从Amazon.com捍卫自己
Amazon.com帐户的文件上的电子邮件地址应该永远不会用于其他任何地方。
有多个报告,跨越多年的攻击者将亚马逊聊天系统滥用到诈骗客户支持代表汇集您的个人信息。所有诈骗者都需要是受害者姓名和电子邮件地址。
与亚马逊开始聊天 - 没有首先登录
多年来,亚马逊在他们的程序中已经了解了这个安全漏洞,并没有任何关系。
来自Eric Springer的最新受害者帐户可从ARS Technica和Medium在线提供。
Springer没有rube。他是一个使用唯一密码的技术人员,双因素认证,并充分了解网络钓鱼攻击。哎呀,他甚至曾经为亚马逊工作。但是,他给了亚马逊他的常规电子邮件地址。那是个错误。
通过文本聊天,Springers Scammer要求亚马逊客户支持他的最新订单正在运送的地方。Amazon Rep通过询问他的名字,电子邮件地址和帐单地址来验证坏人身份。诈骗者提供了前两个以及假地址。不是完全假的,这是斯普勒生命的城市的酒店的地址。重要的是,它不是跳投的结算地址。然而,亚马逊代表将其视为身份证明。
WTF?
现在经过验证,诈骗者询问了他上次发送的地址。当然,坏人不知道斯普林克先生的命令,但这不是问题 - 亚马逊REP礼貌地询问他是否指的是Wacom平板电脑的顺序。坏人证实了这个,亚马逊代表为诈骗者提供了Springer先生的家庭住址和电话号码以及DHL跟踪器号码。
它不清楚攻击者之后的内容,但诈骗者确实说服了Springers银行发出了一份新的信用卡副本。去亚马逊的方式。
这里的安全性是可耻的。即使诈骗者提供了Springers的实际计费地址,亚马逊也需要做更多的是验证聊天用户。
也许聊天支持只能在您登录到您的帐户后使用。也许他们应该验证喋喋不休的IP地址。也许亚马逊应该在文件上使用电话号码致电人员。也许他们应该通过电子邮件或发短信进行一次性代码。也许他们应该使用电子邮件地址作为他们的用户。而且,实际验证结算地址怎么样?某物。也许是两件事。
几个月后,Springer再次瞄准。
第二次攻击,也通过文本聊天,再次与诈骗者询问亚马逊的最后订单状态,其中一个他没有数字。但是,这次攻击者知道Springers真实地址,所以他得到了相同的安全检查。如前所述,诈骗者希望Rep告诉他是蚊子陷阱的顺序的送货地址。这一次,目的是更清晰的,诈骗者是在Springers信用卡的最后四位数字之后。他没有得到它。
一天后,攻击者再次联系亚马逊,这次在手机上,所以没有成绩单。
在前两次事件之后,亚马逊表示他们会在Springers账户中“放一个注释”。也就是说,似乎是一个骗局,因为公司的两个承诺有一个“专家”回到他身边。
斯普林斯发生了什么是没有侥幸。
为了回应故事,那些评论媒体新的人可以复制亚马逊的安全失败。这位匿名人士还通过在他生存的城市中的酒店的地址而不是他的实际结算地址来通过安全检查。
此人聊天记录的屏幕镜头可用(第1部分和第2部分)。特别注意,亚马逊领导团队的Bikash在最后的评论。
骗局历史
更有证据表明,这不是斯科特·汉塞曼(Scott Hanselman)文件的非常相似的2013年事件(在亚马逊Kindle追逐一个积极的社会工程欺诈)。
在这种情况下,诈骗者们拿到了亚马逊,为一个没有破碎的Kindle发出替代品,然后试图为更换Kindle改变送货地址。这里也是,骗局在没有登录亚马逊账户的情况下遇到了Web Chat,而没有诈骗者。Hanselman写道
......这是一个社会工程黑客,而不是“密码受损”黑客。这个人报告说,“斯科特”的“Kindle被打破了并且已经要求更换,但后来试图重定向交付。客户重复说他们可以重新启动它。但是,似乎坏人试过多个支持人员,直到他们终于得到了重定向的包。......这一切都没有比我的地址和电子邮件更重要。他们能够让亚马逊客户服务接受他们没有密码或任何额外验证。
您可能会认为使用更换Kindle的新送货地址可以找到坏人。但是,美国的地址有点不寻常。Hanselman解释:
它是一家全球航运物流公司。他们地址末尾的奇怪号码是虚拟路由号码。一个有一个数字的地址允许人们在美国邮寄给他们的包裹,然后包在海外透明转发。这个数字指出了他们在东南亚一个国家的邮局所拥有的账户。他们收到了从所有人收到的包裹,巩固它们,然后在Masse上运送它们。这允许各国政府和公司(和显然是坏人)订购来自美国内部的公司的东西,然后在海外送来时将国际运费和关税支付。
它没有考虑到2012年的克里斯黑主任,找到了这一骗局的另一个帐户。在这种情况下,诈骗者欺骗了亚马逊进入重新发送他们声称从未收到过的物品。与Hanselman一样,诈骗者将红衣主教的装运传送到“物流公司”,即海外邮件。
再次,诈骗者所需的所有内容都需要伪造的亚马逊是受害者姓名,账单地址和电子邮件地址。捍卫自己
显然,亚马逊有一个问题,这意味着他们的客户有问题。
房间里的大象是亚马逊的使用电子邮件地址作为userid。由于它们是如此公众,它为攻击者做了一半的工作。克里斯黑主教,2012年受害者的建议是最好的防御。
自从仅为Amazon的目的内置的电子邮件地址下注册了My Amazon帐户以来。
也就是说,亚马逊客户应该为公司提供任何未在其他任何地方使用的电子邮件地址。
获得唯一电子邮件地址的一种方法是别名。
Springer使用FastMail,这是一个许多技术推荐的商业电子邮件提供商推荐。他们更便宜的帐户允许11个别名,加紧让你成为255个别名。我曾经使用EarthLink作为我的电子邮件提供商,他们也提供了别名,但Fastmail别名有一个额外的踢球者。
EarthLink别名仅限于同一域。也就是说,[email protected]可以别名为[email protected]或[email protected]或[email protected]。然而,FastMail拥有相当多的域名。所以[email protected]的别名不必以FastMail.com结尾。
另一种方法涉及转发。
您可以注册一个新的Gmail帐户,然后将其突出,以自动将传入的消息转发给现有帐户。
雅虎邮件不支持转发,ISP电子邮件可能会。当然,任何拥有自己域名的人都可以转发电子邮件。Outlook.com似乎支持转发,但是当我试图创建规则时,它抱怨一个收件人太多了。典型的微软。
有两个Gmail技巧可以制作唯一的电子邮件地址,我将避免使用亚马逊。
第一个涉及增加期间。Gmail处理[email protected]与[email protected]相同,因此您可以使用额外的嵌入式期间或两个常规Gmail帐户提供亚马逊。但是,如果亚马逊代表忽略了计费地址,则它们可能也会忽略电子邮件地址中的时期。
出于同样的原因,我不会打扰使用加号以创建唯一的Gmail帐户。它激烈地让我更安全,让亚马逊像[email protected],而不是michael [email protected]。
登录Amazon.com时额外的安全性
具有讽刺意味的是,正如我写这一点,我去改变我的妻子的亚马逊账户到一个全新的新鲜薄型的电子邮件地址。使用当前的电子邮件地址和密码登录后,亚马逊想要更多的身份证明,如上所示。
也许我应该使用Web聊天。