Cette «mise à jour de sécurité» de [email protected] est-elle une arnaque de phishing avancée ou une véritable mesure de sécurité d'Amazon?
Je viens de recevoir une mise à jour de sécurité utile d'Amazon ou une tentative de phishing avancée par un imitateur d'Amazon falsifiant l'origine de l'e-mail. Le titre est "Votre mot de passe Amazon a été modifié" .
Il semble y avoir des affirmations mitigées sur la validité de cette information en ligne. L'un des articles que je citerai mentionne que dans sa version de cet e-mail, chaque mention de "Amazon.com" est formatée en lien . L'article ne mentionne pas la vérification de la cible du lien et malheureusement (ou heureusement) mon client de messagerie (Yahoo mail) semble avoir supprimé ce lien du texte, peut-être pour lutter contre de telles tentatives de phishing.
Je ne suis pas inquiet d'être en danger moi-même, mais j'ai pensé qu'il serait bon de créer cette question pour les personnes qui recherchent Google sur cet e-mail aujourd'hui pour en savoir plus sur sa validité ou son absence.
L'e-mail indique:
Bonjour,
Chez Amazon, nous prenons votre sécurité et votre confidentialité très au sérieux. Dans le cadre de notre surveillance de routine, nous avons découvert une liste d'adresses e-mail et de mots de passe publiés en ligne. Bien que la liste ne soit pas liée à Amazon, nous savons que de nombreux clients réutilisent leurs mots de passe sur plusieurs sites Web. Étant donné que nous pensons que vos adresses e-mail et mots de passe figuraient sur la liste, nous avons attribué un mot de passe temporaire à votre compte Amazon.com par prudence.
Vous devrez réinitialiser votre mot de passe lorsque vous reviendrez sur le site Amazon.com. Pour réinitialiser votre mot de passe, cliquez sur "Votre compte" en haut de n'importe quelle page sur Amazon.com. Sur la page de connexion, cliquez sur "Mot de passe oublié?" lien pour accéder à la page d'assistance de mot de passe Amazon.com. Après avoir entré votre e-mail ou votre numéro de téléphone mobile, vous recevrez un e-mail contenant un lien personnalisé. Cliquez sur le lien de l'e-mail et suivez les instructions fournies.
Votre nouveau mot de passe entrera en vigueur immédiatement. Nous vous recommandons de choisir un mot de passe que vous n'avez jamais utilisé avec un site Web.
Vous pouvez également activer la vérification en deux étapes d'Amazon, une fonctionnalité qui ajoute une couche de sécurité supplémentaire à votre compte. En plus de saisir votre mot de passe, la vérification en deux étapes vous oblige à entrer un code de sécurité unique lors de la connexion. Pour en savoir plus sur la vérification en deux étapes, accédez à l'aide d'Amazon.com, accédez à la gestion de votre compte et cliquez sur Plus dans la gestion Votre compte, puis cliquez sur Plus sous Paramètres du compte.
Cordialement,
Amazon.com http://www.Amazon.com
Cet e-mail a été envoyé à partir d'une adresse qui ne peut pas accepter les e-mails entrants. Pour nous contacter, veuillez visiter la section Aide de notre site Web.
Une recherche rapide sur Google du premier paragraphe renvoie n article affirmant que l'e-mail est une mesure de sécurité valide d'Amazon , tandis que l'autre prétend qu'il s'agit d'une arnaque de phishing . Lequel est-ce?
Un commentaire rapporte qu'ils ont contacté Amazon à propos de l'e-mail et ont reçu cette réponse:
Bonjour,
Le message e-mail/SMS que vous avez reçu n'était pas d'Amazon.com. Pour votre protection, n'y répondez pas, n'ouvrez aucune pièce jointe et ne cliquez sur aucun lien qu'il contient.
Nous vous recommandons d'envoyer un nouvel e-mail/SMS et de joindre l'e-mail/capture d'écran du message que vous pensez être un faux, puis d'envoyer l'e-mail à [email protected].
Cependant, un autre commentaire affirme:
Ma femme a également reçu cet e-mail. J'ai contacté Amazon via mon compte et nous avons pu confirmer qu'il s'agissait bien d'Amazon et qu'ils avaient brouillé les mots de passe.
J'ai appelé Amazon et le représentant a vérifié qu'aucun e-mail n'avait été envoyé par Amazon. Cette est peut être une tentative de phishing. L'e-mail d'origine semble (selon d'autres rapports) inclure un texte au format de lien "Amazon.com", qui peut être un lien vers une fausse version du site. Je ne peux pas voir cela dans le mien, probablement en raison d'une mesure prise par Yahoo Mail pour supprimer ce formatage de lien pour éviter des tentatives de phishing comme celle-ci.
Edit: Comme mentionné dans les commentaires, il pourrait y avoir un brin valide de cet e-mail et un brin malveillant en double, avec une fausse mise en forme de lien à des fins de phishing.
Méfiez-vous, il y a des gens qui prétendent qu'il s'agit d'un e-mail légitime, même si je ne peux pas nier à 100% la possibilité, je suis sceptique: il serait judicieux pour l'expéditeur de messages de phishing d'écrire qu'il s'agit d'un véritable e-mail sur des pages Web connexes telles que celui-là. Notez également que les instructions dans l'e-mail n'ont aucun sens. Le titre de l'e-mail est "Votre mot de passe a été modifié" - mais mon mot de passe était toujours actif.
Mise à jour:
J'ai commenté sceptiquement les réponses ici en affirmant que l'e-mail était légitime, mais je pourrais tirer la gâchette prématurément. Ma réponse suppose:
- Le représentant du service client à qui j'ai parlé était pleinement informé.
- Aucun e-mail légitime identique n'avait été copié dans le passé, ni même au cours des dernières 24 heures et des doublons formatés en faux liens ont été envoyés par un utilisateur malveillant.
Les deux sont des possibilités à considérer.
Je viens de recevoir un e-mail similaire et l'e-mail semble légitime. Je cherchais des informations sur quelle liste ce serait pour savoir ce qui aurait pu être affecté d'autre.
Il a les bons en-têtes dans l'authentification:
Received-SPF: pass (google.com: domain of 2016061614470736b293d09e3b4022b187117dcb50p0eu@bounces.Amazon.co.uk designates 176.32.127.205 as permitted sender) client-ip=176.32.127.205;
Authentication-Results: mx.google.com;
dkim=pass [email protected];
dkim=pass [email protected];
spf=pass (google.com: domain of 2016061614470736b293d09e3b4022b187117dcb50p0eu@bounces.Amazon.co.uk designates 176.32.127.205 as permitted sender) smtp.mailfrom=2016061614470736b293d09e3b4022b187117dcb50p0eu@bounces.Amazon.co.uk;
dmarc=pass (p=QUARANTINE dis=NONE) header.from=Amazon.co.uk
L'e-mail est également texte/simple, il n'y a pas de liens et d'autres choses, il semble donc qu'il soit légitime.
Mon e-mail était légèrement différent et n'avait aucun lien à la fin:
Hello Manuel Sousa,
This is an important message from Amazon.
At Amazon we take your security and privacy very seriously. As part of our routine monitoring, we discovered a list of email address and password sets posted online. While the list was not Amazon-related, we know that many customers reuse their passwords on several websites. We believe your email address and password set was on that list. So we have taken the precaution of resetting your Amazon password. We apologize for any inconvenience this has caused but felt that it was necessary to help protect you and your Amazon account.
To regain access to your Amazon customer account:
1. Go to Amazon and click the "Your Account" link at the top of our website.
2. Click the link that says "Forgot your password?"
3. Follow the instructions to set a new password for your account.
Please choose a new password and do not use the same password you used with us previously. We also highly recommend that you chose a password that you are not using on any other sites. We look forward to seeing you again soon.
Sincerely,
Amazon
Please note: this e-mail was sent from an address that cannot accept incoming e-mail. To contact us about an unrelated issue, please visit the Help section of our website.
De plus, mon mot de passe sur Amazon avait été désactivé et devait le réinitialiser.
Je vais dire que c'est faux. S'il s'agit d'une véritable demande de réinitialisation de mot de passe Amazon, vous devriez être invité à modifier votre mot de passe à la prochaine connexion, pas besoin de suivre toutes ces étapes.
Vous pouvez également vérifier: votre ancien mot de passe fonctionne-t-il? Le mot de passe temporaire fonctionne-t-il? Si non/oui, alors c'est réel. Si oui/non, alors c'est faux.
C'est légitime. J'ai reçu le même e-mail, et oui mon mot de passe Amazon a été désactivé.
Pour retrouver l'accès, je viens de suivre les instructions de l'e-mail, de réinitialiser mon mot de passe, puis je suis entré.
J'ai passé en revue l'historique de mes commandes, mais rien ne s'est passé. Mais maintenant, j'ai également vérifié tous les sites de type "haveibeenpwned", et je ne trouve aucun qui indique réellement que mon e-mail est apparu dans une fuite ... J'aimerais savait ce que Amazon savait!
Il y a un débat quant à savoir si le libellé du message est correct, mais il est trivial de copier le libellé. Des indices sur l'origine de l'e-mail et ce qu'il essaie d'effectuer se trouvent dans le contenu de l'en-tête et tout contenu interactif dans l'e-mail (c'est-à-dire les URL - n'essayez pas d'ouvrir les pièces jointes suspectes, mais analysez-les pour détecter les logiciels malveillants si vous êtes sûr de pouvoir le faire cela en toute sécurité).
Notez que le texte affiché dans un lien Web n'est PAS le même que celui vers lequel pointe le lien.
L'expéditeur prétendu de l'e-mail doit également savoir si l'e-mail est authentique ou non, mais assurez-vous de transmettre l'e-mail à une adresse valide connue, ne vous contentez pas de répondre!
La plupart des organisations légitimes s'intéressent activement à la prévention du phishing. L'inclusion des en-têtes complets les aidera/les agents de messagerie les plus modernes à cacher ces informations et à les supprimer des réponses et des transferts. Copiez les en-têtes d'origine dans votre e-mail de suivi.
La bonne réponse à cette question dépend de la liaison ou non de liens vers Amazon.com ou ailleurs. Il peut y avoir plusieurs versions de cet e-mail - certaines envoyées d'Amazon et d'autres envoyées par des escrocs. Passer la souris sur les liens vérifiera leur destination réelle dans une info-bulle, ou éventuellement dans la barre d'état. Notez que cela ne s'applique qu'aux e-mails affichés dans les clients de messagerie Web - les sites Web généraux où le propriétaire du contenu a un contrôle total sur les scripts peuvent exécuter un script pour modifier le statut ou pour modifier l'URL lorsque vous passez la souris sur un lien.
Si les liens vont à Amazon eux-mêmes, vous n'avez rien à craindre. Les mises en garde habituelles s'appliquent - assurez-vous que le domaine appartient réellement à Amazon et assurez-vous que HTTPS est utilisé sur toutes les pages qui demandent votre mot de passe.
Le meilleur conseil est de ne jamais suivre les liens dans les courriels et de toujours taper l'adresse manuellement (ou même d'utiliser des signets pour vos sites importants comme les services bancaires et les courriels).
Vous pouvez également vérifier les en-têtes des e-mails et vérifier la signature DKIM (assurez-vous qu'elle inclut le corps du message) et SPF. Seuls les utilisateurs avancés ont besoin de s'en inquiéter, car les serveurs de messagerie doivent de toute façon garder un œil sur ces en-têtes pour leur score de fiabilité du spam. Les utilisateurs normaux peuvent simplement suivre les conseils ci-dessus - même s'ils modifient leur mot de passe via un lien sécurisé, l'attaquant n'aura rien gagné.