web-dev-qa-db-fra.com

Tentative de fraude complexe sur eBay

J'aimerais avoir la contribution de la communauté sur un événement qui a eu lieu récemment, dont je ne sais honnêtement pas ce que font:

  1. Lorsque vous essayez de regarder un objet sur eBay, un avertissement indique que mon compte a été compromis et que le compte a été verrouillé pour éviter les abus.

  2. J'ai écrit un e-mail à eBay et j'ai reçu une réponse de [email protected] en disant:

    1. Je dois les appeler par téléphone pour rouvrir mon compte.
    2. L'appel prendrait plus de 10 minutes.
    3. L'appel serait traité par une personne dans un pays asiatique spécifié.
    4. L'email était plein de phrases comme "Votre obéissance est importante pour nous".

Il y a eu une explosion de fraude téléphonique où j'habite récemment, et les détails ci-dessus crient évidemment "fraude" (confirmé après avoir écrit un e-mail à [email protected]), mais ce que je ne comprends pas c'est:

  1. Comment ont-ils réussi à déclencher un message "Votre compte a été verrouillé" sur eBay en premier lieu? (Cet avertissement est apparu à deux reprises, mais semble avoir disparu maintenant.)
  2. Plus important encore, comment ont-ils réussi à prendre le contrôle de [email protected]? (Mon e-mail a été cité dans leur réponse, ce qui prouve leur accès à cette boîte de réception.)

En outre, [email protected] n'étaient pas très utiles pour expliquer ce qui s'était passé ou quoi que ce soit. Je ne sais même pas si je dois faire confiance à leur réponse ...

Mise à jour: [email protected] ne fournit aucune explication sur l'incident, malgré plusieurs demandes. [email protected] répond toujours à sa manière habituelle, comme si j'attendais simplement que je prenne l'appât. Je devrais peut-être simplement fermer mon compte. Cela fait des années que je n'ai rien acheté à ce dinosaure vieillissant qui n'a pas changé de conception depuis les années 90 et qui n'a manifestement aucun contrôle ni intérêt pour sa sécurité ou ses clients. (PS! Une semaine après avoir écrit ce paragraphe, eBay affiche un lien pour passer à un design modernisé. Ce problème est maintenant entré dans la zone crépusculaire.)

Vous trouverez ci-dessous un extrait des en-têtes des e-mails. Il contient également quelques entrées DKIM.

From: [email protected]
Received: from mxphxpool1032.ebay.com ([66.211.185.135])
Received: from mxphxpool1004.ebay.com (phxlb238-ext-snat01.phx.ebay.com [10.4.13.31])
Received: from phx8b02c-f396.stratus.phx.ebay.com (phx8b02c-f396.stratus.phx.ebay.com [10.193.75.168])
Message-ID: <***[email protected]>

Mise à jour: Je viens de remarquer que la communication avec eBay est en fait affichée dans "Mes messages" sur ebay.com! Est-ce qu'eBay communique après tout ?? Mais quel type de service client écrit des choses comme "Votre obéissance est importante pour nous" à leurs utilisateurs et a besoin d'un long appel international pour vérifier les comptes? Service client externalisé? Ou même, un service client externalisé devenu voyou s'est jeté avec de mauvaises références anglaises et culturelles incompréhensibles pour le monde occidental.

C’est la moitié de l’année, une journée bénie pour vous et votre famille!

Merci d'être revenu au service client eBay. Je sais que cela vous demande combien de temps prendra la confirmation d'identité. Je m'appelle Lester (*), ne vous inquiétez pas, je ferai de mon mieux pour vous aider aujourd'hui et vous donner des conseils utiles lorsque vous nous contacterez par téléphone.

Tout d'abord, je veux que vous sachiez que cela me fait plaisir personnellement que vous nous ayez prêté du temps en nous parlant par téléphone et pour votre ouverture d'esprit. Votre obéissance et votre ingéniosité sont vraiment importantes pour nous.

Nous sommes situés aux Philippines en même temps, je dois vous dire honnêtement que nous ne serons en mesure de divulguer l'emplacement exact d'aucun de nos représentants. Cela est dû aux mesures et pratiques de sécurité.

Et je crois que les appels ATO prendront moins de 12 minutes. C'est aussi longtemps que les questions auxquelles il faut répondre seront toujours livrées.

(*) - Le nom change pour chaque e-mail.

fraudscam
18
forthrin

Vous avez pris un ensemble judicieux de mesures pour résoudre le problème vous-même. Bravo pour ne pas avoir été piqué.

Cependant, les principaux indicateurs d'un problème que vous signalez ici semblent être liés au contenu plutôt qu'à la technologie.

un avertissement a indiqué que mon compte avait été compromis et que le compte était verrouillé

Cela peut provenir d'eBay à la suite d'une action des attaquants ou cela pourrait faire partie du stratagème des attaquants. Avez-vous vérifié que vous utilisiez HTTPS? Avez-vous pris note des détails du certificat? Les avez-vous comparés aux détails lorsque vous vous connectez d'ailleurs? Quel navigateur utilisiez-vous?

J'ai écrit un e-mail à eBay et j'ai reçu une réponse de [email protected]

Quel client de messagerie avez-vous utilisé (répondu ensuite partiellement dans les commentaires)? Où avez-vous obtenu l'adresse à laquelle vous avez envoyé l'e-mail? L'adresse à laquelle vous avez envoyé l'e-mail était-elle identique à l'adresse de l'expéditeur/de la réponse dans la réponse? Vous avez dit que la réponse citait votre e-mail d'origine, ce qui est significatif. L'inclusion des en-têtes complets de la réponse ici aurait pu être utile.

Je dois les appeler par téléphone pour rouvrir mon compte.

S'agissait-il d'un numéro sans frais? Avez-vous essayé de vérifier le numéro apparaissant sur le site eBay en utilisant un autre ordinateur ailleurs? Avez-vous essayé de googler le numéro (encore une fois, sur un appareil ailleurs) pour voir si quelqu'un d'autre l'avait rencontré?

fraude [...] confirmée après avoir écrit un e-mail à [email protected]

J'espère que votre correspondance avec spoof @ ebay a été lancée à partir d'un autre appareil. Dans ce cas, il semblerait que votre e-mail ne leur ait pas été détourné, mais si vous pensez qu'un attaquant pourrait être en mesure de subvertir un compte @ ebay.com, il est raisonnable de supposer que toute la correspondance avec ce domaine peut être compromise.

Comment ont-ils réussi à déclencher un message "Votre compte a été verrouillé" sur eBay

Je n'ai aucune idée. Je pense qu'il est plus probable qu'ils aient trouvé une méthode pour déclencher ce comportement sur ebay plutôt qu'une attaque MITM/MITB contre votre session HTTP. Les organisations ont tendance à ne pas publier la recette secrète de la sauce par laquelle elles identifient la fraude. Mais cela a peut-être été aussi simple que de taper le mauvais mot de passe plusieurs fois.

comment ont-ils réussi à prendre le contrôle de [email protected]?

Ils n'en ont pas besoin.

Il peut être suffisant de contrôler n'importe lequel de vos appareils, votre routeur, le routeur de votre FAI, le serveur de messagerie de votre FAI, le serveur DNS de votre FAI. Il est également possible que le service de messagerie ebay ait été compromis. De nombreuses grandes organisations externalisent leur soutien au centre d'appels le moins cher. Ainsi, même lorsque vous correspondez avec les personnes de support eBay désignées, il se peut que vous ne correspondiez pas avec les personnes employées par eBay. Donc, en plus des serveurs/routeurs sur eBay et des serveurs/routeurs du centre d'appels, je pense qu'il est raisonnable d'inclure des actions d'agents voyous actuellement ou anciennement employés par le centre d'appels en tant que candidats potentiels.

Alors que le DKIM et les en-têtes partiels suggèrent que les réponses frauduleuses ont été acheminées via les serveurs d'eBay, il n'y a pas suffisamment d'informations ici pour prouver que c'est le cas. L'e-mail d'origine contient suffisamment d'informations pour prouver que cela est vrai.

1
symcbean