Hundreder af Amazon-kunder rapporterer uautoriserede gebyrer på mindst £ 400.000
Action Fraud, Storbritanniens nationale rapporter om bedrageri og cyberkriminalitet, forsøger at advare offentligheden om en ny fidus, der er målrettet Amazon-kunder. Tjenesten, der drives af City of London Police, har modtaget omkring 200 rapporter fra ofre, der samlet har mistet mere end £ 400.000 (ca. $ 513.000) til ordningen. Yderligere 300 brugere fortalte Action Fraud, at de blev målrettet efter den samme fidus, men lykkedes at undgå at springe fælden. Selvom nogle mennesker heldigvis er i stand til at få øje på svindlen, er ikke alle så heldige, og svindlerne gør klart en smuk øre. Men hvordan fungerer det hele?
Table of Contents
Hackere går på kompromis med Amazon-konti ved hjælp af social engineering og automatiserede telefonopkald
Det eneste, hackere har brug for for at sætte deres plan i brug, er dit telefonnummer. De indleder et telefonopkald, men de har ikke travlt med faktisk at tale med dig. I stedet for, så snart du henter, hører du en optagelse, der fortæller, at du nu er abonneret på Prime, Amazons premium streamingtjeneste.
Naturligvis er du ikke interesseret i Amazon Prime, og du vil annullere det uautoriserede abonnement. Maskinen i den anden ende af linjen fortæller dig, at hvis du trykker på "1", vil du være i stand til det. Du er endelig ved at tale med et levende, åndedræt menneske.
Du får gennemført det, som du får at vide, er en Amazon kundeservicerepræsentant. Personen i den anden ende af linjen informerer dig om, at de kan udstede en refusion for det uautoriserede Prime-abonnement. For at behandle det har de dog brug for dine personlige oplysninger, som du skal videregive via telefonen. Alternativt får du at vide, at Prime-abonnementet blev foretaget, fordi din computer er blevet kompromitteret. Amazon kundeserviceagent kan hjælpe dig med at sikre din pc, men de har brug for dig for at installere et populært værktøj til fjernadgang ved navn TeamViewer.
Som du måske allerede har gættet, er den person, du taler med, en svindler, og deres eneste mål er at stjæle dine oplysninger og overtage din Amazon-konto.
Hvorfor Amazon?
Masterminds bag denne bestemte fidus har besluttet at sigte deres angreb på Amazon-brugere af et par meget gode grunde. For det første betyder det faktum, at antallet af aktive Amazon-konti ligger på godt over 300 millioner, at der ikke er nogen mangel på mål. Desuden synes mange brugere det er mere praktisk at gemme deres betalingskort eller kreditkortoplysninger på deres Amazon-konto, hvilket betyder, at så snart hackerne får adgang til profilen, forkæler de sig et sted med shopping ved hjælp af offerets økonomiske oplysninger. Det er slet ikke svært at udskifte leveringsadresse, og fordi mange mennesker genbruger adgangskoder på tværs af tjenester, kan de kriminelle ofte også gå på kompromis med deres e-mail-konti. Som et resultat af alt dette forbliver svigagtige ordrer ofte ubemærket i et stykke tid.
Når brugere ser de uautoriserede køb, forventer de normalt at få tilstrækkelig hjælp fra Amazon, men som det viser sig ofte modtager de ikke den behandling, de håber på.
At vende falske Amazon-køb er ikke altid så let som det burde være
Den 30. oktober skrev det britiske finansielle nyhedswebsted ThisIsMoney.co.uk om adskillige Amazon-kunder, der er blevet offer for svindel, der ligner den, der er beskrevet ovenfor. De kom alle i kontakt med forhandleren og bad om, at deres penge skulle tilbagebetales, men de fik alle et negativt svar.
Normalt ligger problemet med det faktum, at hvad angår Jeff Bezos, så leveres varerne, og ordren er legitim. Da hackerne ændrer leveringsadressen før købet, modtager ofrene imidlertid ikke varerne og har ingen måde at returnere dem på. Det hele koker ned til, hvem der bærer de økonomiske omkostninger, og Amazon er tilbageholdende med at tage det på trods af det faktum, at ifølge ThisIsMoney.co.uk fik detailhandlerens britiske division et salg på næsten 11 mia. £ (mere end $ 14,1 mia.) I 2018.
Det er vanskeligt at sige, hvem der har ret, og hvem der har forkert, både fra et juridisk og fra et moralsk perspektiv. Det, der dog er interessant, er, at så snart medierne begynder at rapportere om folk, der nægtes refusion for køb, som de ikke har foretaget, har Amazon en tendens til hurtigt at skifte mening, og pengene snart returneres til de bedragere, der er bedrageret. Denne tendens bekræftes af en anden rapport fra ThisIsMoney.co.uk, der fortæller et par flere historier om mennesker, der havde problemer med at få deres penge tilbage fra Amazon. Verdens største online detailhandler kritiseres også for sine login- og sikkerhedsmekanismer.
Amazon gør intet for at annoncere sine sikkerhedssystemer
Det er nemt at oprette en Amazon-konto. Det eneste, der kræves, er en e-mail-adresse og en adgangskode, som ikke engang behøver at være så stærk. Adgangskoden skal være mindst seks tegn lang, men der er ingen krav til den type tegn, du skal bruge, hvilket betyder, at du teoretisk set kan bruge "123456" som din Amazon-adgangskode.
Kravene til løs adgangskode kræver en enklere oprettelse af konto, men de kan også have alvorlige sikkerhedsmæssige konsekvenser. Og selvom Amazon har et system, der kan afværge de fleste af angrebene, synes det ikke særlig opsat at fortælle brugerne om det.
Forhandlerens tofaktorautentisering (eller totrinsverifikation, som Amazon kalder det) fungerer både med tekstbeskeder og med autentificeringsapps, men ganske få mennesker ved ikke engang om dens eksistens. Her er, hvad du skal gøre for at aktivere det:
- Gå til https://www.amazon.com/ og log ind på din konto.
- Klik på dit navn i øverste højre hjørne, og vælg Din konto i pop op-menuen.
- Klik på knappen Login og sikkerhed, og klik på Rediger i afsnittet To-trins-verifikation (2SV).
- Klik på Aktiver for at slå 2SV til og konfigurere systemet til dine præferencer.
To-faktor-godkendelse er ikke et universalmiddel, og det kan aldrig garantere, at hackerne forbliver væk. Hvis du værdsætter din Amazon-konto (og angrebene beskrevet ovenfor viser, at du har ganske mange grunde til at gøre det), har du dog ingen undskyldning for at holde den deaktiveret.
