Intento de fraude complejo en eBay

18

Me gustaría la opinión de la comunidad sobre un evento que tuvo lugar recientemente, que honestamente no sé de qué se trata:

  1. Al intentar ver un artículo en eBay, un aviso de advertencia decía que mi cuenta había sido comprometida y que la cuenta estaba bloqueada para evitar abusos.
  2. Escribí un correo electrónico a eBay y recibí una respuesta de [email protected] diciendo:

    1. Debo llamarlos por teléfono para volver a abrir mi cuenta.
    2. La llamada tomaría más de 10 minutos.
    3. La llamada sería manejada por una persona en un país asiático específico.
    4. El correo electrónico estaba lleno de frases como "Tu obediencia es importante para nosotros".

Hubo una explosión de fraude telefónico donde vivo últimamente, y los detalles anteriores obviamente gritan "fraude" (confirmado después de escribir un correo electrónico a [email protected] ), pero lo que no entiendo es:

  1. ¿Cómo se las arreglaron para activar un mensaje de "Tu cuenta ha sido bloqueada" en eBay en primer lugar? (Esta advertencia apareció en dos ocasiones, pero parece haber desaparecido ahora).
  2. Más importante aún, ¿cómo lograron tomar el control de [email protected] ? (Mi correo electrónico fue citado en su respuesta, lo que demuestra su acceso a esta bandeja de entrada).

Además, [email protected] no fue muy útil para explicar lo que sucedió o algo así. Ni siquiera estoy seguro de si debería confiar en su respuesta ...

Actualizar : [email protected] no proporciona ninguna explicación al incidente, a pesar de varias solicitudes. [email protected] sigue respondiendo de la manera habitual, como si solo estuviera esperando a que yo mordiera el anzuelo. Tal vez debería simplemente cerrar mi cuenta. Han pasado años desde que compré algo de este dinosaurio envejecido que no ha cambiado su diseño desde los años noventa y que evidentemente no tiene control ni interés en su seguridad o clientes. (¡PS! Una semana después de escribir este párrafo, eBay muestra un enlace para cambiar a un diseño modernizado. Este problema ahora ha entrado en la zona de penumbra).

A continuación se muestra un extracto de los encabezados de correo electrónico. También contiene un par de entradas DKIM .

From: [email protected]
Received: from mxphxpool1032.ebay.com ([66.211.185.135])
Received: from mxphxpool1004.ebay.com (phxlb238-ext-snat01.phx.ebay.com [10.4.13.31])
Received: from phx8b02c-f396.stratus.phx.ebay.com (phx8b02c-f396.stratus.phx.ebay.com [10.193.75.168])
Message-ID: <***[email protected]>

Actualización : ¡Me acabo de dar cuenta de que la comunicación con eBay se muestra en "Mis mensajes" en ebay.com! ¿Se está comunicando eBay después de todo? Pero, ¿qué tipo de servicio al cliente escribe cosas como "Su obediencia es importante para nosotros" para sus usuarios y necesita una larga llamada internacional para verificar las cuentas? Servicio al cliente subcontratado? O incluso, el servicio de atención al cliente subcontratado se deshizo de malas referencias con el inglés y las referencias culturales incomprensibles para el mundo occidental.

  

¡Ha sido la mitad del año, un bendito día para ti y tu familia!

     

Gracias por volver al Servicio al Cliente de eBay. Sé que se pregunta   ¿Cuánto tiempo durará la confirmación de identidad? Mi nombre es Lester (*),   No se preocupe, haré todo lo posible para ayudarlo hoy y darle consejos útiles.   al contactarnos por teléfono.

     

Primero que nada, quiero que sepas que personalmente me hace feliz que   Nos ha prestado tiempo hablándonos por teléfono y por estar   mente abierta. Tu obediencia y tu ingenio son realmente importantes.   para nosotros.

     

Estamos ubicados en Filipinas en   Al mismo tiempo, debo decirle honestamente que no podremos   Revele la ubicación exacta de cualquiera de nuestros representantes. Esto es debido   a las medidas y prácticas de seguridad.

     

Y creo que las llamadas ATO tardarán menos de 12 minutos. Esto es   Siempre y cuando las preguntas que necesitan respuesta sean consistentemente   entregado.

(*): el nombre cambia para cada correo electrónico.

    
pregunta forthrin 09.05.2018 - 13:02
fuente

1 respuesta

1

Ha tomado una serie de pasos razonables para resolver el problema usted mismo. Felicitaciones por no ser picado.

Sin embargo, los indicadores principales de un problema que está informando aquí parecen estar relacionados con el contenido más que con la tecnología.

  

un aviso de advertencia decía que mi cuenta había sido comprometida y que la cuenta estaba bloqueada

Eso puede haber venido de eBay como resultado de las acciones de un atacante o podría ser parte de la estratagema de los atacantes. ¿Comprobaste que estabas usando HTTPS? ¿Tomó nota de los detalles en el certificado? ¿Los comparaste con los detalles cuando inicias sesión desde otro lugar? ¿Qué navegador estabas usando?

  

Escribí un correo electrónico a eBay y recibí una respuesta de [email protected]

¿Qué cliente de correo electrónico usaste (luego respondiste parcialmente en los comentarios)? ¿Dónde obtuvo la dirección a la que envió el correo electrónico? ¿La dirección a la que envió el correo electrónico es la misma que la dirección De / Responder en la respuesta? Usted dijo que la respuesta citó su correo electrónico original, lo cual es significativo. La inclusión de los encabezados completos de la respuesta aquí podría haber sido útil.

  

Debo llamarlos por teléfono para volver a abrir mi cuenta.

¿Fue un número gratuito? ¿Intentaste verificar que el número aparecía en el sitio de eBay usando otra computadora diferente? ¿Intentó buscar en Google el número (de nuevo, en un dispositivo en otro lugar) para ver si alguien más había encontrado esto?

  

fraude [...] confirmado después de escribir un correo electrónico a [email protected]

Espero que su correspondencia con spoof @ ebay se haya iniciado desde un dispositivo diferente. En este caso, parece que su correo electrónico no se desvió, pero si sospecha que un atacante podría subvertir una cuenta de @ ebay.com, entonces es razonable suponer que toda la correspondencia a ese dominio puede estar comprometida. / p>

  

¿Cómo se las arreglaron para activar un mensaje "Tu cuenta ha sido bloqueada" en eBay

No tengo idea. Creo que es más probable que hayan encontrado un método para desencadenar este comportamiento en ebay en lugar de un ataque MITM / MITB contra su sesión HTTP. Las organizaciones tienden a no publicar la receta de salsa secreta mediante la cual identifican el fraude. Pero puede haber sido tan simple como escribir la contraseña incorrecta muchas veces.

  

¿cómo lograron tomar el control de [email protected]?

No necesitan hacerlo.

Podría ser suficiente controlar cualquiera de su dispositivo, su enrutador, el enrutador en su ISP, el servidor de correo en su ISP, el servidor DNS en su ISP. También es posible que el servicio de correo de eBay haya sido comprometido. Muchas organizaciones grandes subcontratan su apoyo al centro de llamadas más barato. Por lo tanto, incluso cuando se corresponda con las personas de soporte de eBay designadas, es posible que no se corresponda con las personas empleadas por eBay. Entonces, además de los servidores / enrutadores en eBay y los servidores / enrutadores en el centro de llamadas, creo que es razonable incluir acciones de agentes ilegales actualmente o anteriormente empleados por el centro de llamadas como posibles candidatos.

Si bien el DKIM y los encabezados parciales sugieren que las respuestas fraudulentas se enrutaron a través de los servidores de eBay, no hay suficiente información aquí para demostrar que ese es el caso. Hay suficiente información en el correo electrónico original para probar si esto es cierto.

    
respondido por el symcbean 06.06.2018 - 14:42
fuente

Lea otras preguntas en las etiquetas