image

PayPal ontkent social engineering van medewerker

donderdag 30 januari 2014, 11:11 door Redactie, 6 reacties

PayPal ontkent dat een medewerker van de betaaldienst zich heeft laten social engineeren en gegevens van een klant heeft verstrekt, die later werden gebruikt om een bijzondere Twitternaam te stelen. GoDaddy, dat ook bij het incident was betrokken, heeft wel bekend dat een werknemer werd misleid.

Het draait allemaal om het Twitteraccount @N, waar Naoki Hiroshima de eigenaar van was. Aanvallers die het account wilden stelen hadden een aanvalsplan uitgewerkt, dat ze later ook met Hiroshima deelden. De aanval begon met een telefoontje naar PayPal, waar social engineering werd gebruikt om de laatste vier cijfers van Hiroshima's creditcard te achterhalen. Met deze gegevens werd vervolgens een social engineering-aanval op GoDaddy uitgevoerd.

Hiroshima had bij deze partij zijn domeinnaam geregistreerd. Het e-mailadres dat hij voor zijn Twitteraccount en andere accounts gebruikte was aan zijn domeinnaam gekoppeld. Om het wachtwoord van het GoDaddy-account te resetten, en zo de instellingen te wijzigen, hadden de aanvallers de laatste zes cijfers van de creditcard nodig. Vier cijfers hadden ze al, en de werknemer van GoDaddy stond het toe dat ze de resterende twee mochten raden, wat ook lukte.

Deze informatie werd gebruikt voor het overnemen van Hiroshima zijn domeinnaam en daarmee ook zijn e-mail. Hierdoor konden de aanvallers het Facebookaccount van Hiroshima overnemen, die uiteindelijk besloot om dit tegen het @N Twitteraccount te ruilen.

Geen social engineering

Hoewel de aanvallers beweren dat ze de laatste vier creditcardnummers via PayPal wisten te bemachtigen, wordt dit door de betaaldienst ontkend. Volgens PayPal heeft de werknemer zich niet laten social engineeren en zijn er geen creditcardgegevens van Hiroshima verstrekt. Ook zou er geen andere persoonlijke of financiële informatie over het account zijn doorgegeven.

"Onze klantmedewerkers zijn goed getraind om social engineering-pogingen, zoals beschreven in de blogposting, te voorkomen." PayPal zou inmiddels contact met Hiroshima hebben opgenomen om te kijken hoe hij geholpen kan worden.

GoDaddy bekent

Waar PayPal ontkent laat GoDaddy weten dat een werknemer inderdaad het slachtoffer van social engineering is geworden. Volgens Chief Information Security Officer Todd Redfoot beschikte de aanvaller al over een groot gedeelte van de klantgegevens die nodig zijn om toegang tot het account te krijgen. Vervolgens werd er social engineering toegepast voor het resterende gedeelte. Redfoot laat weten dat de training van personeel zal worden aangepast om herhaling te voorkomen.

Reacties (6)
30-01-2014, 11:45 door Anoniem
Ja? En? GoDaddy stelt het slachtoffer dus schadeloos? Of niet? Dat haal ik niet uit het artikel.

In ieder geval nóg een reden om nooit met die kermistent in zee te gaan...
30-01-2014, 12:35 door Anoniem
Slecht opgeleide medewerkers blijven een gevaar.
Nog niet al te lang geleden werd ik bij problemen met login op het Telenet portaal door een medewerkster gevraagd: "meneer, kan u uw email adres en wachtwoord eens geven aub?".
Toen ik haar vroeg of ze me dat wel mocht vragen kreeg ik te horen: "Ja, anders kan ik u niet helpen he...".

Zeer bijzondere ervaring.
30-01-2014, 12:37 door Anoniem
Paypal medewerkers zijn erg makkelijk te SEen, zelf ook wel eens gedaan. (natuurlijk wel met toestemming van de eigenaar van het account)
30-01-2014, 13:14 door Anoniem
PayPal kan wel zeggen dat de medewerkers zijn getrained, maar hoe hebben ze dit geverifieerd?
30-01-2014, 16:44 door Anoniem
Door Anoniem: Slecht opgeleide medewerkers blijven een gevaar.
Nog niet al te lang geleden werd ik bij problemen met login op het Telenet portaal door een medewerkster gevraagd: "meneer, kan u uw email adres en wachtwoord eens geven aub?".
Toen ik haar vroeg of ze me dat wel mocht vragen kreeg ik te horen: "Ja, anders kan ik u niet helpen he...".

Zeer bijzondere ervaring.
Zelf heb ik een tijdje geleden op de Telenet helpdesk gewerkt, het is daar inderdaad procedure om het wachtwoord van de gebruiker te vragen als deze niet kan inloggen op de webportal, aangezien de helpdesk er in eerste instantie van uit moet gaan dat het probleem tussen toetsenbord en stoel zit. Kan de Telenet medewerker inloggen, wordt uitgelegd dat het wachtwoord wel functioneert en er dus niks gedaan kan worden. Kan de Telenet medewerker ook niet inloggen, dan wordt eerst een wachtwoordreset uitgevoerd en zo nodig een vervolgactie gestart / gepland.
Een beetje vreemd is het wel, dat vond ik ook, maar u wil niet weten hoe vaak het voorkwam dat de klant per ongeluk caps-lock of num-lock aan had geraakt...
30-01-2014, 18:06 door Anoniem
"GoDaddy stelt het slachtoffer dus schadeloos? Of niet? Dat haal ik niet uit het artikel."

De vraag of het slachtoffer schadeloos is gesteld, en de vraag of die eventuele schadeloosstelling ook bekend wordt gemaakt zijn twee hele verschillende vragen ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.