Se o seu site oferece chat ao vivo, estar preparado para hackers taxa de mineração VentureBeat bitcoin

chat ao vivo tornou-se onipresente como uma ferramenta de vendas e suporte para software como serviço (SaaS) ou serviços em nuvem baseados melhores mineiros bitcoin. empresas inteiras foram construídas em torno de fornecer chat ao vivo, como Olark (que minha empresa utiliza) ou Intercom livre gerador de bitcoin para Android. Como o CEO e fundador de um negócio SaaS (Sendwithus.com), eu tinha muito pouca pergunta sobre se devemos apoiar chat ao vivo; era apenas uma questão de como oferecer chat ao vivo para os nossos clientes.

Como muitas plataformas corporativas, apoiamos a adição de vários membros da equipe em uma conta e configurar permissões de usuário como um administrador de conta comprar bitcoin com cartão itunes presente. Início do ano passado nós tivemos sorte o suficiente para pegar um atacante tentando engenheiro social de nosso operador de bate-papo e ter acesso directo à conta de um Fortune 1000 clientes.


Eu digo que nós tivemos sorte porque nossa atitude típica de apoio é focada no cliente, buscando sempre a ir a milha extra para um cliente bitcoin fórum. Posso imaginar que, sem determinadas condições, poderíamos ter perdido isso.

Para a engenharia não iniciados, social é uma forma de hackers de computador de fraude muitas vezes empregam para ter acesso a informações ou sistemas através da manipulação de funcionários em sua empresa-alvo melhor bitcoin carteira para iphone. Um exemplo disso é o 2013 roubo de cartão de crédito de varejo mega-cadeia alvo.

O acima são trechos diretos a partir do bate-papo nossa equipe de suporte teve com o atacante bitcoin estoque fundo de investimento. Embora as questões por si só nos fez suspeito, foram alguns dos principais sinais de alerta neste interação bitcoin para venda. Os clientes corporativos normalmente têm estruturas internas um pouco complicado, mas nós fazemos um esforço muito concertado para entender quem são os administradores de contas precisam ser e que os usuários terão acesso ao referido contas bitcoin custo hoje. O atacante não foi um dos gestores que já estavam familiarizados com, que apareceu estranho.

Em seguida, os nossos serviços de bate-papo exibe qual endereço de e-mail que o cliente está usando, e o atacante tinha especificado “noemail@noemail.com.” Ele parecia muito estranho para nós que eles não usariam seu e-mail “@ company.com” quando se fala de nossa equipa, dado que eram um preço ao cliente existente de Bitcoin hoje. Outra dica é que o endereço IP que o nosso serviço de chat relataram resultou em um bloco de IP dentro de uma proximidade razoável para a sede do cliente.

Finalmente, se um usuário do bate-papo é registrado em uma conta Sendwithus, suas informações de conta vai aparecer ao lado de janela de chat. Neste caso, percebemos que o atacante não estava logado em tudo que newegg aceitar bitcoin. Perante esta informação, o membro da equipe no bate-papo decidiu que estas eram desconfortáveis ​​oferecendo qualquer informação e educadamente disse o atacante entrar em contato com o administrador interno.

O dia depois que isso aconteceu nos sentamos toda a nossa equipe para baixo para discutir o que a engenharia exatamente social era e que tipo de coisas eram adequadas para fazer no chat. Partimos as seguintes diretrizes para bate-papo:

Embora este ataque era bastante óbvio, existem técnicas comuns que um atacante mais sofisticado seria tentar. Phishing, por exemplo: Tenha cuidado ao clicar em links que os clientes enviam via chat ou arquivos anexos enviados por e-mail. troca Bitcoin Bitstamp foi cortado desta maneira no ano passado – até a quantia de $ 5 milhões. anexos maliciosos foram enviados aos membros da equipe, incluindo o seu chefe de apoio.

Ao lado de phishing, os atacantes comumente vai tentar extrair informações privadas, como parte de engenharia social. Por exemplo, enquanto o número de telefone do contato de um gerente de contas parece inofensivo para liberar, um invasor pode usar esse número no futuro para falso familiaridade com outra entidade. Esta é uma das razões é crucial para executar apoio somente através dos canais oficiais. Funcionários ajudando os clientes via e-mail pessoal, Skype, ou telefones celulares aumenta muito a probabilidade de um ataque de engenharia social bem sucedida.