Si un pirate devait obtenir les 4 derniers chiffres de votre SSN (et peut-être d'autres informations comme le nom, etc.), que pourraient-ils faire?
Pour éviter la possibilité qu'ils puissent deviner les autres chiffres de la date/lieu de naissance et se concentrer uniquement sur ce qu'ils pourraient faire avec les 4 derniers, supposons que la personne n'est pas née aux États-Unis.
Beaucoup trop d'endroits utilisent les 4 derniers SSN pour la validation du représentant du support client (CSR). C'est soi-disant une de ces "informations" que vous seul connaissez, mais, malheureusement, il est plus souvent connu que nous aimerions réfléchir. Il peut ensuite être utilisé dans le cadre d'une attaque d'ingénierie sociale pour accéder à un compte ou le contrôler. Voici un compte rendu de la façon dont quelque chose de similaire a été utilisé pour prendre le contrôle d'un journaliste Apple compte et essuyer tous ses appareils .
Comme Honan l'a expliqué, Amazon a permis aux utilisateurs d'ajouter un numéro de carte de crédit à un compte simplement en appelant Amazon et en fournissant un nom, une adresse e-mail et une adresse de facturation. Après que les pirates aient utilisé cette méthode pour ajouter un numéro de carte de crédit au compte de Honan, ils ont raccroché, puis ont rappelé Amazon pour affirmer qu'ils avaient perdu l'accès au compte. À ce stade, ils ont fourni le faux numéro de carte de crédit, convaincant Amazon de les laisser ajouter une nouvelle adresse e-mail au compte. L'étape suivante consistait à visiter le site Web d'Amazon et à demander qu'un e-mail de réinitialisation du mot de passe soit envoyé à cette adresse e-mail. De là, les pirates pouvaient voir les quatre derniers chiffres des cartes de crédit de Honan sur le site Web d'Amazon.
Avec ces quatre chiffres (et le nom d'utilisateur et l'adresse de facturation de Honan), les pirates ont convaincu Apple d'envoyer un mot de passe temporaire qui leur permettrait de reprendre son compte iCloud et de faire toutes sortes de ravages. "Les quatre chiffres qu'Amazon considère comme assez peu importants pour être affichés en clair sur le Web sont précisément les mêmes que Apple considère suffisamment sécurisés pour effectuer une vérification d'identité ", a écrit Honan.
Je ne peux pas vous dire combien de fois j'ai eu une RSE, prenez simplement les 4 derniers de mes réseaux sociaux comme preuve que c'est moi.