ハッカーがSSNの最後の4桁(および名前などの他の情報)を入手した場合、何ができますか?
彼らが日付/出生場所から他の数字を推測し、最後の4で何ができるかにのみ焦点を当てる可能性を回避するために、その人が米国で生まれていないと仮定します。
カスタマーサポート担当者(CSR)の検証にSSNの最後の4つを使用する場所が多すぎます。それはおそらくあなただけが知っている「情報の断片」の1つですが、悲しいことに、私たちが考えたいことの方がよく知られています。次に、 ソーシャルエンジニアリング攻撃 の一部として使用して、アカウントへのアクセスまたはアカウントの制御を取得できます。 これは、レポーターのAppleアカウントを制御し、すべてのデバイスをワイプする を制御するために同様のものが使用された方法のアカウントです。
ホーナンが説明したように、Amazonは、Amazonに電話して名前、電子メールアドレス、請求先住所を提供するだけで、ユーザーがアカウントにクレジットカード番号を追加できるようにしました。ハッカーがこの方法でクレジットカード番号をHonanのアカウントに追加した後、電話を切り、Amazonに電話をかけてアカウントへのアクセスを失ったと主張しました。この時点で、彼らは偽のクレジットカード番号を提供し、Amazonに新しい電子メールアドレスをアカウントに追加させるよう説得しました。次のステップは、AmazonのWebサイトにアクセスして、パスワードをリセットする電子メールをその電子メールアドレスに送信するように要求することでした。そこから、ハッカーはAmazonのWebサイトでHonanのクレジットカードの下4桁を見ることができます。
これらの4桁(およびHonanのユーザー名と請求先アドレス)で、ハッカーはAppleを使用して、自分のiCloudアカウントを乗っ取ってあらゆる種類の混乱を引き起こすことができる一時的なパスワードを送信することを確信しました。 "非常に4桁Honan氏は、Amazonが重要なのは、ウェブ上に平文で表示するのに十分重要ではないと見なしていることと、Appleは、ID検証を実行するのに十分安全であると見なしているもの)とまったく同じだと考えていることだと述べた。
私がCSRをどのくらいの頻度で行ったかは、私のソーシャルであることを証明するものとして、ソーシャルの最後の4つを採用することはできません。