Gli hacker che impersonano Amazon stanno rubando password e accedono agli account, spingendo gli avvisi da FTC e Better Business Bureau. Gli aggressori stanno sfruttando le password dell’utente deboli o riutilizzate per compromettere gli account che non sono protetti dall’autenticazione a più fattori. Amazon incoraggia la verifica in due fasi e i passkey per una maggiore sicurezza.
Amazon ha riferito che i truffatori che tentano di impersonare i consumatori del gigante al dettaglio del gigante. La società ha dichiarato il proprio impegno a investire nella protezione dei consumatori e nell’istruzione pubblica per l’evitamento della truffa. Amazon incoraggia inoltre i consumatori a denunciare sospette truffe per facilitare la protezione degli account e il rinvio di attori dannosi alle forze dell’ordine per ulteriori azioni. I conti dei consumatori affrontano un aumento del rischio da parte degli aggressori che potrebbero aver acquisito password attraverso violazioni dei dati o campagne di Infostealer o a causa della debolezza intrinseca e della prevedibilità delle password stesse. Dato un recente aumento di questi attacchi, affrontare queste vulnerabilità di sicurezza è diventato una preoccupazione urgente per i titolari di account.
Una truffa Amazon prevalente prevede una promessa di un rimborso per un recente acquisto. Viene consegnato tramite un messaggio di testo contenente un link progettato per avviare la richiesta di rimborso. Facendo clic su questo link indirizza gli utenti a una finestra di accesso fraudolente, progettata per catturare e rubare le credenziali di accesso. Questo metodo sfrutta la fiducia dell’utente e il desiderio di benefici finanziari, portando all’accesso non autorizzato all’account.
Guardio ha osservato un’evoluzione e un successivo aumento della truffa di rimborso. Una nuova variante del fraseggio del messaggio di testo è apparso inizialmente il 9 agosto, registrando un aumento della prevalenza del 590% entro il 10 agosto. Questa ondata è continuata, con conseguente aumento complessivo di quasi l’1000% in pochi giorni. Questa rapida escalation indica un panorama di minaccia adattivo e persistente rivolto agli utenti di Amazon.
Gli ultimi metodi di attacco sottolineano l’insicurezza intrinseca di fare affidamento esclusivamente sull’accesso basato su password. Un account protetto esclusivamente da un nome utente e una password è intrinsecamente vulnerabile. Se la password stessa è debole, l’account è significativamente esposto al compromesso. Jake Moore di ESET ha avvertito che i criminali possiedono la capacità di testare contemporaneamente le password rubate e comunemente usate su più siti Web. Le persone che riutilizzano le password attraverso diversi servizi online sono particolarmente sensibili a compromettere i propri account attraverso questi metodi, amplificando il rischio associato a una debole igiene della password.
Amazon ha consigliato I suoi clienti implementano la verifica in due passaggi e i passkey come misure per proteggere i loro account. La società ha reso disponibile un articolo che descrive in dettaglio l’importanza dei passkey e fornendo istruzioni per la loro configurazione, esortando gli utenti ad adottare rapidamente questi protocolli di sicurezza.
Due report separati hanno illuminato l’uso pervasivo di password comuni, offrendo approfondimenti su modelli per evitare e sottolineare la prevedibilità delle scelte di password dell’utente. NordPass pubblica regolarmente un elenco delle “password più comuni”, una raccolta che funge da risorsa prontamente disponibile per attori dannosi. Allo stesso tempo, CyberNews ha condotto un’analisi delle password trovate nella violazione delle “password trapelate da 19 miliardi”. Questo particolare incidente, pur non rappresentando una nuova violazione in sé, costituiva una significativa aggregazione di dati derivati da numerose violazioni più piccole e traverse di Infostealer, fornendo un set di dati completo per l’analisi della sicurezza.
La compilazione di Cyberghost delle “peggiori password nell’ultimo decennio” offre una prospettiva significativa sulle insidie comuni della password. Questa guida descrive in dettaglio le pratiche della password che gli utenti dovrebbero evitare, compresi i modelli basati su layout della tastiera, sequenze numeriche, nomi di animali, squadre sportive, modelli di auto o nomi di celebrità. Cyberghost affronta specificamente la pratica di incorporare connessioni personali in password, come l’uso di un amato nome di animali domestici. L’organizzazione evidenzia che, sebbene tali dediche possano sembrare innocui, possono inavvertitamente compromettere la sicurezza digitale rendendo le password facilmente indovinabili.
L’implementazione di un passkey e l’abilitazione dell’autenticazione a due fattori (2FA) per gli account online è una misura di sicurezza critica. Amazon rappresenta un obiettivo di alto valore per i criminali informatici e la piattaforma non impone 2FA per tutti i conti, lasciando un numero sostanziale di quegli account garantiti da soli password.
