2016/01/25

Serviço da Amazon é prestável... até para ladrões de dados


No outro dia vimos um assustador caso de como se conseguia ultrapassar a password e código 2-factor para obter acesso a uma conta do PayPal, agora temos um novo caso que mostra como a Amazon pode ser um simpático poço de informação para ladrões de dados.

Quem já tiver tido necessidade de lidar com o serviço de apoio da Amazon poderá certamente comprovar a sua eficiência e simpatia, sendo um exemplo de como muitas outras lojas online deveriam ser. No entanto, há um aspecto crítico que revela que essa mesma predisposição para ajudar poderá ser contraproducente, havendo necessidade de não esquecer as implicações de segurança desses mesmos préstimos.

A Amazon é um daqueles serviços "de peso" na internet. Embora para a maior parte das pessoas a conta na Amazon seja criada com o intuito de comprar produtos na loja online, esses mesmos dados servem para o serviço de gestão de pagamentos que a Amazon disponibiliza a outras plataformas e também os seus serviços AWS na cloud. Mas desta vez o principal objectivo deste ataque telefónico não foi obter acesso à conta da Amazon, mas simplesmente obter dados sobre o utilizador, previsivelmente para os usar na recuperação de contas do mesmo utilizador noutros serviços.

O susto inicial


O caso começou com o utilizador legítimo a receber o habitual email da Amazon após qualquer contacto, a perguntar se tudo estava resolvido. Como não tinha feito qualquer contacto, perguntou à Amazon o que se tinha passado e conseguiu que lhe enviassem a transcrição do contacto feito.


Alguém desconhecido contactou a Amazon fazendo-se passar por ele, e oferecendo como validação dados que estão publicamente disponíveis na internet. Dados que incluíam uma morada falsa, que o utilizador legítimo utilizava como forma de não revelar a sua morada verdadeira publicamente, mas que foram suficientes para que o serviço de apoio da Amazon os considerasse válidos (se calhar, olhando apenas para o código postal, que era coincidente).

O atacante prosseguiu, usando como motivo a "última encomenda" feita, que o assistente se prontificou a identificar, e também revelando o estado actual da encomenda e a morada de destino - a morada real do utilizador!

Isso por si só, já seria considerado grave; ainda mais para alguém que se deu ao trabalho de não revelar a sua morada publicamente, e que viu esse "segredo" ser revelado a alguém desconhecido, sabe-se lá com que intenções. Só que... ainda há mais.


A tentativa de evitar futuros ataques



Depois deste incidente, o utilizador contactou a Amazon e pediu para que a sua conta ficasse marcada como potencial alvo para este tipo de ataques de engenharia social, e que nunca deveriam aceitar qualquer tentativa de comunicação por alguém que se fizesse passar por si - a não ser que tivesse o login feito na Amazon. A Amazon tinha também dito que um especialista de segurança entraria em contacto com ele... mas tal nunca veio a acontecer (coisa que também não inspirava grande confiança quanto aos cuidados redobrados que ele tinha pedido).

Com o seu nome, email e morada real, o receio era de que o atacante pudesse já começar a fazer estragos em alguns serviços, validando correctamente a sua suposta identidade. Supostamente, com estes dados já seria possível contactar um banco a pedir o cancelamento do cartão de crédito e emissão de um novo.

... Mas, uns meses mais tarde, quando se pensaria que o caso teria ficado por ali...


O segundo ataque



Há que dar crédito ao descaramento que estes atacantes têm, e que sem qualquer problema voltam a recorrer a exactamente a mesma coisa que tinham feito anteriormente, perguntando pela "última encomenda", novamente validando a morada, mas desta vez tentando ir mais longe.

Desta vez os dados pretendidos eram os últimos quatro dígitos do número do cartão de crédito, também frequentemente utilizados para o processo de recuperação de conta em serviços online, ou para a validação da identidade por via telefónica.


O processo da conversa é notoriamente suspeito, com a explicação de que era um cartão de crédito "do trabalho", e que não sabíamos nenhum número, e que também não se poderia fazer login nesse momento - perguntas que felizmente o assistente se recusou a responder, dizendo apenas que não poderia fornecer esses dados, nem mesmo quando o atacante tentou negociar, pedindo apenas os dois últimos dígitos!

Nova reclamação, novo pedido para que não forneçam quaisquer dados a quem se tentar fazer passar por ele... Só que mesmo assim...


O terceiro ataque!



No dia seguinte, novo email a agradecer o contacto feito, mas desta vez com a agravante que o mesmo foi feito por via telefónica e que, como tal, não existe nenhuma transcrição que possa ser cedida para saber que dados é que potencialmente terão sido revelados ao atacante. (Parece que aquilo de gravar chamadas afinal só funciona bem enquanto não é preciso recorrer a nenhuma...)

Face ao total desconhecimento do que terá sido dito e tendo em conta o histórico anterior, a única solução é assumir o pior, e que o atacante conseguirá ter obtido aquilo que pretendia - e com isso enfrentar a assustadora tarefa de alguém potencialmente ter dados que permitirão fazer a recuperação de conta nos serviços mais importantes, ultrapassando todas as seguranças das passwords e métodos 2-factor.


As recomendações para evitar estes ataques



Este tipo de ataques é bastante complicado, a começar pelo facto do utilizador nada poder fazer para os evitar. Não importa que use uma password ultra-segura, não importa que use uma VPN com tráfego encriptado, não importa que use todos os tipos de autenticação biométrica e 2-factor de que disponha; aqui trata-se de contornar tudo isso e contactar o serviço fazendo-se passar pelo utilizador legítimo com base nalguns dados que poderão ser publicamente conhecidos ou de acesso relativamente fácil.

A solução terá que ser tratada do lado das empresas, e algumas das recomendações para evitar este tipo de situações passará por coisas como:

  • Garantir que o utilizador pode fazer o login na sua conta - isto evitaria todo o tipo de ataques para pedir dados como a morada, saber que encomendas foram compradas, e claro, os números do cartão de crédito. A excepção seria o caso de um utilizador dizer que não sabia a password, mas aí sendo direccionado para um caso de recuperação mais detalhado, com acesso a coisas como o número de telefone registado, etc.

  • Alertar os assistentes para tentativas de contacto potencialmente suspeitas - É normal que os assistentes queiram ser prestáveis para os 99% dos contactos legítimos... no entanto isso não pode significar facilidades para os casos que não o são. Algo como alertas no caso do contacto estar a ser feito a partir de um IP de um país ou região diferente do habitual, ou usando técnicas de esconder a sua origem, deveriam permitir que o assistente tratasse logo o caso com suspeição.

  • Criar emails exclusivos para cada serviço - Estamos a tentar livrar-nos das passwords, mas o nosso email pode ser também um ponto de vulnerabilidade ao ser usado para todos os serviços em que nos registamos. Um serviço de email que permita criar alias dos emails faz com que um utilizador possa criar emails dedicados para cada novo serviço em que se registe, sem que tenha que se preocupar em criar realmente novas contas de email. Para um atacante, complicava-se a tarefa de contactar os assistentes e dar o email genérico principal que assumiria ser o mesmo para todo o lado.

Enfim... não haverá soluções simples e fáceis para todos os casos. Se por um lado podemos dizer que isto se simplificaria com uma autenticação via smartphone, temos que considerar a possibilidade desse mesmo smartphone ter sido roubado ou ficado inutilizado. Seja como for, há que estar consciente de que as facilidades podem ter riscos, pois não só nos facilitam as coisas a nós... como a quem se queira fazer passar por nós.

3 comentários:

  1. ps: no entanto isso não pode significar facilidades para os casos que não o "som" <-----

    ResponderEliminar
    Respostas
    1. Corrigido! (Em que raio estava eu a pensar??? :)

      Eliminar
  2. Eu tiro sempre os dados do cartão depois de concluir cada compra!

    ResponderEliminar

[pub]