Backdoor de atendimento ao cliente da Amazon

Como um usuário consciente da segurança que segue as melhores práticas como: usando senhas exclusivas, 2FA, usando apenas um computador seguro e sendo capaz de detectar ataques de phishing a uma milha de distância, eu teria pensado que minhas contas e detalhes seriam bastante seguros? Errado.

Porque quando alguém vem atrás de mim, tudo vai em vão. Isso porque a maioria dos sistemas vem com um backdoor, suporte ao cliente. Neste post vou me concentrar no infrator mais grave: Amazon.com

A Amazon.com foi uma das poucas empresas nas quais confiei minhas informações pessoais. Afinal de contas, eu compro lá, eu costumava trabalhar como desenvolvedor de software e eu sou um usuário pesado da AWS (arrecadando mais de US $ 600 / mês)

Tudo começou com um email bastante inócuo:

Estranho, não entrei em contato com o suporte da Amazon?

No início, eu supus que poderia ser um erro ou um e-mail atrasado a partir do momento em que entrei em contato com eles meses antes. Mas a curiosidade levou a melhor sobre mim e eu entrei em contato com a Amazon para perguntar do que se tratava. Eles me disseram que "eu" tinha uma conversa com o suporte da Amazon? Que diabos? Foi um chat de texto, e eles me enviaram uma transcrição:

Deixe-me parar aí, então posso apontar que o endereço não é meu . É apenas um endereço falso de um hotel que estava no mesmo CEP onde eu morava. Eu usei para registrar alguns domínios, sabendo que as informações whois muitas vezes se tornam públicas. Eu usei a mesma área geral que vivi, para que meu endereço IP correspondesse a ele.

Vamos continuar:

“Isso é tudo que eu precisava”.

Uau. Apenas Uau. O atacante deu à Amazon meus detalhes falsos de uma consulta whois e obteve o meu endereço real e número de telefone em troca. Agora eles tinham o suficiente para dar uma volta em alguns serviços, até mesmo convencer meu banco a emitir uma nova cópia do meu cartão de crédito.

Tentando arduamente não tirar minhas frustrações em um representante de suporte não relacionado, entrei em contato com Amazon Retail e AWS expressando minha decepção e pedindo-lhes para colocar uma nota em minha conta que está em risco extremamente alto de ser engenharia social, e eu vou sempre será capaz de fazer login. A Amazon Retail disse que colocaria uma nota e teria um especialista em contato comigo (que nunca fez isso), enquanto a AWS ignorava até mesmo um risco existente.

Avançando alguns meses, cometi o grande erro de pensar que o risco havia desaparecido, dando à Amazon meu novo cartão de crédito e agora novos detalhes de endereço. Eu recebo outro email. Eu sinto um buraco no meu estômago.

Então, mais uma vez, eu entro em contato com o suporte da Amazon para ver o que aconteceu. Dessa vez tive o prazer de lidar com um agente de apoio que parecia 100% incapaz de perceber que alguém estava me representando. Eu tive dificuldade em manter a compostura quando ele me disse que eu deveria mudar minha senha para evitar que as pessoas me personificando. Eventualmente eu tive que basicamente dizer a ele que era "eu" que contatava o suporte e eu queria "minha" transcrição, que ele forneceu.

Usando o endereço que eles receberam da última vez da Amazon … De novo ?! Por amor de fode.

E, em seguida, passa a tentar obter os últimos dígitos do meu cartão de crédito sem sucesso:

Sim, isso parece totalmente legal.

Acho que eu deveria contar minhas bênçãos que eles não deram os últimos dígitos do meu cartão de crédito. Volto a entrar em contato com a Amazon para reiterar o quanto é importante manterem minha conta segura e não divulgar meus detalhes a ninguém com um nome e endereço. Eles prometem que estão colocando uma nota na minha conta, e isso nunca acontecerá novamente. E eu serei contactado por um especialista (nunca aconteceu, novamente)

Dessa vez, decidi que não posso mais confiar na Amazon com meu endereço e excluí-lo da minha conta.

Avancemos outro dia:

Desta vez, não consigo obter uma transcrição da conversa. Eles contataram a Amazon por telefone e não têm uma gravação para me dar. Eu vou ter que assumir que eles têm os últimos dígitos do meu cartão de crédito, como eles parecem ser depois.

Neste ponto, a Amazon traiu completamente minha confiança por três vezes. Eu fiz absolutamente tudo em meu poder para garantir minha conta, mas é impossível. Estou no processo de fechar minha conta na Amazon e migrar para os serviços do Google que parecem significativamente mais robustos para impedir esses ataques.

Depois de ter sido vítima desses ataques por meses, gostaria de fazer algumas recomendações para serviços:

  • NUNCA FAÇA SUPORTE AO CLIENTE, A MENOS QUE O USUÁRIO PODE USAR A SUA CONTA. A única exceção a isso seria se o usuário esquecesse a senha e deveria haver uma política muito rígida. O problema é que 9999 vezes entre 10000 solicitações de suporte são legítimas, os agentes são treinados para assumir que são legítimos. Mas no primeiro caso eles não são, você pode acabar com alguém completamente.
  • Mostre aos agentes de suporte o endereço IP da pessoa que está se conectando. É um costume? É um VPN / tor um? etc Dê-lhes um aviso para ser suspeito.
  • Os serviços de e-mail devem permitir que eu crie facilmente vários aliases. Agora a melhor defesa contra engenharia social parece ser minha conta de email que me permite criar um alias de endereço de email por serviço. Isso torna incrivelmente difícil para um invasor quando ele não consegue nem mesmo descobrir seu e-mail.
  • Por favor, faça whois proteção padrão. Mina vazou porque um domínio estúpido que eu não me importava tinha sua proteção namyseap whois expirar

Para os usuários, seja extremamente cuidadoso com as informações que você compartilha. Mesmo grandes empresas como a Amazon não podem mantê-las seguras, estão longe do pior.