Setki klientów Amazon zgłaszają nieautoryzowane opłaty w wysokości co najmniej 400 000 £
Action Fraud, krajowe brytyjskie centrum zgłaszania oszustw i cyberprzestępczości, próbuje ostrzec opinię publiczną o nowym oszustwie skierowanym do klientów Amazon. Usługa prowadzona przez policję City of London otrzymała około 200 zgłoszeń od ofiar, które łącznie straciły ponad 400 000 GBP (około 513 000 USD) w ramach programu. Kolejnych 300 użytkowników poinformowało Action Fraud, że padli ofiarą tego samego oszustwa, ale udało im się uniknąć pułapki. Chociaż niektóre osoby są na szczęście w stanie wykryć oszustwo, nie wszyscy mają tyle szczęścia, a oszuści zarabiają całkiem sporo. Ale jak to wszystko działa?
Table of Contents
Hakerzy narażają konta Amazon za pomocą socjotechniki i automatycznych połączeń telefonicznych
Jedyne, czego hakerzy potrzebują, aby uruchomić swój plan, to Twój numer telefonu. Inicjują rozmowę telefoniczną, ale nie spieszą się z tobą. Zamiast tego, jak tylko odbierzesz, usłyszysz nagranie, które mówi, że jesteś teraz subskrybentem Prime, usługi przesyłania strumieniowego premium Amazon.
Oczywiście nie jesteś zainteresowany Amazon Prime i chcesz anulować nieautoryzowaną subskrypcję. Maszyna na drugim końcu linii powie ci, że jeśli naciśniesz „1”, będziesz w stanie to zrobić. W końcu masz zamiar porozmawiać z żywym, oddychającym człowiekiem.
Przechodzisz do tego, co powiedziano ci, że jest przedstawicielem obsługi klienta Amazon. Osoba na drugim końcu linii informuje, że może dokonać zwrotu pieniędzy za nieautoryzowaną subskrypcję Prime. Aby je przetworzyć, będą jednak potrzebować Twoich danych osobowych, które musisz ujawnić przez telefon. Ewentualnie zostaniesz poinformowany, że subskrypcja Prime została dokonana, ponieważ komputer został przejęty. Agent obsługi klienta Amazon może pomóc zabezpieczyć komputer, ale wymaga zainstalowania popularnego narzędzia do zdalnego dostępu o nazwie TeamViewer.
Jak można się już domyślać, osoba, z którą rozmawiasz, jest oszustem, a jej jedynym celem jest kradzież informacji i przejęcie konta Amazon.
Dlaczego Amazon?
Twórcy tego oszustwa postanowili skierować swój atak na użytkowników Amazon z kilku bardzo dobrych powodów. Po pierwsze, fakt, że liczba aktywnych kont Amazon wynosi ponad 300 milionów, oznacza, że nie brakuje celów. Ponadto wielu użytkowników uważa, że wygodniej jest zapisać dane karty debetowej lub kredytowej na swoim koncie Amazon, co oznacza, że gdy tylko hakerzy uzyskają dostęp do profilu, mogą zrobić zakupy, korzystając z informacji finansowych ofiary. Zamiana adresu dostawy wcale nie jest trudna, a ponieważ wiele osób ponownie używa haseł w różnych usługach, przestępcy często mogą również narazić na szwank swoje konta e-mail. W wyniku tego fałszywe zamówienia często pozostają przez chwilę niezauważone.
Gdy użytkownicy widzą nieautoryzowane zakupy, zwykle oczekują odpowiedniej pomocy od Amazon, ale jak się okazuje, często nie otrzymują leczenia, na które liczą.
Cofanie nieuczciwych zakupów Amazon nie zawsze jest tak łatwe, jak powinno być
30 października brytyjska strona z wiadomościami finansowymi ThisIsMoney.co.uk napisała o kilku klientach Amazon, którzy padli ofiarą oszustw podobnych do przedstawionych powyżej. Wszyscy skontaktowali się ze sprzedawcą i poprosili o zwrot pieniędzy, ale wszyscy otrzymali odpowiedź negatywną.
Zwykle problem polega na tym, że w przypadku Jeffa Bezosa przedmioty są dostarczane, a zamówienie jest zgodne z prawem. Ponieważ hakerzy zmieniają adres dostawy przed zakupem, ofiary nie otrzymują towarów i nie mają możliwości ich zwrotu. Wszystko sprowadza się do tego, kto ponosi koszty finansowe, a Amazon niechętnie je bierze, mimo że według ThisIsMoney.co.uk brytyjski oddział detalisty podniósł sprzedaż o prawie 11 miliardów funtów (ponad 14,1 miliarda dolarów) w 2018 r.
Trudno powiedzieć, kto ma rację, a kto nie, zarówno z prawnego, jak i moralnego punktu widzenia. Co ciekawe, gdy tylko media zaczną informować o ludziach, którym odmówiono zwrotu pieniędzy za zakupy, których nie dokonali, Amazon ma tendencję do szybkiej zmiany zdania, a pieniądze są wkrótce zwracane oszukanym użytkownikom. Trend ten potwierdza drugi raport ThisIsMoney.co.uk, który opowiada o kilku historiach ludzi, którzy mieli problemy z odzyskaniem pieniędzy od Amazon. Największy na świecie sprzedawca online jest także krytykowany za mechanizmy logowania i zabezpieczenia.
Amazon nie robi nic, aby reklamować swoje systemy bezpieczeństwa
Utworzenie konta Amazon jest łatwe. Wymagany jest tylko adres e-mail i hasło, które nawet nie muszą być tak silne. Hasło musi mieć co najmniej sześć znaków, ale nie ma wymagań co do rodzaju znaków, których musisz użyć, co oznacza, że teoretycznie możesz użyć „123456” jako hasła Amazon.
Wymagania dotyczące luźnego hasła ułatwiają proces tworzenia konta, ale mogą mieć również poważne konsekwencje dla bezpieczeństwa. I chociaż Amazon ma system, który mógłby odpierać większość ataków, nie wydaje się szczególnie chętny do informowania użytkowników o tym.
Uwierzytelnianie dwuskładnikowe sprzedawcy (lub weryfikacja dwuetapowa, jak to nazywa Amazon) działa zarówno z wiadomościami tekstowymi, jak iz aplikacjami do uwierzytelniania, ale wiele osób nawet nie wie o jego istnieniu. Oto, co musisz zrobić, aby to włączyć:
- Wejdź na https://www.amazon.com/ i zaloguj się na swoje konto.
- Kliknij swoje imię i nazwisko w prawym górnym rogu i wybierz Twoje konto z menu podręcznego.
- Kliknij przycisk Zaloguj się i zabezpieczenia, a następnie Edytuj w sekcji Weryfikacja dwuetapowa (2SV).
- Kliknij Włącz, aby włączyć 2SV i skonfigurować system zgodnie z własnymi preferencjami.
Uwierzytelnianie dwuskładnikowe nie jest panaceum i nigdy nie może zagwarantować, że hakerzy pozostaną z dala. Jeśli cenisz swoje konto Amazon (a opisane powyżej ataki pokazują, że masz na to całkiem sporo powodów), nie masz usprawiedliwienia dla jego wyłączenia.
