Si un pirata informático obtuviera los últimos 4 dígitos de su SSN (y quizás alguna otra información como el nombre, etc.), ¿qué podrían hacer?
Para evitar la posibilidad de que puedan adivinar los otros dígitos de la fecha / lugar de nacimiento y solo enfocarse en lo que podrían hacer con los últimos 4, suponga que la persona no nació en los EE. UU.
Hay demasiados lugares que utilizan los últimos 4 de un SSN para la validación del representante de asistencia al cliente (CSR). Supuestamente es uno de esos "datos" que solo usted sabría, pero, lamentablemente, es más conocido que nos gustaría pensar. Luego se puede usar como parte de un ataque de ingeniería social para obtener acceso o control de un cuenta. Aquí hay una descripción de cómo algo similar se utilizó para obtener el control de la cuenta Apple de un reportero y borrar todos sus dispositivos .
Como explicó Honan, Amazon permitió a los usuarios agregar un número de tarjeta de crédito a una cuenta simplemente llamando a Amazon y proporcionando un nombre, una dirección de correo electrónico y una dirección de facturación. Después de que los piratas informáticos utilizaron este método para agregar un número de tarjeta de crédito a la cuenta de Honan, colgaron y luego llamaron a Amazon para reclamar que habían perdido el acceso a la cuenta. En este punto, proporcionaron el número de tarjeta de crédito falso, lo que convenció a Amazon de que les permitiera agregar una nueva dirección de correo electrónico a la cuenta. El siguiente paso fue ir al sitio web de Amazon y solicitar que se envíe un correo electrónico para restablecer la contraseña a esa dirección de correo electrónico. Desde allí, los hackers pueden ver los últimos cuatro dígitos de las tarjetas de crédito de Honan en el sitio web de Amazon.
Con esos cuatro dígitos (y el nombre de usuario y la dirección de facturación de Honan), los piratas informáticos convencieron a Apple de que enviara una contraseña temporal que les permitiera controlar su cuenta de iCloud y causar todo tipo de estragos. "Los cuatro dígitos que Amazon considera que no son lo suficientemente importantes para mostrarlos claramente en la Web son precisamente los mismos que Apple considera lo suficientemente seguros como para realizar la verificación de identidad", escribió Honan.
No puedo decirte con qué frecuencia he tenido una CSR, solo toma los últimos 4 de mi vida social como prueba de que soy yo.
Lea otras preguntas en las etiquetas identity-theft social-engineering identity fraud