Hij ontving een e-mail van de klantensupport van Amazon met daarin een bevestiging van een contactverzoek. Aangezien Springer echter zelf helemaal geen contact met Amazon had opgenomen, besloot hij op nader onderzoek uit te gaan. Springer verzocht het bedrijf hem de gevoerde conversatie toe te sturen om zodoende wat meer duidelijkheid te verkrijgen. Die kreeg hij...

Al snel bleek dat de aanvaller incorrecte Whois-informatie gebruikte om de klantensupportmedewerker ervan te overtuigen dat hij Springer was. Die had expres foutieve informatie gebruikt om niet te herleiden te zijn. Foutief of niet, de informatie werd geaccepteerd en de aanvaller had vervolgens vrij spel om aanvullende informatie op te vragen.

Pas op wat je op internet zet

Hierdoor was hij onder meer in staat het daadwerkelijke adres van Springer te achterhalen en met behulp van deze gegevens zou het theoretisch mogelijk zijn om bij de bank een nieuwe creditcard aan te vragen.

Springer is ondertussen twee andere social engineering-pogingen verder en hij heeft daarom maar besloten zijn account bij Amazon op te zeggen. Zijn boodschap is een duidelijke: pas heel erg goed op met wat je precies op internet zet. Zelfs opzettelijk foutief ingevulde Whois-informatie kan misbruikt worden dus weet wat je deelt.