Ένα απλό μήνυμα στο Τwitter είναι αρκετό για την παραβίαση του λογαριασμού σας στο PayPal…
Ένας ανώνυμος χρήστης δημοσίευσε φωτογραφίες στο Imgur, περιγράφοντας τον τρόπο με τον οποίο ένας εργαζόμενος από την ομάδα υποστήριξης πελατών της Paypal απενεργοποίησε από τον λογαριασμό του τον έλεγχο ταυτότητας δύο παραγόντων (2FA) -ένα από τα πλέον προηγμένα συστήματα προστασίας των χρηστών της εταιρείας- χωρίς να επαληθεύσει πρώτα την ταυτότητά του θέτοντάς του τα απαραίτητα ερωτήματα ασφάλειας.
Το social engineering, ή αλλιώς κοινωνική μηχανική, είναι η πιο συνηθισμένη μέθοδος παραβίασης λογαριασμών στηριζόμενη σε βασικές ανθρώπινες αλληλεπιδράσεις, όπου απλοί χρήστες προσπαθούν να πείσουν ή να εξαπατήσουν άλλους ανθρώπους σπάζοντας έτσι τις συνήθεις πρακτικές ασφάλειας.
Αν εργάζεστε για μια από τις μεγαλύτερες εταιρείες επεξεργασίας πληρωμών στο διαδίκτυο και ένας τυχαίος χρήστης του Twitter σας πείθει να απενεργοποιήσετε το σύστημα ελέγχου ταυτότητας δύο παραγόντων, παρέχοντας μόνο μια διεύθυνση ηλεκτρονικού ταχυδρομείου, τότε αυτό πρόκειται για μια χαρακτηριστική υπόθεση social engineering, που σίγουρα χρειάζεται περαιτέρω διερεύνηση. Ενώ ο καθένας μπορεί να μισεί τις μακροσκελείς ερωτήσεις ασφαλείας που τίθενται από τους υπαλλήλους κατά τη διαδικτυακή ή τηλεφωνική εξυπηρέτηση πελατών, σίγουρα κανείς από εμάς δεν επιθυμεί να παραλείπονται.
Ας ελπίσουμε ότι αυτό ήταν απλά ένα μεμονωμένο περιστατικό για την PayΡal και ότι ο παρακάτω διάλογος, ο οποίος πραγματοποιήθηκε μέσω Τwitter, θα καταλήξει σε κάποιο εκπαιδευτικό εγχειρίδιο του τμήματος εξυπηρέτησης πελατών της εταιρείας.
Παρακάτω ακολουθεί η εκπληκτική συζήτηση μεταξύ του εργαζόμενου της Pay Pal και του ιδιοκτήτη του λογαριασμού, μαζί με το email επιβεβαίωσης απενεργοποίησης του μηχανισμού ελέγχου ταυτότητας δύο παραγόντων, καθώς και η απάντηση από το τμήμα bug bounty της εταιρείας, όπου αναφέρει ότι το social engineering δεν περιλαμβάνεται στο πρόγραμμα επιβράβευσης που προβλέπεται για την αναφορά κενών ασφάλειας που εντοπίζονται στις υπηρεσίες της Paypal.
Το email επιβεβαίωσης απενεργοποίησης του μηχανισμού ελέγχου ταυτότητας δύο παραγόντων:
Η απάντηση από το τμήμα bug bounty της εταιρείας:
