🏗️ 💤 🍂 支持是一个真正的安全漏洞。 🍑 🤡 ☢️

您遵循所有安全规则，使用唯一密码，两因素身份验证和安全计算机。认为您的帐户和个人信息现在安全吗？不行亚马逊的例子表明情况并非如此。系统中最易受攻击的链接是Amazon支持服务，该服务可以将您的个人信息提供给局外人（如果他具有社交工程技能）。马特·霍南（Matt Honan）

的悲剧尚未消除（2012年）。从字面上看，一个小时之内，该记者入侵了Amazon，GMail，Apple和Twitter帐户，远程销毁了他的iPad，iPhone和MacBook上的信息。除其他外，他失去了女儿出生时的所有照片，许多文件和大部分信件。然后，一切始于攻击者使用受害者在其网站上的Whois记录中的个人数据致电Amazon支持的事实。现在，AWS和亚马逊商店的客户开发人员Eric Springer发生了

类似的故事。同样，事实证明，亚马逊的支持是真正的安全后门。

一切始于埃里克（Eric）从支持团队收到一封相当天真的信件：“你好！多谢您与我们联络。最好的问候，Maheshvaran。

问题是Eric没有联系他们。

起初，他认为这是一个月前联系支持小组的一封晚信。

然而，好奇心盛行，他仍然向亚马逊提问，到底是怎么回事？他们回答说他刚刚和支持部门谈过。困惑的Eric发送了聊天记录。

埃里克（Eric）解释说，聊天中指示的地址不是真实的，他在注册域时只使用了一次，因此该地址存储在Whois记录中。下一个：

如您所见，在完成此类“身份确认”之后，支持人员提供了有关该命令的详细信息：命令的内容，发送给的地址，账户余额，受害者的真实家庭住址和电话号码。这已经足以发起真正的攻击。

埃里克·斯普林格（Eric Springer）感到非常生气，因为有人向左走者提供了有关他的所有信息。他联系了支持人员，并束手无策，要求将自己的帐户标记为具有社会工程风险，因此只有在系统授权后才能与他进行聊天。一名亚马逊员工表示，他们将在帐户中做一个记录，专家将单独与他联系（他从未联系过）。

几个月后，似乎一切都过去了，又来了一封信。再次相同：“谢谢您联系Amazon.com ...”。

埃里克（Eric）再次联系了一名支持员工，该员工无法理解有人在冒充他人。最后，他仍然发送了聊天记录。

黑客（或社会工程师）使用了在攻击的前一阶段收到的地址。

再说一遍。支持人员再次提供了送货地址，即受害者的真实家庭住址。

接下来，黑客试图找出信用卡的后四位数字。谢谢上帝，这没有成功，否则他将可以访问许多其他Web服务，包括Apple iCloud，就像Matt Honan一样。

埃里克（Eric）联络了卡尺，并重复了同样的口头禅，强调保持帐户安全和不向任何人透露其个人数据的重要性。他们答应为帐户加上标签，并且不会再发生这种情况，并且专家会与他联系（不会再次发生）。

根据故事的结果，埃里克·斯普林格（Eric Springer）决定不信任该公司，因此他从亚马逊帐户中完全删除了有关其地址的信息。

不久，他收到了另一封信，清楚地写了一封信，以回应先前的谈话（不是）。

这次，由于攻击者通过电话呼叫，因此无法获得聊天记录。

目前尚不清楚黑客在寻找什么，但是有一点很明确：这个家伙显然不是很有经验。如果需要，社会工程师可以使用安全系统中的主要后门（即支持服务）造成更大的伤害。

Eric Springer建议所有Amazon用户注意并为遭受此类攻击做好准备。反过来，他建议您仅在客户登录在线商店后才开始与他们聊天。如果一个人忘记了密码，可以做一个例外。

支持是一个真正的安全漏洞。

More articles: