Discussion :

[Michael Guilloux]

Un client d’Amazon explique qu'un attaquant aurait obtenu ses données de carte de crédit
En dupant le service client

Éric Springer est un ingénieur en développement logiciel et un utilisateur sensible à la sécurité qui estime être assez prudent pour éviter d’être victime de vol de données. Toutefois, il a vécu une expérience avec le site de commerce en ligne Amazon ; expérience à l’issue de laquelle il retient qu’un système a beau être protégé, mais parfois, il ne faut pas grand-chose pour le pirater. En ce qui concerne le système du géant du commerce en ligne, Éric Springer estime que c’est le service clientèle qui est la porte dérobée qui expose les données personnelles des clients.

Éric Springer est un utilisateur « lourd » de la plateforme AWS (600 $/mois) et cela a été repéré par un attaquant. Alors qu’il s’y attendait le moins, il reçoit un email d’Amazon qui le remercie d’avoir contacté le service clientèle, chose qu’il n’avait pas faite depuis bien longtemps.

Par curiosité, Springer se renseigne auprès d’Amazon pour en savoir plus. Il apprend alors qu’il a récemment contacté le service clientèle qui lui envoie ensuite sur demande le transcript du chat. Il se rend donc compte qu’un individu a réussi à obtenir ses informations réelles en engageant une conversation avec le service clientèle.

Dans la conversation, après que le chargé de clientèle lui a demandé sa préoccupation, l’usurpateur a répondu qu'il voulait savoir où sa dernière commande a été expédiée. Avant de répondre à sa question, par précaution, le chargé de clientèle a demandé à l’attaquant de confirmer ses informations personnelles, à savoir nom et prénoms, adresse email et adresse de facturation. L'usurpateur a bien renseigné ces informations même si l’adresse de facturation du propriétaire légitime du compte, Éric Springer, était une fausse adresse que ce dernier utilisait sur internet par précaution. Il l'avait par exemple utilisée pour enregistrer certains domaines.

D’après Éric, les informations fournies par l’attaquant auraient donc probablement été obtenues à partir de Whois, un service de recherche fourni par les registres Internet et qui permet d’obtenir des informations sur une adresse IP ou un nom de domaine.

Le chargé de clientèle étant convaincu qu’il s’adressait à monsieur Éric Springer n’a pas hésité à communiquer le nom du dernier produit acheté, l’adresse d’expédition complète ainsi que le numéro de téléphone. Le fraudeur a également demandé le solde de la gift card sur le compte de Springer, qui était alors de 0 $.

La première partie de la mission était accomplie. Après ce premier chat avec le service clientèle, l’attaquant a obtenu l’adresse réelle de sa cible ainsi que son numéro de téléphone. Il ne reste plus que les informations de la carte de crédit qu’il projette d’avoir dans une autre conversation avec le service clientèle.

Se rendant compte de ce qui se passait sur son compte, Éric a alors contacté Amazon en leur demandant de mettre une note sur son compte, laquelle note indiquait que le compte était à un risque d’ingénierie sociale très élevée et qu’il sera toujours en mesure de se connecter.

Quelques mois plus tard, Éric reçoit un email du service client indiquant qu’il avait à nouveau contacté le site. Le transcrit du chat montre que c’était l’attaquant dans la deuxième étape de son plan, essayant d’avoir les données de carte de crédit de Springer.

Dans la deuxième discussion avec le service clientèle d’Amazon, l’attaquant utilise la même technique pour tenter d’obtenir les quatre derniers digits de la carte de crédit. Cette fois, quand le chargé de clientèle lui demande ses informations personnelles pour vérification, l’usurpateur prend la peine de fournir l’adresse réelle de Springer qu’il a obtenue lors de la phase précédente. Il n’hésite pas alors à demander le moyen de paiement utilisé et il apprend que c'était une carte de crédit. Sans passer par quatre chemins, il demande ensuite les quatre derniers digits, chose que le chargé de clientèle refuse de donner par mesure de sécurité.

N’arrivant pas à obtenir cette donnée de la part du chargé de clientèle, l’attaquant laisse entendre qu’il utilise couramment plusieurs cartes de crédit et qu’en ayant un peu plus d’informations sur la carte qui a permis d’effectuer son dernier achat, il pourrait identifier la bonne carte parmi celles dont il dispose. Pour cela, il demande l’un après l’autre, les deux derniers digits de la carte, le type de carte (VISA, MasterCard ?), la date d’expiration, bref. Il essaie tout ce qu’il peut, mais sans succès. Il décide alors de recontacter le service plus tard.

Après cette deuxième alerte, Éric contacte à nouveau Amazon pour réitérer combien il est important que son compte soit sécurisé et demander de ne pas donner ses coordonnées à quiconque avec un nom et une adresse. Mais la prochaine étape du plan de l’attaquant lui a probablement été fatale. L’usurpateur entre une nouvelle fois en contact avec le service clientèle, mais cette fois, Éric ne peut avoir de transcript. L’attaquant change de technique et contacte Amazon par téléphone, mais la société refuse de donner à monsieur Springer l’enregistrement de la conversation téléphonique. Quant à Éric, il est persuadé que l'attaquant a réussi à obtenir les quatre derniers digits de sa carte de crédit.

Source : Éric Springer

Et vous ?

Qu’en pensez-vous ? Que suggérez-vous pour éviter ce genre d’attaque ?

[Alvaten]

Qu’en pensez-vous ? Que suggérez-vous pour éviter ce genre d’attaque ?

Le titre de l'article suggère que M. Springer s'est fait voler ses informations de carte de crédit, pourtant je comprend que l'attaquant n'a obtenu "que" son adresse postale et son numéro de téléphone. Le service d'Amazon a refusé de fournir les informations demandées par l'attaquant.

Pour ce qui est des attaques par ingénierie social, je vois pas trop comment s'en protéger efficacement à part en faisant attention à ce qu'on écrit sur le net (et encore visiblement faire attention est insuffisant si l'attaquant est persévérant). Si l'attaquant est bien renseigné je vois mal comment un SAV peux faire la différence. La meilleure solution consiste encore à faire comme Amazon, refuser de fournir ce genre d'information, car au final je ne vois pas pourquoi le client légitime en aurait besoin.

[Invité]

Si j'ai bien compris, suite à cet appel téléphonique dont il n'a pas pu avoir la transcription, M. Springer a dû supposer que l'attaquant avait réussi à obtenir ces 4 chiffres, faute de preuve du contraire, et j'imagine prendre les mesures nécessaires auprès de sa banque avec les frais qui s'en suivent. En fait, son problème, c'est qu'il n'a pas pu obtenir d'Amazon la certitude que son problème d'usurpation avait été pris en compte par le SAV. Il estime qu'une sorte de "mesure d'urgence" aurait dû être mise en place suite à sa demande, et qu'Amazon n'aurait pas dû continuer à fournir des informations aux personnes munies de son nom et son adresse. Ce qu'Amazon n'a pas fait.
Dans l'absolu, je ne vois pas non plus ce qu'on peut faire pour éviter les attaques, mais là il y a clairement eu un manque d'écoute de la part d'Amazon, alors que M. Springer s'est montré prudent et a pris les mesures qui s'imposaient au moment où elles s'imposaient.

[AoCannaille]

Si j'ai bien compris, suite à cet appel téléphonique dont il n'a pas pu avoir la transcription, M. Springer a dû supposer que l'attaquant avait réussi à obtenir ces 4 chiffres, faute de preuve du contraire, et j'imagine prendre les mesures nécessaires auprès de sa banque avec les frais qui s'en suivent. En fait, son problème, c'est qu'il n'a pas pu obtenir d'Amazon la certitude que son problème d'usurpation avait été pris en compte par le SAV. Il estime qu'une sorte de "mesure d'urgence" aurait dû être mise en place suite à sa demande, et qu'Amazon n'aurait pas dû continuer à fournir des informations aux personnes munies de son nom et son adresse. Ce qu'Amazon n'a pas fait.
Dans l'absolu, je ne vois pas non plus ce qu'on peut faire pour éviter les attaques, mais là il y a clairement eu un manque d'écoute de la part d'Amazon, alors que M. Springer s'est montré prudent et a pris les mesures qui s'imposaient au moment où elles s'imposaient.

la mesure la plus simple serait de limiter l'accès au SAV aux utilisateurs Donc les obliger à se logguer sur le site.
Si un usurpateur réussit à s'authentifier et que, selon la même procédure, l'utilisateur s'en rend compte, il n'a qu'a changer mdp, adresses mail de secours, question de récupération de mot de passe etc...

Parce que bon, 99% des infos qu'il demande au service client, on les a dans notre historique de commande tout de même...

[nchal]

Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?

[Traroth2]

Je veux bien croire qu'Amazon conserve les transcripts de chat de ce genre, mais j'ai du mal à imaginer qu'ils conservent les enregistrements de toutes conversations téléphoniques du service client. Il faudrait vite construire des datacenters juste pour ça. Dans ces conditions, qu'ils n'aient pas fourni un enregistrement qui n'existe pas me parait assez logique.

Par contre, un dépôt de plainte permettrait peut-être de retrouver l'escroc ?

[Invité]

Je veux bien croire qu'Amazon conserve les transcripts de chat de ce genre, mais j'ai du mal à imaginer qu'ils conservent les enregistrements de toutes conversations téléphoniques du service client.

Normalement, si, dans les boîtes de cette ampleur, toutes les conversations sont systématiquement enregistrées et archivées. Ça sert notamment à embêter les standardistes et les commerciaux (désolée d'être mauvaise langue mais c'est ce qui se passe dans la pratique, leur efficacité est évaluée via ces enregistrements) et éviter les problèmes juridiques. Pour moi, aucun doute que si une enquête était ordonnée, ces enregistrements seraient retrouvés.

[BufferBob]

Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?

tenter de rappeler ensuite et demander le reste des numéros en expliquant qu'on sait plus si la carte en question est toujours valide (si c'est l'ancienne ou la nouvelle) ou qu'on croit qu'on a fait une erreur en tapant le numéro ou autre, "c'est la gold qui termine par 1234 svp"

Qu’en pensez-vous ?

c'est malin de la part de l'attaquant, l'être humain est l'éternel maillon faible de la chaine, quant aux risques liés à ce genre d'attaques que dire... "tant qu'il y aura des hommes" les risques continueront d'exister

Que suggérez-vous pour éviter ce genre d’attaque ?

rien. on ne peut pas empêcher les attaques, on peut juste les bloquer quand elles arrivent, de ce point de vue le call center indien d'amazon est plutôt bien rodé aux tentatives de SE manifestement, j'aurais même largement plus confiance dans le service consommateur d'amazon par chat interposé pour ne pas divulguer mes informations sensibles que dans mon commissariat de police en face à face pour assurer qu'on usurpe pas mon identité. (vous avez déjà perdu vos papiers ? je vous laisse réfléchir... un indice chez vous : "comme dans du beurre et sans forcer, presque amené sur un plateau")

[Traroth2]

Normalement, si, dans les boîtes de cette ampleur, toutes les conversations sont systématiquement enregistrées et archivées. Ça sert notamment à embêter les standardistes et les commerciaux (désolée d'être mauvaise langue mais c'est ce qui se passe dans la pratique, leur efficacité est évaluée via ces enregistrements) et éviter les problèmes juridiques. Pour moi, aucun doute que si une enquête était ordonnée, ces enregistrements seraient retrouvés.

J'en serais très surpris, non seulement à cause de la masse de données, mais aussi parce que c'est illégal dans de nombreux pays. En France, par exemple, c'est le cas.

[BufferBob]

J'en serais très surpris, non seulement à cause de la masse de données, mais aussi parce que c'est illégal dans de nombreux pays. En France, par exemple, c'est le cas.

en fait, j'ai l'impression que le lien que tu donnes tend plutôt à confirmer que l'inverse justement, puisqu'il est dit que l'enregistrement est autorisé dans une optique d'évaluation du salarié et d'amélioration de la qualité du service, de façon "ponctuelle"

quant à la masse de données... faut voir mais si on parle d'une rétention maximum de 6 mois, un appel téléphonique une fois compressé ça tient sur à peine quelques Mo, c'est pas comme si les entreprises avaient la capacité de stocker des téraoctets de données dans à peine quelques disques de nos jours

et puis en l'occurrence il ne s'agit pas du cadre légal français mais plus surement américain ou indien ici, les deux semblent assez flexibles sur la question néanmoins

• http://lifehacker.com/5491190/is-it-...rd-phone-calls
• https://en.wikipedia.org/wiki/Teleph...ing_laws#India

[Carhiboux]

Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?

Cela peut n'être qu'une étape de l'usurpation. Par exemple comme ce qui est arrivé à Mat Honan.

Et un mec qui dépense 600$/mois sur Amazon, tu peux légitimement supposer qu'il est client chez Apple aussi.

Individuellement, les procédures sont sures, mises bout à bout... tu peux récupérer des informations à droite à gauche qui permettent de rassembler le puzzle.

[sinasquax]

Je ne comprend pas comment l'attaquant a su que le gars dépense 600$ par mois ?
Et on peut demander tous ces renseignements sans être connecté au compte Amazon ? Il ne faut pas être loggé pour chatter avec le service clientèle ?

[BufferBob]

vu toutes les questions sur comment faire et comme ça a l'air d'intéresser pas mal de monde, comment récupérer les infos, etc. le mieux c'est encore de renvoyer vers un tuto complet sur le SE pour que tout un chacun puisse s'y essayer

[Traroth2]

en fait, j'ai l'impression que le lien que tu donnes tend plutôt à confirmer que l'inverse justement, puisqu'il est dit que l'enregistrement est autorisé dans une optique d'évaluation du salarié et d'amélioration de la qualité du service, de façon "ponctuelle"

quant à la masse de données... faut voir mais si on parle d'une rétention maximum de 6 mois, un appel téléphonique une fois compressé ça tient sur à peine quelques Mo, c'est pas comme si les entreprises avaient la capacité de stocker des téraoctets de données dans à peine quelques disques de nos jours

et puis en l'occurrence il ne s'agit pas du cadre légal français mais plus surement américain ou indien ici, les deux semblent assez flexibles sur la question néanmoins

• http://lifehacker.com/5491190/is-it-...rd-phone-calls
• https://en.wikipedia.org/wiki/Teleph...ing_laws#India

Toi, je ne sais pas, mais pour moi, ponctuel et systématique, c'est contradictoire. Pour que cet enregistrement puisse exister, il faut soit que les enregistrements soient systématiques, soit qu'ils soient ponctuels et qu'ils aient justement enregistré cette conversation là. Qu'en penses-tu ?

Bien sûr, il ne s'agit pas là du droit français, mais venir dire que c'est une évidence que cet enregistrement ait été enregistré, c'est quand même aller franchement vite en besogne, parce que justement, ça n'a strictement rien d'évident !

[Traroth2]

vu toutes les questions sur comment faire et comme ça a l'air d'intéresser pas mal de monde, comment récupérer les infos, etc. le mieux c'est encore de renvoyer vers un tuto complet sur le SE pour que tout un chacun puisse s'y essayer

Tu parles de ces tutos là, peut-être ?

http://www.amazon.fr/s/ref=nb_sb_ss_...ck%2Caps%2C221

[Invité]

Bien sûr, il ne s'agit pas là du droit français, mais venir dire que c'est une évidence que cet enregistrement ait été enregistré, c'est quand même aller franchement vite en besogne, parce que justement, ça n'a strictement rien d'évident !

J'ai traduit il y a peu un support de formation d'une boîte américaine similaire à Amazon à destination de ses commerciaux sous-traitants, dans lequel il était très clairement dit que toutes les conversations téléphoniques de cet ordre étaient enregistrées. Bien sûr, je n'ai pas de sources à fournir et je sais bien que rien ne t'oblige à me croire sur parole, simplement, pour moi, il est évident que c'est une pratique courante, donc je signale. Tu en fais ce que tu veux. Il se peut aussi qu'Amazon applique des modèles moins dégueu que la boîte en question, mais j'en doute.

Je peux te renvoyer vers une des offres d'Avaya, par contre : http://www.vpi-corp.com/record-avaya-call-recording.asp
Cette boîte ne vendrait pas de solutions d'enregistrement des appels si personne ne les achetait. Même si rien ne prouve qu'Amazon y a recours, c'est quand même un indice.

[BufferBob]

Toi, je ne sais pas, mais pour moi, ponctuel et systématique, c'est contradictoire. Pour que cet enregistrement puisse exister, il faut soit que les enregistrements soient systématiques, soit qu'ils soient ponctuels et qu'ils aient justement enregistré cette conversation là. Qu'en penses-tu ?

que c'est pas faux, voire même tout à fait juste, respire...

Bien sûr, il ne s'agit pas là du droit français, mais venir dire que c'est une évidence que cet enregistrement ait été enregistré

ça tombe bien, ça n'est pas ce que j'ai dit ^^

Tu parles de ces tutos là, peut-être ?
http://www.amazon.fr/s/ref=nb_sb_ss_...ck%2Caps%2C221

non pas vraiment, c'était à prendre de façon plus "souple" intellectuellement parlant, juste un pied de nez à tous ceux qui s'enquièrent de savoir "comment on fait pour bypass la secrétaire", et "avec les numéros on fait quoi", "une fois qu'ils ont la totale ils font comment les mecs pour pas se faire gauler" etc. autant de détails collatéraux à la discussion et dont la divulgation s'apparente à expliquer des techniques de piratage, ce qu'on évite de faire sur les forums dvp à priori

les livres de Mitnick de ce que j'ai pu comprendre (je ne les ai pas lu personnellement) c'est plutôt des bouquins pour manger (à prendre ici aussi au second degré, le propos n'est pas de manger le livre, c'est Mitnick qui l'écrit pour pouvoir manger, je précise sait-on jamais ^^), ça fourmille d’anecdotes des années 80/90 pour truander l'opératrice téléphonique et c'est finalement assez loin d'un quelconque tutoriel ou d'une collections de techniques prêtes à l'emploi, les spécialistes en SE beaucoup de ceux que je connais (des pentesteurs pour l'essentiel) leur livre de prédilection c'est plutôt Sun Tzu...

[23JFK]

Je ne vois pas ce qu'un attaquant peut faire avec les 4 derniers digits de ta carte... Comment voler de l'argent avec seulement une partie du numéro ?

Les numéros de cartes ne sont pas attribués totalement par hasard, le premier chiffre de gauche renseigne sur le type de la carte, (information obtenue lors de l'attaque), les trois ou quatre chiffres suivants indique le guichet de la banque (information souvent déductible à partir de l'adresse de résidence puisque les gens choisissent rarement une banque à 100 bornes de chez eux). Les quatre derniers chiffres permettent entre autre d'avoir un code de contrôle déterminé par les chiffres précédents et donc par rétro-ingénierie de l'algorithme de définir un set de numéros de cartes potentiellement valides. Ensuite, par écrémage successif (par exemple : certaines combinaisons de chiffres sont impossibles ; listes de numéros de cartes volés sur d'autres site et vendus entre escrocs), et de la patience (l'attaque est manifestement planifiée sur plusieurs mois) l'escroc a alors de bonnes chances de réussir à récupérer une identité bancaire valide sans que l'origine de la fuite puisse être clairement identifiée (ce qui est succeptible de compliquer les démarches de dédommagement/annulation).

[LSMetag]

Ho putain ça explique tout ! Je viens de changer de carte bleue parce que je me la suis fait pirater !

Je suis très prudent normalement. Je ne tape jamais mes coordonnées bancaires, ni les copie/colle. Les seuls qui l'ont sont Paypal, Steam, Amazon et LastPass.

Un beau matin, il y a 2 semaines, on m'a retiré 325€ sur mon compte, pour un truc à Séoul.

Ok je vais téléphoner à Amazon.

Merci pour l'info

[StephBretagne]

Une solution ?
Utiliser une carte bancaire virtuelle à usage unique peut-être ?
Perso, ça me paraît quand même dingue qu'un type ait pris autant de temps pour pirater une seule CB. Vous ne ne trouvez pas ça étrange vous?