Mon compte Amazon a été piraté et comment je l'ai rendu plus sécurisé -Code Promo Amazon -46 % Réduction





Mon compte Amazon a récemment été piraté, et je n’ai PAS été ravi de découvrir ce problème regrettable. Je vais vous raconter comment j'ai découvert que mon compte a été piraté, ce que j'ai fait à ce sujet, comment il a été résolu et ce que vous pouvez faire pour sécuriser vos comptes personnels. J'écrirai un autre article sur la sécurisation de nos systèmes pour nos clients.

Le 27 décembre à 21 h 36 (HE), j'ai reçu ce courrier électronique très utile d'Amazon (les adresses électroniques ont été modifiées):

Merci de visiter Amazon.com! A votre demande, nous avons changé l'adresse e-mail
associé à votre compte

L'adresse e-mail associée à votre compte a été modifiée. L'ancienne adresse était
MyEmailAddress@gmail.com. La nouvelle adresse est NotMyEmailAddress@yahoo.com.

Visitez votre compte sur Amazon.com pour voir vos commandes, apporter des modifications à toute commande.
qui n'a pas encore entré le processus d'expédition, mettez à jour vos abonnements,
et beaucoup plus.

Si vous avez besoin de nous contacter pour une raison quelconque, sachez que nous pouvons vous donner
les informations de commande uniquement au nom et à l'adresse électronique associés à votre compte.

Merci encore pour le shopping avec nous.

Voici le problème: je n’ai pas changé d’adresse e-mail. En fait, je n’avais pas utilisé mon compte Amazon depuis que j’avais acheté mon écran vert il ya quelques semaines. Comment mon adresse e-mail a-t-elle changé sans mon interaction avec Amazon, et même plus curieuse: qui diable est «NotMyEmailAddress@yahoo.com» ??

J'ai immédiatement essayé de me connecter à Amazon avec mon email et mon mot de passe que j'utilisais… et pas de chance. Je ne pouvais pas accéder à mon compte. Et Alexa? Puis-je quand même configurer mes appareils Echo? J'ai attrapé mon iPhone et ouvert l'application Alexa. Je n'ai pas été accueilli par les fonctions standard d'Alexa, mais plutôt par cet écran de connexion (image modifiée pour masquer l'adresse e-mail):

Écran de connexion Alexa – Avec le courriel de quelqu'un d’autre!

Est-ce que vous plaisantez? Je ne pouvais pas contrôler mes appareils Echo, ni les appareils de domotique qui y étaient connectés. Cela n'allait pas s'améliorer, mais bien pire… alors j'ai rapidement recherché un numéro de téléphone pour le service clientèle Amazon. Avez-vous déjà recherché le numéro de téléphone du support client sur le site Web d’Amazon? il est IMPOSSIBLE de le trouver, car il ne figure pas dans les rubriques «Aide» ou «Assistance à la clientèle». Il y a au moins trois clics cachés dans l'écran d'accueil et, même dans ce cas, je ne pouvais toujours pas le trouver … mais je vais vous aider avec ce conseil: Bing a le numéro de téléphone du support client Amazon comme résultat rapide.

Frappez-en un pour le support client Amazon

J'ai été piraté et j'avais l'impression qu'ils ne voulaient pas m'aider car ils cachaient les informations dont j'avais besoin pour obtenir de l'aide afin de résoudre le problème.

Sur le téléphone, j'ai sélectionné un menu automatisé pour «obtenir de l'aide pour vous connecter à mon compte». La représentante du service clientèle, Christine, était très sympathique et m'a demandé mon adresse électronique et mon adresse personnelle afin de pouvoir travailler avec moi pour accéder à mon compte.

via GIPHY

Je pense que nous avons trouvé notre problème… Christine n'avait besoin que de ces deux informations pour me connecter à mon compte? Pas de mot de passe? Pas de téléphone portable? Aucune autre information? Qu'est-ce qui empêche quelqu'un de trouver mon adresse électronique et mon adresse personnelle dans une base de données et de téléphoner pour reprendre mon compte?

Strike Two pour le support client Amazon

Ils communiquent FACILEMENT vos informations sans aucune information personnellement identifiable pour confirmer votre identité.

Christine n'a pas pu trouver mon compte Amazon avec mon adresse e-mail, car l'attaquant avait évidemment changé l'adresse e-mail du compte en «NotMyEmailAddress@yahoo.com». J'ai donné à Christine ce courriel avec l'adresse de mon domicile et j'ai pu accéder à mon compte. J’ai dit à Christine que je n’avais pas demandé le changement de courrier électronique et que je n’avais effectué aucun achat ni utilisé de service depuis ce changement. Christine a pris des mesures pour geler mon compte en supprimant les possibilités d'achat et les cartes de crédit associées au compte, et a empêché quiconque de s'y connecter. Elle m'a dit que l'affaire serait renvoyée à leur «service des fraudes» et que je pourrais les appeler demain matin pour discuter des prochaines étapes.

Réflexion sur cet appel avec Amazon: je sais maintenant que l'attaquant a changé mon adresse électronique sur le compte, mais NON pas mon adresse de facturation ni l'adresse de livraison. Et s'ils changeaient l'un de ces champs? Aurais-je pu récupérer mon compte?

Le lendemain matin, j'ai appelé l'assistance clientèle d'Amazon et demandé à parler de leur problème à leur «service des fraudes». On m’a dit «qu’il n’existait pas de« département fraude »et qu’un« spécialiste des comptes clients »me recontacterait dans quelques heures à propos de mon problème».

Frappez trois pour le support client Amazon

Qu'est-il arrivé? Qu'est ce qui a changé? Pourquoi le service d’assistance client d’Amazon ne sait-il pas s’il existe ou non un service de fraude? Je ne sais pas, mais l’absence d’un service de la fraude formel et bien défini chez le plus grand détaillant en ligne me fait peur.

J'ai demandé à parler à un superviseur pour aller au fond des choses. Le superviseur m'a demandé si j'avais accédé à mon compte Amazon via un réseau sans fil non sécurisé, comme un café ou un aéroport. Non .. non, je n'avais pas voyagé depuis des mois et je ne fais aucun achat sur des réseaux non sécurisés. J'ai trouvé que la suggestion que j'étais dans un café utilisant Amazon était légèrement présomptueuse, mais je ne l'ai pas suivie. Le superviseur a ensuite expliqué que je recevrais un courrier électronique dans les prochaines heures avec des instructions pour récupérer mon compte. Encore une fois, aucune information personnellement identifiable n'a été demandée. Aucune demande de confirmation d'un achat récent ou des quatre derniers chiffres d'une de mes cartes de crédit n'était au dossier. Ils n'avaient besoin que de "mon adresse e-mail". Qu'est-ce qui empêche un attaquant de téléphoner pour se plaindre de la même chose et de donner à son adresse e-mail malveillante?

J'ai attendu le temps requis et le courrier électronique suivant est arrivé avec les détails de la récupération de mon compte:

Bonjour,

Merci de nous avoir signalé l'activité non autorisée de votre compte.
Pour protéger vos informations, les informations de carte de crédit de votre compte ne peuvent pas être
accessible via notre site web. Nous n'affichons pas non plus les numéros de carte de crédit complets
sur ton compte.

Nous avons pris les mesures suivantes pour restaurer votre compte:
- Désactiver le mot de passe pour votre compte.
- Annulé toutes les modifications apportées par ce parti.
- Annulé toutes les commandes en attente.

Veuillez prévoir 5 heures pour que ces actions prennent effet.

Après 5 heures, vous pourrez réinitialiser votre mot de passe et en retrouver l'accès.
à votre compte. Sur la page de connexion, sélectionnez "Mot de passe oublié?" et suivez les
instructions. Après avoir entré votre email ou votre numéro de téléphone portable, vous allez
recevoir un e-mail ou un SMS contenant un lien personnalisé. Cliquer sur le lien
et entrez votre nouveau mot de passe.

Si vous rencontrez des problèmes pour réinitialiser votre mot de passe, appelez le service clientèle à l'adresse suivante:

Clients aux États-Unis ou au Canada: 1-866-216-1072
Clients internationaux: 1-206-266-2992

Vous devrez également:
- Ressaisissez vos informations de paiement complètes la prochaine fois
   que vous passez une commande.
- Entrez à nouveau les adresses que vous avez récemment ajoutées à votre compte.
- Vérifiez vos abonnements, si vous en avez. Vous devrez peut-être les mettre à jour.

Nous ne savons pas comment cette personne a obtenu vos informations de connexion, car cela est arrivé
loin de nos sites. Certaines techniques incluent l’utilisation de logiciels malveillants pour
saisissez les frappes d'un utilisateur, essayez des mots de passe courants et envoyez des messages frauduleux.
les e-mails qui demandent des informations de compte (appelées "phishing").

Pour en savoir plus sur les achats en ligne sécurisés, consultez la section "Sécurité et confidentialité".
 de nos pages d'aide.

Cordialement,

Spécialiste de compte
Amazon.com

Cet email conduit à plus de questions:

  • Quelles modifications l’attaquant at-il apportées à mon compte?
  • Pourquoi faut-il 5 heures pour me donner un lien à usage unique «réinitialiser mon mot de passe»?
  • L'attaquant a eu mon mot de passe? Peut-être… mais mon expérience antérieure à cet email indique qu'ils auraient facilement pu accéder à mon compte simplement en appelant le service clientèle et en se faisant passer pour moi.
  • Qu'ont-ils fait quand ils ont eu mon compte? Ils n’ont rien acheté…

Déçu, j'ai attendu mes cinq heures désignées, puis je suis retourné sur le site Web d'Amazon et j'ai cliqué sur le lien «Mot de passe oublié» de la page de connexion.

Lien Mot de passe oublié

En cliquant sur ce mot de passe oublié, le lien m’a demandé mon adresse électronique ou mon numéro de téléphone mobile.

Je pensais que mon numéro de téléphone était enregistré avec le compte, mais mon adresse e-mail a fonctionné pour déclencher un e-mail d'identification à l'adresse e-mail de votre choix. Ce qui me dérange, c'est ce lien «Service à la clientèle» en bas. Si vous cliquez dessus, vous êtes invité à appeler un numéro 1-800 pour le support client…

Après avoir entré le code à six chiffres qui m'a été envoyé, j'ai enfin repris le contrôle de mon compte. La première chose que j'ai faite a été de mettre en place une authentification à deux facteurs afin de limiter mon exposition future. Cela a pris un peu d'une recherche, car les capacités à deux facteurs ne sont pas promues ou très visibles sur le site Amazon.

Comment configurer l'authentification à deux facteurs avec Amazon

Je recommande à tout le monde de configurer une authentification à deux facteurs pour Amazon et tout autre service offrant cette fonctionnalité. Voici les étapes à suivre pour ajouter cette mesure de sécurité supplémentaire à votre compte Amazon:

1. Connectez-vous à votre compte et cliquez sur le bouton «Votre compte» situé à droite. Sur l’écran qui s’affiche, cliquez sur le bouton «Connexion et sécurité» en haut au centre.

2. Cliquez sur le bouton «Modifier» à côté du dernier élément de cet écran, intitulé «Paramètres de sécurité avancés».

Sécurité du compte Amazon

3. Sur l'écran suivant, vous pouvez choisir de vous authentifier avec un téléphone ou une application d'authentification. Je vous recommande fortement de choisir l'application d'authentification, car l'authentification du téléphone envoie un message texte POUVANT être intercepté si quelqu'un veut vraiment accéder à votre compte.

Configuration à deux facteurs

Plusieurs applications d'authentification sont disponibles pour les appareils iOS, Android et Windows Phone. Je vous recommande de choisir soit l'application Google Authenticator, soit l'application Microsoft Authenticator pour leur facilité d'utilisation et leur configuration. Ils offrent tous les deux la même capacité de prendre une photo d'un code QR, comme celle de la capture d'écran ci-dessus, et de générer des codes pour vous automatiquement. Mon application Microsoft Authenticator sur mon iPhone se présente comme suit:

Mon authentificateur Microsoft

Cliquez simplement sur le symbole plus dans le coin supérieur droit pour ajouter un nouveau compte, puis choisissez l'option “Autre compte” pour ajouter votre compte Amazon.

Type de compte authentificateur

L'application ouvre l'appareil photo et vous pouvez pointer votre téléphone sur le code QR affiché à l'écran. Amazon et votre adresse e-mail seront ajoutés à l'écran principal. Lors de votre prochaine connexion à Amazon, vous serez invité à saisir ce numéro à 6 chiffres après votre mot de passe.

Amazon fait une chose intéressante sur les périphériques qui ne prennent pas en charge une invite secondaire pour ce code. Le service rejettera votre mot de passe et vous devrez le saisir avec le code à six chiffres ajouté à la fin. Si mon mot de passe est «SuperSecret» et que mon authentificateur a affiché le code 871255 comme indiqué ci-dessus, je peux alors utiliser le mot de passe «SuperSecret871255» pour accéder aux services Amazon.

Résumé

Les attaquants tentent d’avoir accès à toutes les informations relatives aux dépenses ou aux informations personnellement identifiables. Parmi leurs motivations: ils veulent revendre votre identité, ils veulent vos cartes de crédit et ils veulent avoir accès à des services en tant que vous pour pouvoir envoyer des emails de phishing à toutes les personnes figurant sur vos listes de contacts. Protégez vos comptes en définissant des mots de passe forts, utilisez un gestionnaire de mots de passe tel que LastPass ou 1Password et configurez l'authentification à deux facteurs partout où elle est disponible, telle que Google Mail, Amazon, Outlook.com, OneDrive et GitHub. C’est facile, rapide et sécurisera vos comptes.

Image sélectionnée avec la permission de MaxPixel





Laisser un commentaire