Un client d'Amazon explique qu'un attaquant aurait obtenu ses données de carte de crédit
En dupant le service client

Le , par Michael Guilloux, Chroniqueur Actualités
Éric Springer est un ingénieur en développement logiciel et un utilisateur sensible à la sécurité qui estime être assez prudent pour éviter d’être victime de vol de données. Toutefois, il a vécu une expérience avec le site de commerce en ligne Amazon ; expérience à l’issue de laquelle il retient qu’un système a beau être protégé, mais parfois, il ne faut pas grand-chose pour le pirater. En ce qui concerne le système du géant du commerce en ligne, Éric Springer estime que c’est le service clientèle qui est la porte dérobée qui expose les données personnelles des clients.

Éric Springer est un utilisateur « lourd » de la plateforme AWS (600 $/mois) et cela a été repéré par un attaquant. Alors qu’il s’y attendait le moins, il reçoit un email d’Amazon qui le remercie d’avoir contacté le service clientèle, chose qu’il n’avait pas faite depuis bien longtemps.


Par curiosité, Springer se renseigne auprès d’Amazon pour en savoir plus. Il apprend alors qu’il a récemment contacté le service clientèle qui lui envoie ensuite sur demande le transcript du chat. Il se rend donc compte qu’un individu a réussi à obtenir ses informations réelles en engageant une conversation avec le service clientèle.

Dans la conversation, après que le chargé de clientèle lui a demandé sa préoccupation, l’usurpateur a répondu qu'il voulait savoir où sa dernière commande a été expédiée. Avant de répondre à sa question, par précaution, le chargé de clientèle a demandé à l’attaquant de confirmer ses informations personnelles, à savoir nom et prénoms, adresse email et adresse de facturation. L'usurpateur a bien renseigné ces informations même si l’adresse de facturation du propriétaire légitime du compte, Éric Springer, était une fausse adresse que ce dernier utilisait sur internet par précaution. Il l'avait par exemple utilisée pour enregistrer certains domaines.

D’après Éric, les informations fournies par l’attaquant auraient donc probablement été obtenues à partir de Whois, un service de recherche fourni par les registres Internet et qui permet d’obtenir des informations sur une adresse IP ou un nom de domaine.

Le chargé de clientèle étant convaincu qu’il s’adressait à monsieur Éric Springer n’a pas hésité à communiquer le nom du dernier produit acheté, l’adresse d’expédition complète ainsi que le numéro de téléphone. Le fraudeur a également demandé le solde de la gift card sur le compte de Springer, qui était alors de 0 $.



La première partie de la mission était accomplie. Après ce premier chat avec le service clientèle, l’attaquant a obtenu l’adresse réelle de sa cible ainsi que son numéro de téléphone. Il ne reste plus que les informations de la carte de crédit qu’il projette d’avoir dans une autre conversation avec le service clientèle.

Se rendant compte de ce qui se passait sur son compte, Éric a alors contacté Amazon en leur demandant de mettre une note sur son compte, laquelle note indiquait que le compte était à un risque d’ingénierie sociale très élevée et qu’il sera toujours en mesure de se connecter.

Quelques mois plus tard, Éric reçoit un email du service client indiquant qu’il avait à nouveau contacté le site. Le transcrit du chat montre que c’était l’attaquant dans la deuxième étape de son plan, essayant d’avoir les données de carte de crédit de Springer.

Dans la deuxième discussion avec le service clientèle d’Amazon, l’attaquant utilise la même technique pour tenter d’obtenir les quatre derniers digits de la carte de crédit. Cette fois, quand le chargé de clientèle lui demande ses informations personnelles pour vérification, l’usurpateur prend la peine de fournir l’adresse réelle de Springer qu’il a obtenue lors de la phase précédente. Il n’hésite pas alors à demander le moyen de paiement utilisé et il apprend que c'était une carte de crédit. Sans passer par quatre chemins, il demande ensuite les quatre derniers digits, chose que le chargé de clientèle refuse de donner par mesure de sécurité.

N’arrivant pas à obtenir cette donnée de la part du chargé de clientèle, l’attaquant laisse entendre qu’il utilise couramment plusieurs cartes de crédit et qu’en ayant un peu plus d’informations sur la carte qui a permis d’effectuer son dernier achat, il pourrait identifier la bonne carte parmi celles dont il dispose. Pour cela, il demande l’un après l’autre, les deux derniers digits de la carte, le type de carte (VISA, MasterCard ?), la date d’expiration, bref. Il essaie tout ce qu’il peut, mais sans succès. Il décide alors de recontacter le service plus tard.




Après cette deuxième alerte, Éric contacte à nouveau Amazon pour réitérer combien il est important que son compte soit sécurisé et demander de ne pas donner ses coordonnées à quiconque avec un nom et une adresse. Mais la prochaine étape du plan de l’attaquant lui a probablement été fatale. L’usurpateur entre une nouvelle fois en contact avec le service clientèle, mais cette fois, Éric ne peut avoir de transcript. L’attaquant change de technique et contacte Amazon par téléphone, mais la société refuse de donner à monsieur Springer l’enregistrement de la conversation téléphonique. Quant à Éric, il est persuadé que l'attaquant a réussi à obtenir les quatre derniers digits de sa carte de crédit.

Source : Éric Springer

Et vous ?

Qu’en pensez-vous ? Que suggérez-vous pour éviter ce genre d’attaque ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Alvaten Alvaten - Membre éprouvé https://www.developpez.com
le 27/01/2016 à 16:33
Qu’en pensez-vous ? Que suggérez-vous pour éviter ce genre d’attaque ?
Le titre de l'article suggère que M. Springer s'est fait voler ses informations de carte de crédit, pourtant je comprend que l'attaquant n'a obtenu "que" son adresse postale et son numéro de téléphone. Le service d'Amazon a refusé de fournir les informations demandées par l'attaquant.

Pour ce qui est des attaques par ingénierie social, je vois pas trop comment s'en protéger efficacement à part en faisant attention à ce qu'on écrit sur le net (et encore visiblement faire attention est insuffisant si l'attaquant est persévérant). Si l'attaquant est bien renseigné je vois mal comment un SAV peux faire la différence. La meilleure solution consiste encore à faire comme Amazon, refuser de fournir ce genre d'information, car au final je ne vois pas pourquoi le client légitime en aurait besoin.
Avatar de Conan Lord Conan Lord - Membre émérite https://www.developpez.com
le 27/01/2016 à 17:03
Si j'ai bien compris, suite à cet appel téléphonique dont il n'a pas pu avoir la transcription, M. Springer a dû supposer que l'attaquant avait réussi à obtenir ces 4 chiffres, faute de preuve du contraire, et j'imagine prendre les mesures nécessaires auprès de sa banque avec les frais qui s'en suivent. En fait, son problème, c'est qu'il n'a pas pu obtenir d'Amazon la certitude que son problème d'usurpation avait été pris en compte par le SAV. Il estime qu'une sorte de "mesure d'urgence" aurait dû être mise en place suite à sa demande, et qu'Amazon n'aurait pas dû continuer à fournir des informations aux personnes munies de son nom et son adresse. Ce qu'Amazon n'a pas fait.
Dans l'absolu, je ne vois pas non plus ce qu'on peut faire pour éviter les attaques, mais là il y a clairement eu un manque d'écoute de la part d'Amazon, alors que M. Springer s'est montré prudent et a pris les mesures qui s'imposaient au moment où elles s'imposaient.
Avatar de AoCannaille AoCannaille - Membre chevronné https://www.developpez.com
le 27/01/2016 à 17:32
Citation Envoyé par Conan Lord Voir le message
Si j'ai bien compris, suite à cet appel téléphonique dont il n'a pas pu avoir la transcription, M. Springer a dû supposer que l'attaquant avait réussi à obtenir ces 4 chiffres, faute de preuve du contraire, et j'imagine prendre les mesures nécessaires auprès de sa banque avec les frais qui s'en suivent. En fait, son problème, c'est qu'il n'a pas pu obtenir d'Amazon la certitude que son problème d'usurpation avait été pris en compte par le SAV. Il estime qu'une sorte de "mesure d'urgence" aurait dû être mise en place suite à sa demande, et qu'Amazon n'aurait pas dû continuer à fournir des informations aux personnes munies de son nom et son adresse. Ce qu'Amazon n'a pas fait.
Dans l'absolu, je ne vois pas non plus ce qu'on peut faire pour éviter les attaques, mais là il y a clairement eu un manque d'écoute de la part d'Amazon, alors que M. Springer s'est montré prudent et a pris les mesures qui s'imposaient au moment où elles s'imposaient.
la mesure la plus simple serait de limiter l'accès au SAV aux utilisateurs Donc les obliger à se logguer sur le site.
Si un usurpateur réussit à s'authentifier et que, selon la même procédure, l'utilisateur s'en rend compte, il n'a qu'a changer mdp, adresses mail de secours, question de récupération de mot de passe etc...

Parce que bon, 99% des infos qu'il demande au service client, on les a dans notre historique de commande tout de même...
Avatar de nchal nchal - Membre expérimenté https://www.developpez.com
le 27/01/2016 à 17:35
Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 27/01/2016 à 17:50
Je veux bien croire qu'Amazon conserve les transcripts de chat de ce genre, mais j'ai du mal à imaginer qu'ils conservent les enregistrements de toutes conversations téléphoniques du service client. Il faudrait vite construire des datacenters juste pour ça. Dans ces conditions, qu'ils n'aient pas fourni un enregistrement qui n'existe pas me parait assez logique.

Par contre, un dépôt de plainte permettrait peut-être de retrouver l'escroc ?
Avatar de Conan Lord Conan Lord - Membre émérite https://www.developpez.com
le 27/01/2016 à 18:03
Citation Envoyé par Traroth2 Voir le message
Je veux bien croire qu'Amazon conserve les transcripts de chat de ce genre, mais j'ai du mal à imaginer qu'ils conservent les enregistrements de toutes conversations téléphoniques du service client.
Normalement, si, dans les boîtes de cette ampleur, toutes les conversations sont systématiquement enregistrées et archivées. Ça sert notamment à embêter les standardistes et les commerciaux (désolée d'être mauvaise langue mais c'est ce qui se passe dans la pratique, leur efficacité est évaluée via ces enregistrements) et éviter les problèmes juridiques. Pour moi, aucun doute que si une enquête était ordonnée, ces enregistrements seraient retrouvés.
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 27/01/2016 à 18:40
Citation Envoyé par nchal Voir le message
Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?
tenter de rappeler ensuite et demander le reste des numéros en expliquant qu'on sait plus si la carte en question est toujours valide (si c'est l'ancienne ou la nouvelle) ou qu'on croit qu'on a fait une erreur en tapant le numéro ou autre, "c'est la gold qui termine par 1234 svp"

Citation Envoyé par Michael Guilloux Voir le message
Qu’en pensez-vous ?
c'est malin de la part de l'attaquant, l'être humain est l'éternel maillon faible de la chaine, quant aux risques liés à ce genre d'attaques que dire... "tant qu'il y aura des hommes" les risques continueront d'exister

Citation Envoyé par Michael Guilloux Voir le message
Que suggérez-vous pour éviter ce genre d’attaque ?
rien. on ne peut pas empêcher les attaques, on peut juste les bloquer quand elles arrivent, de ce point de vue le call center indien d'amazon est plutôt bien rodé aux tentatives de SE manifestement, j'aurais même largement plus confiance dans le service consommateur d'amazon par chat interposé pour ne pas divulguer mes informations sensibles que dans mon commissariat de police en face à face pour assurer qu'on usurpe pas mon identité. (vous avez déjà perdu vos papiers ? je vous laisse réfléchir... un indice chez vous : "comme dans du beurre et sans forcer, presque amené sur un plateau"
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 27/01/2016 à 19:40
Citation Envoyé par Conan Lord Voir le message
Normalement, si, dans les boîtes de cette ampleur, toutes les conversations sont systématiquement enregistrées et archivées. Ça sert notamment à embêter les standardistes et les commerciaux (désolée d'être mauvaise langue mais c'est ce qui se passe dans la pratique, leur efficacité est évaluée via ces enregistrements) et éviter les problèmes juridiques. Pour moi, aucun doute que si une enquête était ordonnée, ces enregistrements seraient retrouvés.
J'en serais très surpris, non seulement à cause de la masse de données, mais aussi parce que c'est illégal dans de nombreux pays. En France, par exemple, c'est le cas.

http://www.numerama.com/magazine/317...u-travail.html
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 28/01/2016 à 2:22
Citation Envoyé par Traroth2 Voir le message
J'en serais très surpris, non seulement à cause de la masse de données, mais aussi parce que c'est illégal dans de nombreux pays. En France, par exemple, c'est le cas.
http://www.numerama.com/magazine/317...u-travail.html
en fait, j'ai l'impression que le lien que tu donnes tend plutôt à confirmer que l'inverse justement, puisqu'il est dit que l'enregistrement est autorisé dans une optique d'évaluation du salarié et d'amélioration de la qualité du service, de façon "ponctuelle"

quant à la masse de données... faut voir mais si on parle d'une rétention maximum de 6 mois, un appel téléphonique une fois compressé ça tient sur à peine quelques Mo, c'est pas comme si les entreprises avaient la capacité de stocker des téraoctets de données dans à peine quelques disques de nos jours

et puis en l'occurrence il ne s'agit pas du cadre légal français mais plus surement américain ou indien ici, les deux semblent assez flexibles sur la question néanmoins
Avatar de Carhiboux Carhiboux - Expert éminent sénior https://www.developpez.com
le 28/01/2016 à 10:28
Citation Envoyé par nchal Voir le message
Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?
Cela peut n'être qu'une étape de l'usurpation. Par exemple comme ce qui est arrivé à Mat Honan.

Et un mec qui dépense 600$/mois sur Amazon, tu peux légitimement supposer qu'il est client chez Apple aussi.

Individuellement, les procédures sont sures, mises bout à bout... tu peux récupérer des informations à droite à gauche qui permettent de rassembler le puzzle.
Contacter le responsable de la rubrique Accueil