Troppi posti utilizzano gli ultimi 4 di un SSN per la convalida del rappresentante dell'assistenza clienti (CSR). È presumibilmente una di quelle "informazioni" che solo tu vorresti sapere, ma, purtroppo, è più spesso più noto che ci piacerebbe pensare. Può quindi essere utilizzato come parte di un attacco di social engineering per accedere a, o controllare, un account. Ecco un resoconto di come qualcosa di simile è stato utilizzato per ottenere il controllo dell'account Apple di un reporter e cancellare tutti i suoi dispositivi .
As Honan explained, Amazon allowed users to add a credit card number to an account simply by calling Amazon and providing a name, e-mail address, and billing address. After hackers used this method of adding a credit card number to Honan's account, they hung up—and then called Amazon back to claim they'd lost access to the account. At this point, they provided the fake credit card number, convincing Amazon to let them add a new e-mail address to the account. The next step was going to the Amazon website and requesting that a password reset e-mail be sent to that e-mail address. From there, the hackers could view the last four digits of Honan's credit cards on Amazon's website.
With those four digits (and Honan's username and billing address), hackers convinced Apple to send a temporary password that let them take over his iCloud account and wreak all sorts of havoc. "The very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification," Honan wrote.
Non posso dirti quante volte ho avuto un CSR, prendi solo gli ultimi 4 dei miei social come prova che sono io.