Вы соблюдаете все правила для безопасности, используете уникальные пароли, двухфакторную аутентификацию, безопасный компьютер. Думаете, теперь ваш аккаунт и персональная информация в безопасности? Нет. Пример компании Amazon показывает, что это не так. Самое уязвимое звено в системе — это служба поддержки Amazon, которая готова выдать вашу персональную информацию постороннему человеку, если тот обладает навыками социальной инженерии.
Ещё не стёрлась из памяти трагедия Мэта Хонана (2012 год). Буквально за один час у журналиста взломали аккаунты Amazon, GMail, Apple и Twitter, дистанционно уничтожили информацию на его iPad, iPhone и MacBook. Среди прочего, он потерял все фотографии своей дочки с её рождения, многие документы и большую часть переписки. Тогда всё началось с того, что злоумышленник позвонил в службу поддержки Amazon, используя личные данные жертвы из записей Whois на его сайт.
Похожая история сейчас произошла с разработчиком Эриком Спрингером (Eric Springer), клиентом AWS и магазина Amazon. И опять поддержка Amazon проявила себя как настоящий бэкдор в системе безопасности.
Всё началось с того, что Эрик получил от службы поддержки довольно невинное письмо: «Здравствуйте! Спасибо, что обратились к нам. С наилучшими пожеланиями, Махешваран».
Проблема в том, что Эрик к ним не обращался.
Сначала он подумал, что это с опозданием пришло какое-то письмо месячной давности, когда он связывался с саппортом.
Однако любопытство взяло верх, и он всё-таки обратился в Amazon с вопросом, в чём дело? Они ответили, что он только что общался с сотрудниками отдела поддержки. Недоумённому Эрику выслали лог чата.
Эрик поясняет, что указанный в чате адрес ненастоящий, он просто использовал его когда-то при регистрации домена, так что этот адрес хранится в записях Whois. Далее:
Как видим, после такого «подтверждения личности» сотрудник поддержки выдал подробную информацию о заказе: что было заказано, на какой адрес отправлено, какой баланс счёта, настоящий домашний адрес и номер телефона жертвы. Этого уже вполне достаточно для начала настоящей атаки.
Эрик Спрингер не на шутку разозлился, что какому-то левому выдали человеку всю информацию о нём. Он связался с поддержкой и, с трудом сдерживаясь, попросил пометить его аккаунт как подверженный риску социальной инженерии, чтобы чаты с ним проводили только после авторизации в системе. Сотрудник Amazon сказал, что они сделают пометку в аккаунте, а с ним отдельно свяжется специалист (он так никогда не вышел на связь).
Через пару месяцев, когда казалось, что всё осталось в прошлом, пришло ещё одно письмо. Опять такое же: «Спасибо, что обратились в Amazon.com...».
Эрик опять связался с сотрудником службы поддержки, который никак не мог понять, что некто выдаёт себя за другого человека. В конце концов, он всё-таки выслал лог чата.
Хакер (или социальный инженер) использовал адрес, который получил на предыдущем этапе атаки.
И опять то же самое. Сотрудник поддержки снова выдал адрес доставки, то есть реальный домашний адрес жертвы.
Далее хакер пытался выведать четыре последние цифры кредитной карточки. Слава богу, безуспешно, иначе он бы получил доступ ко многим другим веб-сервисам, включая Apple iCloud, как в случае с Мэтом Хонаном.
Эрик связался с суппортом и повторил ту же мантру о важности сохранять аккаунт в безопасности и никому не выдавать его персональные данные. Они пообещали пометить аккаунт и что такое никогда не повторится, а также что с ним свяжется специалист (этого опять не произошло).
По итогам истории Эрик Спрингер решил, что компании нельзя доверять, так что вообще удалил информацию о своём адресе с аккаунта Amazon.
Вскоре он получил ещё одно письмо, явно написанное в ответ на предыдущую беседу (которой не было).
В этот раз лог чата получить не удалось, потому что злоумышленник позвонил по телефону.
Непонятно, чего добивается хакер, но ясно одно: парень явно не очень опытный. При желании социальный инженер мог бы нанести гораздо больше вреда, используя главный бэкдор в системе безопасности — службу поддержки.
Эрик Спрингер рекомендует всем пользователям Amazon соблюдать осторожность и быть готовым к подобного рода атакам. В свою очередь, интернет-магазину он рекомендует начинать чаты с клиентами только после их авторизации в системе. Исключение может быть сделано, если человек забыл пароль.
Автор: alizar