Come posso mitigare gli attacchi che si basano su dati avvelenati come sviluppatore?

L'attacco che descrivi si verifica perché l'account utente è un contenitore di carte di credito e Amazon ha equiparato "conoscenza di un oggetto contenuto" con "conoscenza del contenitore". Non è sorprendente, perché tutti credono che una carta di credito debba essere tenuta segreta, quindi la conoscenza della carta di credito era la prova che l'hacker conosceva un segreto.

Per impedire ciò, è possibile verificare un utente in base alla sua conoscenza delle informazioni fornite al momento della registrazione. Ciò significa che quando un agente visualizza lo schermo per aiutare qualcuno che "non riesce a ricordare la propria password", dovrebbe avere accesso solo a quei dati limitati, non a tutti i dati dell'account. Altrimenti, potresti fare un attacco simile osservando qualcuno che effettua un acquisto, quindi chiamare Amazon e dire "Certo che sono io, ho comprato un widget ieri per $ 100 da widgets.com, dovresti vederlo nella cronologia del mio account."

Un'altra opzione sarebbe richiedere la convalida di tutti i dati contenuti. Se il chiamante dice "la mia carta # è 123, è il mio account", l'agente dovrebbe essere in grado di chiedere "quante altre carte sono presenti nell'account? Per favore, dimmi tutti i numeri dell'account."

Naturalmente un approccio migliore potrebbe essere quello di richiedere la convalida dell'utente prima di consentire loro di aggiungere elementi al contenitore. Perché dovresti essere in grado di aggiungere una carta di credito a un account a meno che tu non possa provare che si tratta del tuo account? Quale vantaggio commerciale serve?

Non c'è molto che si possa fare per gli attacchi di social engineering oltre alla formazione di dipendenti migliori che interagiscono direttamente con i clienti (responsabili dell'assistenza clienti) in questo caso. Se imparano su come fare più domande in caso di sospetto, o aggiornare l'intero programma di formazione sulla sicurezza per loro. Ancora una volta non c'è molto che puoi fare.

Questo può sembrare banale ma la consapevolezza è probabilmente la risposta giusta. Molte banche hanno linee guida rigorose su quali informazioni possono essere richieste a un cliente e l'approccio migliore è quello di informare il cliente di queste linee guida con avvisi durante la sua navigazione o all'interno del contratto.

Il mio suggerimento sarebbe quello di includere una casella in cui si afferma "non ti chiederemo mai di dirci la tua password" o "non ti chiederemo mai di fare clic su un link" o "non ti contatteremo mai via email per chiederti per accedere ". Vorrei anche suggerire di avere un canale attraverso i clienti in grado di segnalare comportamenti insoliti (phishing, truffe, anomalie, ecc.).