eBayでの複雑な詐欺の試み
私は正直なところ、何がどうなっているのか分からない、最近行われたイベントに関するコミュニティの意見を求めています。
- EBayで商品を視聴しようとしたときに、警告が表示され、私のアカウントが侵害されており、乱用を防ぐためにアカウントがロックされていることが通知されました。
EBayにメールを書いたところ、
[email protected]から次のような返信がありました。- アカウントを再開するには、telephoneで電話する必要があります。
- 通話には10分以上かかります。
- 電話は、指定されたアジアの国の担当者が対応します。
- メールは「あなたの服従は私たちにとって重要です」のようなフレーズでいっぱいでした。
私が最近住んでいるところに電話詐欺の爆発がありました、そして上記の詳細は明らかに「詐欺」を叫びます([email protected]への電子メールを書いた後に確認されました)、しかし私が得ないものは:
- そもそも、eBayで「アカウントがロックされています」というメッセージをどのようにしてトリガーしたのでしょうか。 (この警告は2回表示されましたが、現在は消えているようです。)
- さらに重要なことに、彼らはどのようにして
[email protected]を管理できたのでしょうか。 (私のメールには返信で引用されていましたが、この受信トレイへのアクセスを証明しています。)
さらに、[email protected]は何が起こったのか、または何かを説明するのにあまり役に立ちませんでした。 彼らの応答を信頼すべきかどうかさえわかりません...
更新:[email protected]は、いくつかの要求にもかかわらず、インシデントに対する説明を提供していません。 [email protected]は、私が餌を取るのを待っているかのように、依然として慣習的な方法で応答しています。たぶん私は自分のアカウントを閉鎖する必要があります。 90年代以来デザインを変更しておらず、セキュリティや顧客に対するコントロールや関心がないように見える、この老化した恐竜から何かを購入してから数年が経ちました。 (PS!この段落を書いてから1週間後、eBayが最新のデザインに切り替えるためのリンクを表示します。この問題は現在、薄暮地帯に入りました。)
以下はメールヘッダーの抜粋です。また、いくつかのDKIMエントリも含まれています。
From: [email protected]
Received: from mxphxpool1032.ebay.com ([66.211.185.135])
Received: from mxphxpool1004.ebay.com (phxlb238-ext-snat01.phx.ebay.com [10.4.13.31])
Received: from phx8b02c-f396.stratus.phx.ebay.com (phx8b02c-f396.stratus.phx.ebay.com [10.193.75.168])
Message-ID: <***[email protected]>
更新:eBayとの通信が実際にebay.comの「マイメッセージ」に表示されていることに気づきました!結局、このeBayは通信していますか?しかし、どのようなカスタマーサービスが「あなたの服従は私たちにとって重要である」のようなものをユーザーに書き込み、アカウントを確認するために長い国際電話が必要ですか?顧客サービスを外部委託しますか?あるいは、悪質になってしまったアウトソーシングされた顧客サービスは、西側世界には理解できない悪い英語と文化的参照で打ちのめされました。
今年は半年、あなたとあなたの家族にとって祝福された日です!
EBayカスタマーサービスにご返信いただきありがとうございます。本人確認にどれくらい時間がかかるか不思議に思います。私の名前はレスター(*)です。心配しないでください。今日はあなたのお役に立てるよう最善を尽くし、電話でお問い合わせの際には役立つヒントを提供します。
まず、個人的に私に電話で話したり、オープンマインドであったりして時間を貸してくれたことは私にとって嬉しいことです。あなたの服従と機知は私たちにとって本当に重要です。
私たちはフィリピンにいますが、正直に申し上げますと、担当者の正確な場所を開示することはできません。これは、セキュリティ対策と実践によるものです。
また、ATOの呼び出しには12分もかからないと思います。これは、回答する必要がある質問が一貫して提供される限りです。
(*)-メールごとに名前が変わります。
あなたは問題を自分で解決するための賢明な一連の手順を実行しました。刺されないことに対する称賛。
ただし、ここで報告している問題の主な指標は、テクノロジーではなくコンテンツに関連しているようです。
警告通知は、私のアカウントが侵害されており、アカウントがロックされていることを示しました
これは、攻撃者の行動の結果としてeBayからもたらされたか、攻撃者の策略の一部である可能性があります。 HTTPSを使用していることを確認しましたか?証明書の詳細をメモしましたか?他の場所からログインしたときに、詳細と比較しましたか?どのブラウザを使用していましたか?
EBayにメールを書いたところ、customerhelp @ ebay.comから返信がありました。
どのメールクライアントを使用しましたか(その後、コメントで部分的に回答しました)?メールを送信したアドレスはどこで取得しましたか? Eメールを送信したアドレスは、応答のFrom/Reply-toアドレスと同じでしたか?あなたは、返信があなたの元の電子メールを引用したと言っていました。ここに応答の完全なヘッダーを含めると便利な場合があります。
アカウントを再開するには電話で連絡する必要があります。
フリーダイヤルでしたか?別のコンピューターを使用して、eBayサイトに表示された番号を別の場所で確認しようとしましたか?他の誰かがこれに遭遇したかどうかを確認するために、(別の場所にあるデバイスで)番号をググリングしてみましたか?
詐欺[...]は、spoof @ ebay.comに電子メールを書いた後に確認されました
Spoof @ ebayとの通信が別のデバイスから開始されたと思います。この場合、彼らへの電子メールは転送されなかったように見えますが、攻撃者が1つの@ ebay.comアカウントを破壊できると思われる場合は、そのドメインへのすべての通信が侵害されたと想定するのが妥当です。
EBayで「アカウントがロックされています」というメッセージをどのようにしてトリガーしたか
何も思いつきません。 HTTPセッションに対するMITM/MITB攻撃ではなく、ebayでこの動作をトリガーする方法を見つけた可能性が高いと思います。組織は、詐欺を特定するための秘密のソースレシピを公開しない傾向があります。しかし、それは何度も間違ったパスワードを入力するのと同じくらい簡単だったかもしれません。
彼らはどうやって[email protected]を管理できたのでしょうか?
彼らはする必要はありません。
デバイス、ルーター、ISPのルーター、ISPのメールサーバー、ISPのDNSサーバーを制御するだけで十分な場合があります。また、ebayメールサービスが侵害されている可能性もあります。多くの大規模な組織は、最も安価なコールセンターにサポートを外部委託しています。したがって、指定されたeBayサポート担当者と連絡を取り合っている場合でも、eBayに雇用されている人物とは連絡がない場合があります。したがって、eBayのサーバー/ルーター、およびコールセンターのサーバー/ルーターに加えて、現在または以前にコールセンターで採用されている不正なエージェントによるアクションを候補として含めるのが妥当だと思います。
DKIMと部分的なヘッダーsuggestは、不正な応答がeBayのサーバー経由でルーティングされたことを示していますが、これが事実であることを証明するための十分な情報はありません。これが本当かどうかを証明するのに十分な情報が元のメールにあります。