人总是安全链中最薄弱的一环。
然而,服务或支持角色中的人是独特的。他们的工作是为客户提供方便。他们并不是来做判断的,仅仅因为怀疑就被允许拒绝客户的要求,这是很少见的。
虽然意识培训有帮助,但对那些从事客户服务工作的人来说,这并不是一个完美的解决方案,因为不管他们的怀疑是什么,大多数人都必须首先支持客户。
一些组织确实授权员工在他们觉得存在安全风险时拒绝请求。同时,否认的过程需要支持员工付出相当大的努力。简单地让客户满意,在合理的范围内按照他们的要求去做,这更容易,压力也小得多。
重置用户名和密码似乎是合理的,前提是客户不是咄咄逼人,可以证明信息的缺乏。特罗亚先生就是这么做的。他以一个失意的主管来解释信息缺乏的原因。
“她让我验证我的密码,但我没有。然后她让我核实用于购买域名的信用卡的后四位数字,我也没有。我向她解释说,我让我的助理帮我设置了域名,”陀利亚继续解释。
特罗亚告诉GoDaddy的支持代表,他的“助手”说他使用了一张以四个随机数字结尾的卡片。他给代表的数字是当场编造的。当然,这些数字是不正确的,验证步骤失败了。除此之外,客服代表还被告知助理不记得设置了个人识别码。
我向她道了歉,不仅因为我不知道这个消息,还因为我女儿在背后大喊大叫。她笑着说这不是问题。我被引导到一个网站,在那里我可以填写表格并请求访问,”特罗亚说。
如果在重置请求期间没有可用的帐户信息,GoDaddy将允许客户使用更改帐户(或电子邮件)的形式。
文尼Troia
这份表格要求你提供一份政府签发的身份证的复印件,比如护照、军官证或驾照,以证明你是你所说的那个人。如果所涉及的域不是个人域,那么也需要业务信息。整个过程是在线完成的,而且详细说明可在这里找到.
为了让攻击生效,特罗亚创建了一个虚假的Gmail账户,以及一个谷歌+档案,以匹配他对史蒂夫·拉根的描述。该电子邮件帐户将用于密码重置。这个社交媒体账户只是为了让特罗亚的史蒂夫·拉甘(Steve Ragan)在网上崭露头角。
当涉及到政府签发的身份证明时,他求助于印第安纳州的朋友。
“我在印第安纳州认识几个人,他们都给我发了他们驾照的高质量照片。最后,我发现修改他们现有的许可证比从头开始创建一个新的许可证更容易。我花了大约4个小时来处理许可证的细节和文本的阴影。
“这可能有点过分了,但在这些事情上,我是个完美主义者。驾驶证上的字幕无法与Photoshop的“内容感知和替换”功能匹敌。它并不完美,所以我的大部分时间都花在推像素上,直到它看起来正确。一点模糊和纹理能让东西看起来很真实,”特罗亚说。
表单是在3月13日(周五)提交的,但要到接下来的周一才会被审核,因为负责变更请求的人员在周末不工作。
周二下午,特罗亚收到一封要求提供更多信息的电子邮件。我账户下的大多数域名都是注册到一个企业名称,这将需要额外的信息。
“我发了一封电子邮件,声明没有他们可以核实的实际业务,我只是在那里放了一些东西,因为我认为我必须这么做。我发了邮件,然后马上打了电话。跟我说话的那个女人非常好。我们在打电话的时候,她看了看邮件,说人们总是用不存在的商业名称。他们只是需要一份书面的审计记录。她授权我们在通话时切换邮件。在我们挂断电话的时候,我的电子邮件里就有重置账户密码的说明,”特罗亚说。