se ele tiver as habilidades de engenharia social.

A tragédia de Matt Honan ainda não foi apagada(Ano de 2012). Literalmente em uma hora, o jornalista invadiu as contas Amazon, GMail, Apple e Twitter, destruindo remotamente as informações em seu iPad, iPhone e MacBook. Entre outras coisas, ele perdeu todas as fotografias de sua filha desde o nascimento, muitos documentos e a maior parte da correspondência. Tudo começou com o fato de o invasor ligar para o suporte da Amazon usando os dados pessoais da vítima dos registros Whois em seu site.

Uma história semelhante aconteceu agora com o desenvolvedor Eric Springer, cliente da AWS e da Amazon. E, novamente, o suporte da Amazon provou ser um verdadeiro backdoor de segurança.

Tudo começou com o fato de Eric ter recebido uma carta bastante inocente da equipe de suporte: “Olá! Obrigado por nos contactar. Atenciosamente, Maheshvaran. "

O problema é que Eric não os contatou.



A princípio, ele achou que era uma carta atrasada de um mês atrás, quando entrou em contato com o suporte.

No entanto, a curiosidade prevaleceu e ele ainda se voltou para a Amazon com uma pergunta: qual era o problema? Eles responderam que ele acabara de conversar com o departamento de suporte. Eric perplexo enviou um registro de bate-papo.



Eric explica que o endereço indicado no bate-papo não é real, ele apenas o usou uma vez ao registrar um domínio, portanto esse endereço é armazenado nos registros Whois. Seguinte:



Como você pode ver, após essa “confirmação de identidade”, o oficial de suporte forneceu informações detalhadas sobre o pedido: o que foi pedido, para que endereço foi enviado, qual saldo da conta, endereço residencial real e número de telefone da vítima. Isso já é suficiente para iniciar um ataque real.

Eric Springer ficou seriamente zangado com o fato de alguns terem recebido uma informação sobre uma pessoa. Ele entrou em contato com o suporte e, com dificuldade em se controlar, pediu para marcar sua conta como em risco de engenharia social, para que as conversas fossem realizadas somente com ele após a autorização no sistema. Um funcionário da Amazon disse que fará uma anotação na conta e um especialista entrará em contato com ele separadamente (ele nunca entrou em contato).

Depois de alguns meses, quando tudo parecia estar no passado, outra carta chegou. Mais uma vez o mesmo: "Obrigado por entrar em contato com a Amazon.com ...".



Eric novamente contatou um funcionário de suporte que não conseguia entender que alguém estava se passando por outra pessoa. No final, ele ainda enviou o registro de bate-papo.



O hacker (ou engenheiro social) usou o endereço que recebeu no estágio anterior do ataque.



E novamente a mesma coisa. O oficial de suporte novamente forneceu o endereço de entrega, ou seja, o endereço residencial real da vítima.

Em seguida, o hacker tentou descobrir os quatro últimos dígitos do cartão de crédito. Graças a Deus, não teve êxito; caso contrário, ele teria acesso a muitos outros serviços da web, incluindo o Apple iCloud, como é o caso de Matt Honan.



Eric entrou em contato com o paquímetro e repetiu o mesmo mantra sobre a importância de manter sua conta segura e não fornecer nenhuma informação pessoal a ninguém. Eles prometeram marcar a conta e isso nunca mais acontecerá e que um especialista entrará em contato com ele (isso não aconteceu novamente).

Com base nos resultados da história, Eric Springer decidiu que a empresa não deveria ser confiável; portanto, ele excluiu completamente as informações sobre seu endereço da conta da Amazon.

Logo ele recebeu outra carta, claramente escrita em resposta a uma conversa anterior (que não era).



Desta vez, o log de bate-papo não pôde ser obtido porque o invasor ligou por telefone.

Não está claro o que o hacker está procurando, mas uma coisa é clara: o cara claramente não é muito experiente. Se desejado, o engenheiro social pode causar muito mais dano ao usar o backdoor principal no sistema de segurança - o serviço de suporte.

Eric Springer recomenda que todos os usuários da Amazon sejam cuidadosos e estejam preparados para esses tipos de ataques. Por sua vez, ele recomenda que você comece a conversar com os clientes somente depois que eles fizerem login na loja online. Uma exceção pode ser feita se uma pessoa esqueceu a senha.

Source: https://habr.com/ru/post/pt389453/