从Amazon.com捍卫自己 第一眼:一个创业公司的目标是改变VR的未来 欧洲委员会通过2020年通过2020年认可英国宽带计划 思科英国和爱尔兰首席执行官Phil Smith在22年后下滑 闪亮的! iPad Air 3和iPhone 5se - Apple展示了3月的IDE 新加坡准备好了付费式平台吗? 微软Azure继续开放源事爱情 圣战者的数字工具揭示了 为什么防御部刚开始部署Windows 10 CIO享有更大的业务影响力,寻找调查 Brexit:CIO战略之后货币和市场动荡 OpenReach宣布中小企业FTTP服务推出 Google文档,表格和幻灯片获得更好的移动评论 HPE为Cloud28 + Marketplace添加了对Microsoft,VMware和Docker的支持 高通公司希望逐步进入服务器市场的方法 消费者正在购买数百万和数百万可穿戴设备 边缘数据中心被誉为IoT时代的延迟问题的答案 机器人的睡前故事可以教他们成为人类 学习发现,健身追踪器正在泄露大量数据 LG的G5智能手机有“始终”的能力 报告显示,4.5岁以上,超过2,000名警察数据泄露 Windows PC和Androids的最佳防病毒应用程序 Datentre Operators警告公共云威胁到长期的共同位置成功 Vue Entertainment使用Rackspace来管理Blockbuster电影票的在线需求 AWS Clouches云处理科罗拉多执法机构 家庭办公室合并IT单位 这家好莱坞医院没有备份其数据?“赎金软件”邪恶黑客的发薪日 不!Facebook Messenger广告?垃圾邮件 - valanche 3 ...2...1... 爆炸物联网攻击表面不是对业务的直接威胁 Facebook旨在将开放的计算模型扩展到电信齿轮 IBM PCM Leap打开了新的企业存储层 Carnegie Mellon项目旨在'逆向工程师'大脑 FSB说,带有网络犯罪行程的小企业 美国调查丰田,BMW,大众专利侵权行为 大多数企业今年提高云使用的企业 沙特黑客索赔马克扎克伯格的社交媒体账户 美国监管机构即将来临,以观察谷歌计算机可以符合汽车司机的资格 中东CIO采访:V. Chandrasekar,Standard Chattered 季度报告季节展示了技术世界如何从根本上变化 Wrightington,Wigan和Leigh NHS Trust与Allscripts EPR一起生活 英特尔的Itanium以HPE为与芯片的新服务器致电 对智能手机的兴趣是平缓的 大学向英国医学研究人员提供免费云服务 CityFibre和Gigaclear合作伙伴关闭农村宽带差距 手臂现在跳过调制解调器,即使它们在移动中很大 人类错误导致更具数据丢失而不是恶意攻击 看,思科:主要电台加入Facebook的开放硬件推动 避免在南澳大利亚的天主教学校安全噩梦 表面书的最新补丁,表面专业4可以实际上工作 您的公司是否需要一名主要数据官?
您的位置:首页 >数据库 >

从Amazon.com捍卫自己

Amazon.com帐户的文件上的电子邮件地址应该永远不会用于其他任何地方。

有多个报告,跨越多年的攻击者将亚马逊聊天系统滥用到诈骗客户支持代表汇集您的个人信息。所有诈骗者都需要是受害者姓名和电子邮件地址。

与亚马逊开始聊天 - 没有首先登录

多年来,亚马逊在他们的程序中已经了解了这个安全漏洞,并没有任何关系。

来自Eric Springer的最新受害者帐户可从ARS Technica和Medium在线提供。

Springer没有rube。他是一个使用唯一密码的技术人员,双因素认证,并充分了解网络钓鱼攻击。哎呀,他甚至曾经为亚马逊工作。但是,他给了亚马逊他的常规电子邮件地址。那是个错误。

通过文本聊天,Springers Scammer要求亚马逊客户支持他的最新订单正在运送的地方。Amazon Rep通过询问他的名字,电子邮件地址和帐单地址来验证坏人身份。诈骗者提供了前两个以及假地址。不是完全假的,这是斯普勒生命的城市的酒店的地址。重要的是,它不是跳投的结算地址。然而,亚马逊代表将其视为身份证明。

WTF?

现在经过验证,诈骗者询问了他上次发送的地址。当然,坏人不知道斯普林克先生的命令,但这不是问题 - 亚马逊REP礼貌地询问他是否指的是Wacom平板电脑的顺序。坏人证实了这个,亚马逊代表为诈骗者提供了Springer先生的家庭住址和电话号码以及DHL跟踪器号码。

它不清楚攻击者之后的内容,但诈骗者确实说服了Springers银行发出了一份新的信用卡副本。去亚马逊的方式。

这里的安全性是可耻的。即使诈骗者提供了Springers的实际计费地址,亚马逊也需要做更多的是验证聊天用户。

也许聊天支持只能在您登录到您的帐户后使用。也许他们应该验证喋喋不休的IP地址。也许亚马逊应该在文件上使用电话号码致电人员。也许他们应该通过电子邮件或发短信进行一次性代码。也许他们应该使用电子邮件地址作为他们的用户。而且,实际验证结算地址怎么样?某物。也许是两件事。

几个月后,Springer再次瞄准。

第二次攻击,也通过文本聊天,再次与诈骗者询问亚马逊的最后订单状态,其中一个他没有数字。但是,这次攻击者知道Springers真实地址,所以他得到了相同的安全检查。如前所述,诈骗者希望Rep告诉他是蚊子陷阱的顺序的送货地址。这一次,目的是更清晰的,诈骗者是在Springers信用卡的最后四位数字之后。他没有得到它。

一天后,攻击者再次联系亚马逊,这次在手机上,所以没有成绩单。

在前两次事件之后,亚马逊表示他们会在Springers账户中“放一个注释”。也就是说,似乎是一个骗局,因为公司的两个承诺有一个“专家”回到他身边。

斯普林斯发生了什么是没有侥幸。

为了回应故事,那些评论媒体新的人可以复制亚马逊的安全失败。这位匿名人士还通过在他生存的城市中的酒店的地址而不是他的实际结算地址来通过安全检查。

此人聊天记录的屏幕镜头可用(第1部分和第2部分)。特别注意,亚马逊领导团队的Bikash在最后的评论。

骗局历史

更有证据表明,这不是斯科特·汉塞曼(Scott Hanselman)文件的非常相似的2013年事件(在亚马逊Kindle追逐一个积极的社会工程欺诈)。

在这种情况下,诈骗者们拿到了亚马逊,为一个没有破碎的Kindle发出替代品,然后试图为更换Kindle改变送货地址。这里也是,骗局在没有登录亚马逊账户的情况下遇到了Web Chat,而没有诈骗者。Hanselman写道

......这是一个社会工程黑客,而不是“密码受损”黑客。这个人报告说,“斯科特”的“Kindle被打破了并且已经要求更换,但后来试图重定向交付。客户重复说他们可以重新启动它。但是,似乎坏人试过多个支持人员,直到他们终于得到了重定向的包。......这一切都没有比我的地址和电子邮件更重要。他们能够让亚马逊客户服务接受他们没有密码或任何额外验证。

您可能会认为使用更换Kindle的新送货地址可以找到坏人。但是,美国的地址有点不寻常。Hanselman解释:

它是一家全球航运物流公司。他们地址末尾的奇怪号码是虚拟路由号码。一个有一个数字的地址允许人们在美国邮寄给他们的包裹,然后包在海外透明转发。这个数字指出了他们在东南亚一个国家的邮局所拥有的账户。他们收到了从所有人收到的包裹,巩固它们,然后在Masse上运送它们。这允许各国政府和公司(和显然是坏人)订购来自美国内部的公司的东西,然后在海外送来时将国际运费和关税支付。

它没有考虑到2012年的克里斯黑主任,找到了这一骗局的另一个帐户。在这种情况下,诈骗者欺骗了亚马逊进入重新发送他们声称从未收到过的物品。与Hanselman一样,诈骗者将红衣主教的装运传送到“物流公司”,即海外邮件。

再次,诈骗者所需的所有内容都需要伪造的亚马逊是受害者姓名,账单地址和电子邮件地址。捍卫自己

显然,亚马逊有一个问题,这意味着他们的客户有问题。

房间里的大象是亚马逊的使用电子邮件地址作为userid。由于它们是如此公众,它为攻击者做了一半的工作。克里斯黑主教,2012年受害者的建议是最好的防御。

自从仅为Amazon的目的内置的电子邮件地址下注册了My Amazon帐户以来。

也就是说,亚马逊客户应该为公司提供任何未在其他任何地方使用的电子邮件地址。

获得唯一电子邮件地址的一种方法是别名。

Springer使用FastMail,这是一个许多技术推荐的商业电子邮件提供商推荐。他们更便宜的帐户允许11个别名,加紧让你成为255个别名。我曾经使用EarthLink作为我的电子邮件提供商,他们也提供了别名,但Fastmail别名有一个额外的踢球者。

EarthLink别名仅限于同一域。也就是说,michael@earthlink.com可以别名为michaelxyz@earthlink.com或123michael@earthlink.com或harvey@earthlink.com。然而,FastMail拥有相当多的域名。所以michael@fastmail.com的别名不必以FastMail.com结尾。

另一种方法涉及转发。

您可以注册一个新的Gmail帐户,然后将其突出,以自动将传入的消息转发给现有帐户。

雅虎邮件不支持转发,ISP电子邮件可能会。当然,任何拥有自己域名的人都可以转发电子邮件。Outlook.com似乎支持转发,但是当我试图创建规则时,它抱怨一个收件人太多了。典型的微软。

有两个Gmail技巧可以制作唯一的电子邮件地址,我将避免使用亚马逊。

第一个涉及增加期间。Gmail处理m.i.chael@gmail.com与michael@gmail.com相同,因此您可以使用额外的嵌入式期间或两个常规Gmail帐户提供亚马逊。但是,如果亚马逊代表忽略了计费地址,则它们可能也会忽略电子邮件地址中的时期。

出于同样的原因,我不会打扰使用加号以创建唯一的Gmail帐户。它激烈地让我更安全,让亚马逊像ammer7newg3kde5@gmail.com,而不是michael +amazon@gmail.com。

登录Amazon.com时额外的安全性

具有讽刺意味的是,正如我写这一点,我去改变我的妻子的亚马逊账户到一个全新的新鲜薄型的电子邮件地址。使用当前的电子邮件地址和密码登录后,亚马逊想要更多的身份证明,如上所示。

也许我应该使用Web聊天。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。