Hakerzy podszywający się pod uwagę Amazon kradną hasła i uzyskują dostęp do kont, wywołując ostrzeżenia z FTC i Better Business Bureau. Atakerzy wykorzystują słabe lub ponownie używane hasła użytkownika w celu naruszania kont, które nie są chronione przez uwierzytelnianie wieloskładnikowe. Amazon zachęca do dwuetapowej weryfikacji i Passkeys do zwiększonego bezpieczeństwa.
Amazon poinformował, że oszuści próbują podszywać się pod gigantem detalicznym, którzy są zagrożonymi konsumentami. Firma oświadczyła swoje zaangażowanie w inwestowanie w ochronę konsumentów i edukację publiczną w zakresie unikania oszustwa. Amazon zachęca również konsumentów do zgłaszania podejrzanych oszustw w celu ułatwienia ochrony konta i skierowania złośliwych podmiotów organów ścigania w celu uzyskania dalszych działań. Konta konsumentów stoją przed podwyższonym ryzykiem napastników, którzy mogli zdobyć hasła za pomocą naruszeń danych lub kampanii infostealera lub ze względu na nieodłączną słabość i przewidywalność samych haseł. Biorąc pod uwagę niedawny wzrost tych ataków, zajęcie się tymi lukami w zakresie bezpieczeństwa stało się palącym problemem posiadaczy rachunków.
Powszechne oszustwo Amazon obejmuje obiecanie zwrotu z ostatniego zakupu. Jest dostarczany przez wiadomość tekstową zawierającą link zaprojektowany w celu zainicjowania żądania zwrotu. Kliknięcie tego linku kieruje użytkowników do fałszywego okna logowania, które ma na celu przechwytywanie i kradzież poświadczeń logowania. Ta metoda wykorzystuje zaufanie użytkowników i pragnienie korzyści finansowych, co prowadzi do nieautoryzowanego dostępu do konta.
Guardio zaobserwował ewolucję, a następnie wzrost oszustwa zwrotu. Nowy wariant frazowania wiadomości tekstowych początkowo pojawił się 9 sierpnia, odnotowując wzrost rozpowszechnienia o 590% do 10 sierpnia. Ten wzrost trwał, co spowodowało prawie 1000% ogólny wzrost zaledwie kilku dni. Ta szybka eskalacja wskazuje na adaptacyjny i trwały krajobraz zagrożenia ukierunkowany na użytkowników Amazon.
Najnowsze metody ataku podkreślają nieodłączną niepewność polegania wyłącznie na dostępie opartym na hasłach. Konto chronione wyłącznie przez nazwę użytkownika i hasło jest z natury wrażliwe. Jeśli samo hasło jest słabe, konto jest znacząco narażone na kompromis. Jake Moore z ESET ostrzegł, że przestępcy mają zdolność do testowania skradzionych i powszechnie używanych haseł na wielu stronach internetowych jednocześnie. Osoby, które ponownie wykorzystują hasła w różnych usługach online, są szczególnie podatne na narażanie swoich kont za pomocą tych metod, wzmacniając ryzyko związane ze słabą higieną haseł.
Amazon doradził Klienci wdrażania dwuetapowej weryfikacji i Passkeys jako środków w celu ochrony swoich rachunków. Firma udostępniła artykuł opisujący znaczenie Passkeys i przedstawiając instrukcje dla ich konfiguracji, wzywając użytkowników do szybkiego przyjęcia tych protokołów bezpieczeństwa.
Dwa oddzielne raporty oświetlały wszechobecne użycie wspólnych haseł, oferując wgląd w wzorce, aby uniknąć i podkreślić przewidywalność wyborów haseł użytkownika. NordPass regularnie publikuje listę „najczęstszych haseł”, kompilacji, która służy jako łatwo dostępny zasób dla złośliwych aktorów. Jednocześnie CyberNews przeprowadził analizę haseł znalezionych w naruszeniu „19 miliardów wyciekających haseł”. Ten konkretny incydent, choć nie reprezentował nowego naruszenia sam w sobie, stanowi znaczącą agregację danych pochodzących z wielu mniejszych naruszeń i brońców infostealerskich, zapewniając kompleksowy zestaw danych do analizy bezpieczeństwa.
Kompilacja „najgorszych haseł w ostatniej dekadzie” Cyberghost oferuje wymowną perspektywę pułapek typowych haseł. W tym przewodniku opisuje praktyki hasła, których użytkownicy powinni unikać, w tym wzorce oparte na układach klawiatury, sekwencje numeryczne, nazwy zwierząt, drużyny sportowe, modele samochodów lub nazwy celebrytów. Cyberghost szczególnie rozwiązuje praktykę włączania osobistych połączeń do haseł, takich jak użycie nazwy ukochanego zwierzaka. Organizacja podkreśla, że chociaż takie dedykacje mogą wydawać się nieszkodliwe, mogą nieumyślnie zagrozić bezpieczeństwu cyfrowym, dzięki czemu hasła można łatwo zgadywać.
Wdrożenie PASKEY i włączenie uwierzytelniania dwuskładnikowego (2FA) dla kont online jest krytycznym środkiem bezpieczeństwa. Amazon stanowi cel wysokiej wartości dla cyberprzestępców, a platforma nie nakazuje 2FA dla wszystkich kont, pozostawiając znaczną liczbę tych kont zabezpieczonych samych haseł.
