Ένας επιτιθέμενος χρησιμοποίησε τεχνικές «social engineering» για να ξεγελάσει την εξυπηρέτηση πελατών του Amazon ώστε να αποκαλύψει προσωπικά στοιχεία ενός χρήστη.

Ο Eric Springer, χρήστης του Amazon και θύμα, περιγράφει την ιστορία…

 

του στο ιστολόγιο Medium. Όλα ξεκίνησαν με ένα ευχαριστήριο mail από την εξυπηρέτηση πελατών της εταιρείας. Ο Eric είναι ένας Αυστραλός προγραμματιστής ο οποίος εργαζόταν στο Amazon ως μηχανικός ανάπτυξης λογισμικού. Έφυγε πριν από μερικά χρόνια και εργάστηκε σε πολλά έργα Bitcoin, ένα από τα οποία πούλησε.

Παρά το γεγονός ότι ο Eric περιγράφει τον εαυτό του ως πολύ προσεκτικό σε θέματα ασφαλείας, αφού ήρθε σε επαφή με την εξυπηρέτηση πελατών της Amazon, ανακάλυψε ότι κάποιος που ισχυριζόταν ήταν αυτός, είχε επικοινωνήσει με έναν εκπρόσωπο της δημοφιλούς εταιρείας ηλεκτρονικού εμπορίου και τους ξεγέλασε να αποκαλύψουν την πραγματική διεύθυνση αποστολής και το τηλέφωνό του. Ήταν επίσης σε θέση να ανακτήσει ένα αρχείο καταγραφής συνομιλίας μεταξύ κάποιου που ισχυρίζεται ότι είναι αυτός και ένας υπάλληλος.

Ο επιτιθέμενος πέτυχε, δίνοντας στον εκπρόσωπο μια ψεύτικη διεύθυνση: αυτή ενός κοντινού ξενοδοχείου που ο Eric είχε χρησιμοποιήσει για να δημιουργήσει ορισμένα domains, γνωρίζοντας ότι οι πληροφορίες Whois τελικά θα γίνουν δημόσιες. Στη συνέχεια μπόρεσε εύκολα να πάρει την πραγματική διεύθυνση και τον αριθμό τηλεφώνου του Eric, καθώς και το υπόλοιπο των καρτών του.

Παρά το γεγονός ότι ζήτησε από την εξυπηρέτηση πελατών να μην παρέχει τις προσωπικές του πληροφορίες, ο Eric έλαβε ένα άλλο email από το Amazon λίγους μήνες αργότερα ότι ένα ακόμα περιστατικό είχε λάβει χώρα. Ο επιτιθέμενος είχε δοκιμάσει άλλη μια επίθεση.

Ο Eric Springer δεν είναι ευχαριστημένος, κυρίως γιατί πιστεύει ότι το Amazon άφησε έναν επικίνδυνο άγνωστο να μπει στο λογαριασμό του. Σε ένα blog στο Μedium, o Springer αποκάλυψε ότι ήταν το θύμα ενός «social engineering» hack που εξέθεσε πληροφορίες του σε ένα άγνωστο άτομο. Με μόνο μια γενική ιδέα για την τοποθεσία του Springer και τη διεύθυνση ηλεκτρονικού ταχυδρομείου του, ο επιτιθέμενος ξεγέλασε την εξυπηρέτηση πελατών και του φανέρωσε σχεδόν όλες τις προσωπικές του πληροφορίες. Δυστυχώς, ο εισβολέας επανεμφανίστηκε, ήρθε σε επαφή με το Amazon μέσω τηλεφώνου.

Το περιστατικό αυτό έχει ήδη κυκλοφορήσει στο διαδίκτυο, συμπεριλαμβανομένου του Reddit, όπου πρώην υπάλληλοι στην εξυπηρέτηση πελατών (όχι από το Amazon) έχουν περιγράψει την social engineering εκπαίδευση που έλαβαν και εξέφρασαν την απογοήτευσή τους για την αποτυχία του Amazon να παρέχει την ίδια εκπαίδευση.

Πηγή: SecNews