Amazon en Apple nemen beiden maatregelen om social engineering-aanvallen af te kunnen slaan. In eerste instantie is het nu niet meer mogelijk om telefonisch via de helpdesk het wachtwoord van een account te wijzigen, meldt Wired. Bij Apple is de maatregel tijdelijk, en is onduidelijk of en hoe de regels uiteindelijk worden aangescherpt.

Sluwe misleiding

Dit naar aanleiding van een sluw stappenplan waardoor hackers het Amazon-, Apple-, Gmail- en Twitter-account van techjournalist Mat Honan overnamen. Eerst verzamelden ze openbare data van Honan, zoals zijn e-mailadres en huisadres.

Vervolgens belden de hackers Amazon-support om een nieuw creditcardnummer aan het account van Honan toe te voegen, een actie waarvoor een laag authenticatieniveau nodig is, alleen naam, e-mail en factuuradres. Daarna belden ze later de support van Amazon weer dat ze niet bij 'hun' account konden en het wachtwoord wilden resetten. Het nummer van de eerder toegevoegde creditcard was hierbij voldoende als aanvullende authenticatie.

Laatste 4 cijfers creditcard

Eenmaal binnen bij Amazon gebruikten ze de laatste vier cijfers van de echte creditcard van Honan om bij AppleCare het wachtwoord van Honan's Apple ID-account te resetten. Ook via de telefonische helpdesk. Vervolgens wisten ze vanuit de iCloud alle data van Honan's Macbook, iPad en iPhone.

Ook voor gebruikers zijn er verschillende lessen te leren uit het incident, zoals het maken van lokale backups en het instellen van tweefactor authenticatie, zoals Google aanbiedt.