Ook Amazon faalde bij social engineering-aanval
Niet alleen Apple, maar ook Amazon werd om de tuin geleid bij de social engineering-aanval waarbij accounts van een journalist werden gekraakt. Bovendien zegt de journalist aanwijzingen te hebben dat er meer slachtoffers zijn.
In een reconstructie schrijft Wired-journalist Mat Honan hoe een aanvaller toegang kreeg tot zijn Gmail-, iCloud- en Amazon-accounts. Maandag werd al bekend dat de 'hacker' erin slaagde om toegang te krijgen tot die accounts, waarbij een remote wipe op de iPhone, iPad en Macbook Air van de Wired-redacteur werd uitgevoerd. Hij had geen backup gemaakt van zijn apparaten. Ook kreeg de aanvaller toegang tot de Twitter-accounts van Honan zelf en van Gizmodo, waar Honan voorheen werkte.
Duidelijk was al dat de afdeling technische ondersteuning van Apple om de tuin was geleid door de aanvaller, die een medewerker van die afdeling zo ver kreeg om een nieuw, tijdelijk wachtwoord te verstrekken dat door hem kon worden gebruikt. Uit de reconstructie op Wired blijkt echter dat ook Amazon steken heeft laten vallen.
De eerste stap die de aanvaller nam, was het verzamelen van informatie. Via de password reset-functie van Gmail wist hij het iCloud-adres van Honan te achterhalen, waarnaar het wachtwoord werd verzonden. Het e-mailadres werd door Google getoond als m****n@me.com, maar dat was genoeg informatie voor de aanvaller. Daarnaast wist hij via de whois-database het adres van Honan te achterhalen.
Al deze informatie bij elkaar was nog niet voldoende om Apple zo ver te krijgen om een nieuw wachtwoord uit te geven; daarvoor had hij de laatste vier cijfers van de creditcard nodig. Die wist hij op een geraffineerde manier te ontfutselen bij de afdeling ondersteuning van Amazon. Eerst belde hij Amazon met de mededeling dat hij een nieuwe creditcard aan zijn account wilde toevoegen. Vervolgens belde hij opnieuw, met de mededeling dat hij zijn accountinformatie was vergeten. Daarvoor moesten bepaalde persoonsgegevens worden overhandigd, waaronder adresgegevens en de laatste vier cijfers van de creditcard. Aangezien de aanvaller die creditcard zelf had toegevoegd en over de adresgegevens beschikte, kreeg hij toegang tot het Amazon-account van Honan. Wired zegt deze aanval met succes te hebben kunnen reproduceren.
Vervolgens kon hij in het Amazon-account de laatste vier cijfers van alle aangekoppelde creditcards bekijken, waaronder de creditcard van Honan zelf, die hij ook gebruikte voor zijn iCloud-account. Hierdoor beschikte de aanvaller over genoeg informatie om toegang te krijgen tot het iCloud-account: de accountnaam, de adresgegevens en de laatste vier cijfers van de creditcard. Aangezien het iCloud-account het reserve-emailadres voor zijn Gmail-account was, kon de aanvaller hiermee weer toegang krijgen tot het Gmail-account en daaraan gekoppelde accounts, zoals dat van Twitter.
In een reactie tegenover Wired geeft Apple aan dat 'de interne procedures niet volledig zijn opgevolgd'. Het bedrijf zegt toe deze procedures na te lopen om misbruik te voorkomen. Amazon heeft nog geen reactie gegeven.
Overigens legt Honan een deel van de schuld bij zichzelf. Hij zegt dat hij niet alle accounts aan elkaar had moeten koppelen, dat hij zelf backups had moeten maken en dat het inschakelen van two-factor authentication bij Gmail een hoop schade had voorkomen. Wired tekent echter aan dat het signalen heeft ontvangen dat andere gebruikers onlangs op dezelfde wijze slachtoffer van social engineering zijn geworden.
De gang van zaken roept vragen op over de manier waarop bedrijven gebruikers toegang geven tot accounts als ze bellen met de helpdesk. In het geval van de iCloud-aanval waren de gegevens niet bijster moeilijk te achterhalen. Adres en accountnaam liggen voor veel kennissen voor het oprapen en hoewel de laatste vier cijfers van de creditcard minder makkelijk te achterhalen zijn, is dat niet onmogelijk, zoals deze aanval aantoont. Wired geeft daarnaast het voorbeeld van een pizzabezorger die de creditcardgegevens van klanten kan zien.
Reacties (57)
Slimme hack. Les geleerd.
Zeker slim... had vorige week probleem met mijn XS4ALL voip, en waar ik de vorige keer simpel toegang kreeg tot mijn gegevens door te bellen naar de helpdesk, was men nu toch heel bewust van deze pogingen... wel lastig, want moest via post nieuw WW aanvragen, maar wel veilig..
Mooi om te lezen dat uit is gezocht waar het fout is gegaan.
Apple en Amazon halen hierdoor het nieuws, maar al die keren dat iemand er mee weg komt die halen het nieuws natuurlijk niet. Kijk eens om je heen, bel eens met je eigen helpdesk en kijk hoe ver je komt. Kevin Mittnick is er bekend door geworden.
Apple en Amazon halen hierdoor het nieuws, maar al die keren dat iemand er mee weg komt die halen het nieuws natuurlijk niet. Kijk eens om je heen, bel eens met je eigen helpdesk en kijk hoe ver je komt. Kevin Mittnick is er bekend door geworden.
Dat is maar een deel van het probleem. Duidelijk is dat in de ene dienst een waarde gewoon getoond wordt (cc-nummer) terwijl deze bij de andere dienst als uniek en persoonlijk wordt bestempeld. De veiligheidsbarrière van de ene dienst wordt zo door de andere ongedaan gemaakt, met alle gevolgen van dien. Ook is het voor de bedrijven moeilijk te testen: binnen hun muren kloppen alle flows, echter worden de flows van andere bedrijven daarin vaak niet meegenomen. Iets wat wel wenselijk is zo blijkt (wellicht kan hier zelfs een standaard in gevonden worden die door alle grote bedrijven wordt overgenomen?).
Het idee voor een standaard is hier wel op zijn plaats. Maar waarom enkel grote bedrijven? Overheden en KMO met een website / webshop mogen hier ook onder vallen. Zodra klantgegevens in contact komen met het internet...(wellicht kan hier zelfs een standaard in gevonden worden die door alle grote bedrijven wordt overgenomen?).
Het nadeel van een standaard in beveiliging: Als daar een lekje in zit, dan is het een globaal probleem (zeker als dit opgelegd is)...
Dat is geen probleem, want als iedereen het gebruikt wordt er ook door veel meer mensen naar gekeken. In de encryptiewereld is alles open en gebruikt iedereen dezelfde algoritmes en dat doet niet af aan de veiligheid; deze wordt juist eerder verhoogd door het grotere aantal peer-reviews wat op de code wordt losgelaten. Het is niet voor niets een credo in de security: 'Never create your own crypto: always pick an existing one'.Het nadeel van een standaard in beveiliging: Als daar een lekje in zit, dan is het een globaal probleem (zeker als dit opgelegd is)...
wat mij slimmer lijkt is een eigen variant van een bepaalde methode, dit houd ook de bruceforce scripts en reverse engineers een leuke tijd bezig 
Nope, nooit doen, je gaat geheid fouten maken in zaken waar jij niet aan hebt gedacht, maar de makers van de bekende crypto libraries wel (voorbeeld: timing attacks).
Veiligheidsbarrière? Adresgegevens en creditcardnummers zijn helemaal geen geheime gegevens en mogen dus ook niet als zodanig gebruikt worden.De veiligheidsbarrière van de ene dienst wordt zo door de andere ongedaan gemaakt, met alle gevolgen van dien.
Ik vraag me wel een beetje af hoe erg dit nu is. Zeker aangezien iemand moet bellen met verschillende helpdesks om dit voor elkaar te krijgen; ja, natuurlijk is dit irritant als jou het overkomt, maar ik betwijfel of striktere regels wel een goede oplossing zijn.
Als dit het toegang krijgen tot je eigen account in de problemen brengt, is het misschien gewoon een acceptabel offer. Net als dat we het verkeer 100% veilig kunnen maken door niet meer op pad te gaan, of maximum snelheid tot 10km/u te verlagen. Doen we ook niet, je maakt een afweging tussen factoren, zoals economische en veiligheid.
Hoe groot is de kans dat je hierdoor getroffen gaat worden? het is dus niet alsof dit een script hack is die massale accounts kan breken, je moet er echt wel moeite voor doen.
Als dit het toegang krijgen tot je eigen account in de problemen brengt, is het misschien gewoon een acceptabel offer. Net als dat we het verkeer 100% veilig kunnen maken door niet meer op pad te gaan, of maximum snelheid tot 10km/u te verlagen. Doen we ook niet, je maakt een afweging tussen factoren, zoals economische en veiligheid.
Hoe groot is de kans dat je hierdoor getroffen gaat worden? het is dus niet alsof dit een script hack is die massale accounts kan breken, je moet er echt wel moeite voor doen.
Je moet inderdaad een beetje moeite doen, maar vervolgens kun je voor vele duizenden euro's aan schade aanrichten, per slachtoffer. Vergeet niet dat door een paar helpdesk-telefoontjes de hacker toegang had tot adresgegevens, betalingen kon verrichten (gekoppelde creditcards), de toegang had tot privécommunicatie van het slachtoffer én de mogelijkheid om de digitale identiteit van deze persoon over te nemen (Twitter, GMail en Apple's clouddienst).
Wellicht is de kans dat je hiervan slachtoffer wordt niet groot, maar de impact die zo'n hack op je leven kan hebben is overweldigend.
Wellicht is de kans dat je hiervan slachtoffer wordt niet groot, maar de impact die zo'n hack op je leven kan hebben is overweldigend.
De schade is eigenlijk niet al te groot.
Belangrijke informatie wordt gebackupt, dat hou je niet alleen op een cloud platform en een gadget. Als je dat niet backupt is het hetzelfde als met die belangrijke info alleen in een papiertje door de wind lopen.
Credtitcards hebben mij nooit veilig geleken en eerlijk gezegd weet ik niet hoe veilig ze precies zijn. Ik weet dat ik, voordat ik met Paypal werk, eerst een scan doe naar evt. keyloggers. Of er bij gewone ccards nog iets van sms code bevestiging nodig is, zoals bij DigID, weet ik niet.
Als er dan helemaal geen beveiliging behalve een wachtwoord is op de creditcard, dan weet ik niet of dat systeem überhaupt wel zo handig is.
Dus, veel te verliezen lijkt het me niet. Ik heb zelf eens gekeken of ik nog op mijn Battle.net account kon komen na jaren en het wachtwoord te zijn vergeten. Zij vroegen me daar om een kopie van m'n ID kaart, wat volgens hen vervalst zou zijn.
Persoonlijk heb ik dan ook liever iets meer toegankelijkheid en behulpzaamheid dan veiligheid. Geen nood toe wanneer iemand binnengedrongen is.
Belangrijke informatie wordt gebackupt, dat hou je niet alleen op een cloud platform en een gadget. Als je dat niet backupt is het hetzelfde als met die belangrijke info alleen in een papiertje door de wind lopen.
Credtitcards hebben mij nooit veilig geleken en eerlijk gezegd weet ik niet hoe veilig ze precies zijn. Ik weet dat ik, voordat ik met Paypal werk, eerst een scan doe naar evt. keyloggers. Of er bij gewone ccards nog iets van sms code bevestiging nodig is, zoals bij DigID, weet ik niet.
Als er dan helemaal geen beveiliging behalve een wachtwoord is op de creditcard, dan weet ik niet of dat systeem überhaupt wel zo handig is.
Dus, veel te verliezen lijkt het me niet. Ik heb zelf eens gekeken of ik nog op mijn Battle.net account kon komen na jaren en het wachtwoord te zijn vergeten. Zij vroegen me daar om een kopie van m'n ID kaart, wat volgens hen vervalst zou zijn.
Persoonlijk heb ik dan ook liever iets meer toegankelijkheid en behulpzaamheid dan veiligheid. Geen nood toe wanneer iemand binnengedrongen is.
De schade niet al te groot? Er zijn hier remote wipes uitgevoerd, waardoor hij 1,5 jaar aan informatie kwijt is - inclusief foto's van hoe zijn dochter opgroeide van baby tot bijna een peuter.
Daarnaast kan je, als je toegang hebt tot dat iCloud account, aankopen doen. Je kan Macs kopen die duizenden euro's kosten, en ook nog eens apps die honderden euro's kosten.
Daarnaast hadden de hackers ook nog de bankrekening leeg kunnen roven. Misschien heb je er niet veel opstaan, maar stel je voor dat je er tienduizenden, misschien wel honderdduizenden, dollars op hebt staan.
Ik vraag me af of je de schade nog steeds 'niet al te groot' vindt, als jij ooit slachtoffer hiervan wordt en je mail accounts en social media accounts zijn overgenomen (waarop onzin wordt verspreid - zoals dit geval), alle data van je apparaten worden verwijderd (niet iedereen heeft back-ups, ook al zou je denken van wel) en als er met jouw bankgegevens betalingen worden gedaan en als jouw bankrekening verder leeg wordt geroofd. Je kan daarnaast ook nog te maken krijgen met identiteitsdiefstal waar je nog arenlang last van kan hebben.
Uit een onderzoek uit 2005 bleek zelfs dat 28% van de slachtoffers van identiteitsdiefstal hun naam niet kunnen zuiveren - en dat was in een tijd waarin social media, zoals Twitter (wat nog niet eens bestond) en Facebook, veel minder populair waren..
Nee, het protocol mag wel wat strenger. Daarnaast mag er van mij ook two-factor authentication komen bij iCloud - zeker als er remote wipes kunnen worden uitgevoerd.
Daarnaast kan je, als je toegang hebt tot dat iCloud account, aankopen doen. Je kan Macs kopen die duizenden euro's kosten, en ook nog eens apps die honderden euro's kosten.
Daarnaast hadden de hackers ook nog de bankrekening leeg kunnen roven. Misschien heb je er niet veel opstaan, maar stel je voor dat je er tienduizenden, misschien wel honderdduizenden, dollars op hebt staan.
Ik vraag me af of je de schade nog steeds 'niet al te groot' vindt, als jij ooit slachtoffer hiervan wordt en je mail accounts en social media accounts zijn overgenomen (waarop onzin wordt verspreid - zoals dit geval), alle data van je apparaten worden verwijderd (niet iedereen heeft back-ups, ook al zou je denken van wel) en als er met jouw bankgegevens betalingen worden gedaan en als jouw bankrekening verder leeg wordt geroofd. Je kan daarnaast ook nog te maken krijgen met identiteitsdiefstal waar je nog arenlang last van kan hebben.
Uit een onderzoek uit 2005 bleek zelfs dat 28% van de slachtoffers van identiteitsdiefstal hun naam niet kunnen zuiveren - en dat was in een tijd waarin social media, zoals Twitter (wat nog niet eens bestond) en Facebook, veel minder populair waren..
Nee, het protocol mag wel wat strenger. Daarnaast mag er van mij ook two-factor authentication komen bij iCloud - zeker als er remote wipes kunnen worden uitgevoerd.
[Reactie gewijzigd door Uniciteit op dinsdag 7 augustus 2012 12:39]
Nog beter, hij had backups : in iCloud!
Al zijn werk en foto's stonden daar in!, is hij allemaal kwijt.
Al zijn werk en foto's stonden daar in!, is hij allemaal kwijt.
Tja apple vertrouwen met al je data... No way!! Icloud is net als dropbox soms handig en thats it. Maar zeker als redacteur die mensen in zijn blad waarschijnlijk maandelijks zegt: maak back ups. Had hij veel beter moeten weten.
-Neen, niet iedereen heeft back-ups... Maar dat heb je toch helemaal zelf in de hand. Je zet toch ook zelf het alarm op voor je gaat slapen/werken? Deuren op slot als je thuis als laatste vertrekt?
Dan is het niet meer als normaal dat je als gebruiker van zo'n elektronica gebruik maakt van back-ups. Anders zal de informatie wel zo belangrijk niet zijn. Geen medelijden mee hebben, mogelijkheden legio en als ze het dan nog vertikken, is het hun probleem.
Dan is het niet meer als normaal dat je als gebruiker van zo'n elektronica gebruik maakt van back-ups. Anders zal de informatie wel zo belangrijk niet zijn. Geen medelijden mee hebben, mogelijkheden legio en als ze het dan nog vertikken, is het hun probleem.
Wat goed zeg!Ik weet dat ik, voordat ik met Paypal werk, eerst een scan doe naar evt. keyloggers.
Een goede keylogger vind je niet met zo'n scan.
Snap niet dat je de gevolgen zo even bagatelliseert.
Ja, makkelijk praten als geen hoge/belangrijke/bekende positie in deze maatschappij hebt. Als je dat wel hebt is de pakkans veel groter.
Zoals in het artikel staat heeft de hacker in kwestie in ruil voor het laten vallen van de aanklacht uitleg gegeven over hoe dit tot stand is gekomen.
Wel goed dat dit soort dingen tegen het licht worden gehouden! Blijkbaar zijn er ook tussen 2 bedrijven geen goede afspraken over wat er wel of niet "geheim" zou moeten zijn. Dat hele verhaal met die credit cards is natuurlijk te belachelijk voor woorden.
Ik heb zelf trouwens op een support afdeling gewerkt en je wilt niet weten hoeveel mensen ongevraagd al hun wachtwoord opgeven (ook "wild vreemden") zodat je dan even mee kunt kijken in op hun account.
Er is veel mis met de policies van de bedrijven en met die gemixte belangen van Apple en Amazon zie ik ook niet veel verbetering aan de horizon, maar vergeet ook niet dat mensen van nature een behulpzame rol willen spelen. Sociaal engineering blijft gevaarlijk, mitnick wist het al lang en breed in 2002 (http://www.bol.com/nl/p/t...ception/1001004001981570/) en we zijn nog altijd niet veel verder.
Wel goed dat dit soort dingen tegen het licht worden gehouden! Blijkbaar zijn er ook tussen 2 bedrijven geen goede afspraken over wat er wel of niet "geheim" zou moeten zijn. Dat hele verhaal met die credit cards is natuurlijk te belachelijk voor woorden.
Ik heb zelf trouwens op een support afdeling gewerkt en je wilt niet weten hoeveel mensen ongevraagd al hun wachtwoord opgeven (ook "wild vreemden") zodat je dan even mee kunt kijken in op hun account.
Er is veel mis met de policies van de bedrijven en met die gemixte belangen van Apple en Amazon zie ik ook niet veel verbetering aan de horizon, maar vergeet ook niet dat mensen van nature een behulpzame rol willen spelen. Sociaal engineering blijft gevaarlijk, mitnick wist het al lang en breed in 2002 (http://www.bol.com/nl/p/t...ception/1001004001981570/) en we zijn nog altijd niet veel verder.
Dat mensen willen helpen is inderdaad een bepalende factor. Hoeveel mensen gaan dit verhaal echt lezen en weten waar het over gaat? De techhies zullen het allemaal lezen maar jan met de pet gaat het echt niet lezen en zich ook zeer boos gaan maken wanneer hij naar de helpdesk belt en ze daar moeilijk doen terwijl hij enkel maar een nieuw paswoord wil terwijl hij toch denkt te kunnen bewijzen wie hij is want hij kent zijn eigen adres toch ...
Ik denk dat het dan ook heel moeilijk gaat worden om striktere maatregelen toe te passen en ook nog eens klanten niet tegen het hoofd te stoten. Wie een probleem heeft is meestal niet echt vatbaar voor rede en wil enkel maar dat zijn probleem direct wordt opgelost.
Ik denk dat het dan ook heel moeilijk gaat worden om striktere maatregelen toe te passen en ook nog eens klanten niet tegen het hoofd te stoten. Wie een probleem heeft is meestal niet echt vatbaar voor rede en wil enkel maar dat zijn probleem direct wordt opgelost.
De laatste vier cijfers van een cc worden niet als een veiligheids risico gezien en worden op veel rekeningen en orderbevestigingen afgedrukt zodat de consument kan controleren van welke CC er wordt geïncasseerd.
Dat apple juist die vier cijfers als identificatie gebruikt is niet slim en ook niet volgens de richtlijnen van de Payment Card Industry Data Security Standard.
Dat apple juist die vier cijfers als identificatie gebruikt is niet slim en ook niet volgens de richtlijnen van de Payment Card Industry Data Security Standard.
Je slaat de spijker op de kop. Via minder belangrijke accounts of simpelweg openbare informatie op facebook is tegewoordig heel veel te achterhalen.
Er zijn genoeg mail accounts die nog steeds werken met een 'geheime vraag' waarvan het antwoord gewoon op facebook te vinden is. De fout ligt dan niet alleen bij de mail-service die dat soort beveiliging hanteerd, maar voornamelijk bij mensen die een geheime vraag niet serieus nemen.
In dit geval ligt het probleem dus niet bij amazon maar bij apple, die moet beter om gaan met de identificatie.
Wat je ook ziet bij bijv. Blizzard is de kopie van een ID gebruiken. In combinatie met CD-keys is dit nog redelijk veilig. Als iemands mail gehacked is kan het best dat er ergens een kopie te vinden is in een bijlage.
Er zijn genoeg mail accounts die nog steeds werken met een 'geheime vraag' waarvan het antwoord gewoon op facebook te vinden is. De fout ligt dan niet alleen bij de mail-service die dat soort beveiliging hanteerd, maar voornamelijk bij mensen die een geheime vraag niet serieus nemen.
In dit geval ligt het probleem dus niet bij amazon maar bij apple, die moet beter om gaan met de identificatie.
Wat je ook ziet bij bijv. Blizzard is de kopie van een ID gebruiken. In combinatie met CD-keys is dit nog redelijk veilig. Als iemands mail gehacked is kan het best dat er ergens een kopie te vinden is in een bijlage.
[Reactie gewijzigd door martijnpatelski op dinsdag 7 augustus 2012 12:11]
Sodeknetter, dat is best een intressante social engineering hack. Zelf een CC toevoegen kan blijkbaar heel makkelijk soms, en dan kun je een eind komen.
Dat is inderdaad het meest interessante aan dit verhaal.
Dat die security questions een risico zijn is natuurlijk niets nieuws. Maar dat je zonder grondige validatie dus blijkbaar het antwoord op een security vraag kan aanpassen (door CC toe te laten voegen) maakt het toch al niet briljante mechanisme natuurlijk compleet waardeloos.
Dat die security questions een risico zijn is natuurlijk niets nieuws. Maar dat je zonder grondige validatie dus blijkbaar het antwoord op een security vraag kan aanpassen (door CC toe te laten voegen) maakt het toch al niet briljante mechanisme natuurlijk compleet waardeloos.
Precies, je zou een creditcard alleen mogen toevoegen als je het oude nummer ook weet. Alleen dan hou je de challenge-response nog een klein beetje intakt.
De fout is niet dat het makkelijk is een cc toe te voegen maar dat het toegevoegde cc nummer niet wordt gecontroleerd dat is de fout.
Nee de 'hacker' kon blijkbaar een CC toeovoegen an iemand anders zijn account. Dat is natuurlijk hele vreemd.
eigenlijk is dat niet zo erg dat dat makkelijk kan. Er dient op dat moment natuurlijk wel een automatisch mailtje gestuurd te worden aan de accounteigenaar "Wij hebben dit en dat nummer aan uw account toegevoegd, klik hier als dat niet klopt"
Daarnaast zou er een belletje moeten gaan rinkelen als iemand probeert te verifiëren met een zojuist toegevoegd cc nummer. Een nieuw cc nummer zou bijvoorbeeld hier een week niet voor mogen worden gebruikt.
Daarnaast zou er een belletje moeten gaan rinkelen als iemand probeert te verifiëren met een zojuist toegevoegd cc nummer. Een nieuw cc nummer zou bijvoorbeeld hier een week niet voor mogen worden gebruikt.
Inactieve accounts vormen ook een serieus probleem als de beveiliging gelinked is. Een automatische mail is dan al waardeloos. Ook een week wachten is dan geen probleem.
Een heel mooi stukje social engineering. Dat Amazon op deze manier om de tuin is geleid is nog wel het meest schokkend voor mij, want die bieden onder dezelfde soort accounts ook hun bijvoorbeeld cloud diensten zoals EC2 aan die door veel grote bedrijven worden gebruikt. Toegang tot die accounts zou dus potentieel enorme schade/privacy incidenten kunnen veroorzaken.
[Reactie gewijzigd door Robert op dinsdag 7 augustus 2012 11:04]
Kwalijke zaak van Amazon: het is blijkbaar mogelijk om een nieuwe creditcard toe te voegen aan een account zonder enige vorm van goede authenticatie.
TNT Post.nl is wel de makkelijkste prooi als het om social engineering gaat.
Je verhuist gewoon alle post van iemand tijdelijk naar een ander (Bijlmer) adres, en gaat vervolgens allemaal zaken doen die het daglicht niet kunnen vertrouwen.
Je verhuist gewoon alle post van iemand tijdelijk naar een ander (Bijlmer) adres, en gaat vervolgens allemaal zaken doen die het daglicht niet kunnen vertrouwen.
Tja, Social engineering is de hack van oude tijden. Je kon jezelf ook gemakkelijk een Romijns legerkamp in praten als je maar geloofwaardig genoeg over kwam gok ik.
Ik herinner mij nog een Phreaker die de telefoonlijnen hackte en zo uiteindelijk tot aan de assistent van de destijdige Amerikaanse president wist te komen en daar pas faalde (omdat zijn social engineering skill niet groot genoeg was.
)
Ik gok erop dat het voornamelijk komt omdat beveiligingsprocedures veel stappen bevatten en omdat het saai is worden ze opd autoamtisch piloot gedaan door personeel.
Ik herinner mij nog een Phreaker die de telefoonlijnen hackte en zo uiteindelijk tot aan de assistent van de destijdige Amerikaanse president wist te komen en daar pas faalde (omdat zijn social engineering skill niet groot genoeg was.
)Ik gok erop dat het voornamelijk komt omdat beveiligingsprocedures veel stappen bevatten en omdat het saai is worden ze opd autoamtisch piloot gedaan door personeel.
Niet alleen dat, maar vaak moet het personeel tegelijkertijd ook nog klantvriendelijk en behulpzaam zijn. En dat wil elkaar nog wel eens bijtenIk gok erop dat het voornamelijk komt omdat beveiligingsprocedures veel stappen bevatten en omdat het saai is worden ze opd autoamtisch piloot gedaan door personeel.
. Vaak worden ze ook weer afgerekend op het aantal succesvol afgehandelde telefoontjes.Dat is ook zo, maar er speelt nog meer mee. Ik heb zelf ruime ervaring met helpdeskwerk bij allerlei verschillende soorten bedrijven en ik kom vrijwel altijd tegen dat je als medewerker een set targets krijgt opgelegd die niet te halen zijn omdat ze tegenstrijdig zijn. Veel voorkomende zijn:Ik gok erop dat het voornamelijk komt omdat beveiligingsprocedures veel stappen bevatten en omdat het saai is worden ze opd autoamtisch piloot gedaan door personeel.
1)Je gesprekken mogen x aantal seconden/minuten duren of je moet een bepaald aantal calls per uur verwerken
2)We bellen een percentage van de klanten uit die je gesproken hebt of sturen ze een sms met de vraag om feedback. Het aantal positieve reacties moet boven een ondergrens liggen.
3)Het percentage klanten dat terugbelt na jou gesproken te hebben moet onder een bepaalde bovengrens zitten.
4)Nu je de klant toch aan de lijn hebt, smeer hem gelijk even een upgrade of een andere dienst aan. Percentage sales moet boven een ondergrens zijn.
Dus de klant moet zo vriendelijk mogelijk geholpen zijn, op een manier waarbij hij de komende week in ieder geval niet meer terugbelt en het liefst gelijk zijn dienstenpakket heeft uitgebreid, en dit alles zo snel mogelijk. Herhaal dit 50 keer op een dag. Vrijwel de hele callcentersector werkt met medewerkers op uitzendbasis, dus je kan je geen slechte periode permitteren want ze nemen zo afscheid van je, in een facilitair callcenter is dat nog eens een factor 10 groter, want ze worden betaald om calls zo snel mogelijk af te handelen, is het callcenter te langzaam->boete van de opdrachtgever.
Die druk leidt er vooral bij nieuwe, onervaren medewerkers toe dat de regels nogal eens opzij worden geschoven. Krijgt een klant zijn zin niet, in dit geval geen informatie, en blijft deze klagen en zeuren aan de telefoon, en loopt de secondenteller op, en zit je op dagbasis al niet zo goed met je targets, dan word je vaak wat makkelijker. Je kan ook de hoorn erop gooien en dan zie je dat weer terug bij punt 2. Het zou me dan ook niet verbazen als het soort situaties als genoemd in dit artikel veel vaker voorkomt. Alleen is deze man een van de weinigen die in de gelegenheid is om het publiek te maken.
Frappant is overigens dat mensen met betrekking tot hun privacy en privegegevens altijd zoveel mogelijk zekerheid willen met zo weinig mogelijk moeite en inzet van hun kant daar tegenover. Een gemiddelde helpdesk in Nederland vraagt je vaak ter verificatie om je postcode, huisnummer en misschien geboortedatum, welke natuurlijk zo op te zoeken zijn en dus geen adequate beveiliging vormen, maar het zou je verbazen hoeveel mensen daarom al zuchten, gevolgd door het sarcastische "moet je mijn bank pin ook hebben?". Maar als hun gegevens vervolgens op straat liggen..
Dit zinnetje vind ik wel wat raar
Dit lijkt me best significant voor dit verhaal, een backup-service met "wipe-original" klinkt namelijk niet als een heel goed idee
Hij had volgens mij wel backups van deze apparaten, alleen stonden zijn backups.. op iCloud, en die is dus gewiped.Hij had geen backup gemaakt van zijn apparaten.
Dit lijkt me best significant voor dit verhaal, een backup-service met "wipe-original" klinkt namelijk niet als een heel goed idee
Dat viel me ook al op, wat is het nut van een back-up die gelinked is aan je account met een remote-wipe? Ik hoop dat dit mensen wakker schud. Een back-up moet volledig gescheiden zijn, ook geografisch en zeker 'softwarematig'.
De laptop was niet gebackupped via iCloud, alleen de iPhone en iPad.
Hij zal zijn iDevices wel terug kunnen restoren, maar zijn laptop waarschijnlijk niet...
Hij zal zijn iDevices wel terug kunnen restoren, maar zijn laptop waarschijnlijk niet...
iCloud is geen alternatief voor back-up, op iCloud wordt niet alles opgeslagen. Enkel je in de app store aangekochte programma's, sommige documenten, je photostream (dus niet al je foto's maar de foto's van de laatste maand en daar zit ook een limiet op het aantal), reminders, notes, mail en je settings en dergelijke
Om je een voorbeeld te geven: ik heb op mijn hd 450GB aan data en op mijn iCloud heb ik net geen 5GB aan data staan. Veel van die data op iCloud komt dan zelfs nog van mijn iOS devices.
Een back-up doe je op een Mac via Timemachine. Dat gebeurt elk uur en gebeurt op een externe fysieke harde schijf bij je thuis.
Om je een voorbeeld te geven: ik heb op mijn hd 450GB aan data en op mijn iCloud heb ik net geen 5GB aan data staan. Veel van die data op iCloud komt dan zelfs nog van mijn iOS devices.
Een back-up doe je op een Mac via Timemachine. Dat gebeurt elk uur en gebeurt op een externe fysieke harde schijf bij je thuis.
[Reactie gewijzigd door SoSueMe op dinsdag 7 augustus 2012 12:36]
Damn, ik moet toegeven dat dat toch een briljant stukje social engineering is. Interessant om te weten. Binnenkort ook maar eens two-factor auth enablen in Gmail.Eerst belde hij Amazon met de mededeling dat hij een nieuwe creditcard aan zijn account wilde toevoegen. Vervolgens belde hij opnieuw, met de mededeling dat hij zijn accountinformatie was vergeten.
Zeer jammer voor deze journalist, maar ik moet toch wel toegeven dat ik dit een knap staaltje werk vind van deze "hacker". Helaas jammer dat deze zijn punt weer moet maken met het wipen van de apparaten, een simpel leuk berichtje op twitter zou wellicht wat professioneler zijn geweest, maar blijkbaar had deze hacker het dus echt op hem gemunt.
Toch als je het zo leest, denk je niet meteen dat er grote blunders zijn gemaakt bij Apple en Amazon. Het enige wat er bij Amazon niet slim is gedaan is dat er zo makkelijk een creditcard toegevoegd kon worden, maar wie van de helpdesk staat er bij stil dat deze vervolgens gebruikt kan worden om account gegevens te achterhalen.
Een simpele implementatie van premaire & secundaire creditcard zou het probleem zo oplossen lijkt me. Waarbij de klant moet inloggen om deze om te wisselen.
Overigens zou Apple ook extra security kunnen toevoegen doormiddel van een bevestiging op een iphone / ipad / macbook zelf. Dit helpt natuurlijk alleen bij deze gevallen, maar dat scheelt al een hoop. Verificiatie via apparaten gaat nog altijd veel moeilijker dan simpel weg de laatste 4 cijfers van een creditcard, vooral in een land zoals Amerika waar een creditcard net zoveel wordt gebruikt als hier de pinpas.
Toch als je het zo leest, denk je niet meteen dat er grote blunders zijn gemaakt bij Apple en Amazon. Het enige wat er bij Amazon niet slim is gedaan is dat er zo makkelijk een creditcard toegevoegd kon worden, maar wie van de helpdesk staat er bij stil dat deze vervolgens gebruikt kan worden om account gegevens te achterhalen.
Een simpele implementatie van premaire & secundaire creditcard zou het probleem zo oplossen lijkt me. Waarbij de klant moet inloggen om deze om te wisselen.
Overigens zou Apple ook extra security kunnen toevoegen doormiddel van een bevestiging op een iphone / ipad / macbook zelf. Dit helpt natuurlijk alleen bij deze gevallen, maar dat scheelt al een hoop. Verificiatie via apparaten gaat nog altijd veel moeilijker dan simpel weg de laatste 4 cijfers van een creditcard, vooral in een land zoals Amerika waar een creditcard net zoveel wordt gebruikt als hier de pinpas.
Als Apple een extra bevestiging zou vragen bij Remote Wipe dan is de hele functie nutteloos. Het idee is dat als je iPhone / iPad / Mac gestolen / kwijt is is dat je deze kan legen zodat de dief / vinder niet meer bij je data kan komen. Als je op het device ook nog moet bevestigen gaat dat lastig worden.
Verder vind ik Amazon hierin ook wel erg slordig een account aanpassen terwijl je er niet in kan lijkt me niet de bedoeling.
En zoals hierboven al een keer genoemd. De verhuisservice van PostNL is nog de meest enge, het is veel te eenvoudig om iemand anders adres te wijzigen.
Verder vind ik Amazon hierin ook wel erg slordig een account aanpassen terwijl je er niet in kan lijkt me niet de bedoeling.
En zoals hierboven al een keer genoemd. De verhuisservice van PostNL is nog de meest enge, het is veel te eenvoudig om iemand anders adres te wijzigen.
[Reactie gewijzigd door Dipsausje op dinsdag 7 augustus 2012 12:16]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
