Вы соблюдаете все правила для безопасности, используете уникальные пароли, двухфакторную аутентификацию, безопасный компьютер. Думаете, теперь ваш аккаунт и персональная информация в безопасности? Нет. Пример компании Amazon показывает, что это не так. Самое уязвимое звено в системе — это служба поддержки Amazon, которая готова выдать вашу персональную информацию постороннему человеку, если тот обладает навыками социальной инженерии.

Ещё не стёрлась из памяти трагедия Мэта Хонана (2012 год). Буквально за один час у журналиста взломали аккаунты Amazon, GMail, Apple и Twitter, дистанционно уничтожили информацию на его iPad, iPhone и MacBook. Среди прочего, он потерял все фотографии своей дочки с её рождения, многие документы и большую часть переписки. Тогда всё началось с того, что злоумышленник позвонил в службу поддержки Amazon, используя личные данные жертвы из записей Whois на его сайт.

Похожая история сейчас произошла с разработчиком Эриком Спрингером (Eric Springer), клиентом AWS и магазина Amazon. И опять поддержка Amazon проявила себя как настоящий бэкдор в системе безопасности.

Всё началось с того, что Эрик получил от службы поддержки довольно невинное письмо: «Здравствуйте! Спасибо, что обратились к нам. С наилучшими пожеланиями, Махешваран».

Проблема в том, что Эрик к ним не обращался.



Сначала он подумал, что это с опозданием пришло какое-то письмо месячной давности, когда он связывался с саппортом.

Однако любопытство взяло верх, и он всё-таки обратился в Amazon с вопросом, в чём дело? Они ответили, что он только что общался с сотрудниками отдела поддержки. Недоумённому Эрику выслали лог чата.



Эрик поясняет, что указанный в чате адрес ненастоящий, он просто использовал его когда-то при регистрации домена, так что этот адрес хранится в записях Whois. Далее:



Как видим, после такого «подтверждения личности» сотрудник поддержки выдал подробную информацию о заказе: что было заказано, на какой адрес отправлено, какой баланс счёта, настоящий домашний адрес и номер телефона жертвы. Этого уже вполне достаточно для начала настоящей атаки.

Эрик Спрингер не на шутку разозлился, что какому-то левому выдали человеку всю информацию о нём. Он связался с поддержкой и, с трудом сдерживаясь, попросил пометить его аккаунт как подверженный риску социальной инженерии, чтобы чаты с ним проводили только после авторизации в системе. Сотрудник Amazon сказал, что они сделают пометку в аккаунте, а с ним отдельно свяжется специалист (он так никогда не вышел на связь).

Через пару месяцев, когда казалось, что всё осталось в прошлом, пришло ещё одно письмо. Опять такое же: «Спасибо, что обратились в Amazon.com...».



Эрик опять связался с сотрудником службы поддержки, который никак не мог понять, что некто выдаёт себя за другого человека. В конце концов, он всё-таки выслал лог чата.



Хакер (или социальный инженер) использовал адрес, который получил на предыдущем этапе атаки.



И опять то же самое. Сотрудник поддержки снова выдал адрес доставки, то есть реальный домашний адрес жертвы.

Далее хакер пытался выведать четыре последние цифры кредитной карточки. Слава богу, безуспешно, иначе он бы получил доступ ко многим другим веб-сервисам, включая Apple iCloud, как в случае с Мэтом Хонаном.



Эрик связался с суппортом и повторил ту же мантру о важности сохранять аккаунт в безопасности и никому не выдавать его персональные данные. Они пообещали пометить аккаунт и что такое никогда не повторится, а также что с ним свяжется специалист (этого опять не произошло).

По итогам истории Эрик Спрингер решил, что компании нельзя доверять, так что вообще удалил информацию о своём адресе с аккаунта Amazon.

Вскоре он получил ещё одно письмо, явно написанное в ответ на предыдущую беседу (которой не было).



В этот раз лог чата получить не удалось, потому что злоумышленник позвонил по телефону.

Непонятно, чего добивается хакер, но ясно одно: парень явно не очень опытный. При желании социальный инженер мог бы нанести гораздо больше вреда, используя главный бэкдор в системе безопасности — службу поддержки.

Эрик Спрингер рекомендует всем пользователям Amazon соблюдать осторожность и быть готовым к подобного рода атакам. В свою очередь, интернет-магазину он рекомендует начинать чаты с клиентами только после их авторизации в системе. Исключение может быть сделано, если человек забыл пароль.

Комментарии (7)


  1. Rumlin
    25.01.2016 11:49
    +3

    В прошлом году была публикация в иностранной прессе (думаю можно нагуглить при желании ) — аккаунт Sony Playstation угоняли через службу поддержки Sony в течении часа. Пользователь восстанавливал долго и сложно — с перепиской, с отсылкой сканкопий, звонками и долгим висением на линии, и когда ему восстанавливают аккаунт — снова за час угон. В результате пользователь сообщил прессе о бардаке с организацией техподдержки Sony.


    1. Kabrich
      26.01.2016 10:34
      +1

      Я почти год получал на свою почту письма об успешно пополнении баланса и покупке игр другого человека. Писал в суппорт, но ответа не дождался.


      1. Rumlin
        26.01.2016 10:43

        info@sony.ru — это черная дыра, в которую техподдержка Sony посылает во всех непонятных случаях. В ответ пришлют, какое-то бла-бла про то как им дорого Ваше внимание.


  1. cyber_genius
    25.01.2016 15:58
    +2

    Какой он терпиливый человек однако, я бы на его месте после первого же случая разглашения личных данных обратился к шерифу и подал в суд, ну и реально нужно было бы сразу поменять аккаунт


  1. zagayevskiy
    25.01.2016 16:26
    +2

    Исключение может быть сделано, если человек забыл пароль.
    Эээ… То есть злоумышленник может делать всё то же самое, только ему надо сказать, что он пароль забыл?


    1. J_o_k_e_R
      25.01.2016 18:21
      +1

      Нет, очевидно. В случае, если клиент обращается с забытым паролем, саппорт в чате ему ничего не выдает, но скидывает пароль, на указанные ранее в профиле контакты, и только при условии верификации клиента по другим данным.

      Все остальное только после авторизации.


      1. zagayevskiy
        26.01.2016 14:20

        Зачем для этого саппорт, разве формы восстановления пароля недостаточно?