Как-то раз, прогуливаясь по просторам даркнета, я забрел на крупную торговую площадку под названием BlackBank Market. Пролистав содержимое, наткнулся на интересный сервис, который, как следовало из названия, занимался возвратом денег за покупки на Amazon.
Я решил повнимательнее изучить услугу. Как следовало из описания, на странице товара должно быть указано, что он Ships from and sold by Amazon.com или Fulfilled by Amazon (то есть продается и отправляется либо обрабатывается Амазоном), максимальная стоимость товара не должна превышать 1500 долларов (для пользователей с богатой историей заказов), товар должен быть некрупным. От пользователя требуется следующая информация: номер заказа, email учетной записи на Amazon, ФИО, адрес доставки, название товара, стоимость, тип доставки.
WARNING
Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Сначала я решил, что сервис - типичный развод, которыми полон Deep Web, и нацелен на получение чужих учетных записей, а информация необходима, чтобы убедить поддержку, что с ними общается владелец аккаунта. Каково же было мое удивление, когда я обнаружил подобные сервисы в русскоязычном сегменте интернета! Их описания несколько отличались, но требования и условия совпадали практически точь-в-точь. Предложения об оказании услуг подобного рода размещены на крупных хакерских площадках и обладают некоторым количеством отзывов, в том числе и от старых пользователей с репутацией. Ознакомившись с ними, я решил провести небольшое исследование, чтобы понять, как работают эти сервисы. Что нам известно? Все сервисы просят одинаковую информацию о заказе и требуют, чтобы ответственность за товар нес Amazon. Что ж, видимо, все проходит через поддержку Amazon. Я обзавелся новым аккаунтом на Amazon, VCC (virtual credit card) и зарегистрировался на сервисе-посреднике, чтобы получить реальный адрес для доставки посылок в США. Далее я сделал небольшой заказ на Amazon. Через несколько дней пришло оповещение от сервиса, что мой заказ благополучно доставлен на склад посредника. Пришло время общения с поддержкой. Далее я буду приводить фрагменты диалога с поддержкой с некоторыми купюрами и комментариями.
You are now connected to Amazon from Amazon.com. Me: Hello, several days ago I’ve ordered a gift for my friend for his birthday. I’ve received it, but order package seems to be damaged. Amazon: Hello Bob, thanks for contacting Amazon, my name is Alice. I am so sorry to hear about this. Please allow me a moment to check on this for you, I’ll be happy to assist you. May I have the order number you are referring to please? Me: Order number is ###-######-####### Amazon: I’ll be happy to help you with this, but first we would need to go through a quick security verification in order to access your account. May I have the email address, the name and the full billing address on your account please? Me: E-mail: #####@hotmail.com; Name: Bob Smith; Address: Sample Street 1150 15, NW Washington DC 20071. Amazon: Would you mind if I take a moment to check on this for you? It will take a few minutes
Как видишь, данные, которые запрашивают сервисы, действительно необходимы для подтверждения личности (я обратился в поддержку, не будучи авторизованным на Amazon).
Amazon: Our best option in this case would be to issue a refund associated with a return. Or a replacement associated with a return. Also I can upgrade to the fastest shipping available.
Опа, нам не подходит такой вариант, мы ведь хотим получить и деньги и товар. Попробуем выкрутиться.
Me: Sorry, but I can’t return the package. It turned out that it was damaged and inside of the box everything is covered with something like black tar, so I throw it away, because it doesn’t seem to be normal and can be dangerous. Amazon: You can put the whole package in any bigger box and send it back for a full refund.
Поддержка упирается и не хочет возвращать деньги просто так.
Me: I understand, but I’m saying that I’ve thrown away the package, because this tar can be dangerous for health. And as I’ve mentioned before, it was a birthday present for my best friend. I can’t wait for replacement and such stuff, I’d rather try now to buy something at local store to catch the beginning of birthday celebration. Amazon: OK. I will issue the item refund for you. One moment please. Me: Thank you understanding. Amazon: Sorry for waiting, I’ve requested the refund, you"ll see the refund back to your original payment method within 2–3 business days. I’ll also make sure to send you a confirmation regarding today’s solution. Me: Thank you! Amazon: You are very welcome! If there is anything else I could help you with today?
Операция прошла успешно! Оставшуюся часть переписки я приводить не буду. Естественно, я извинился за причиненные неудобства, сказал, что возврат средств не требуется и все было совершено в исследовательских целях. Стоит упомянуть, что психологические механизмы, стоящие за данной манипуляцией, предельно просты и могут быть использованы злоумышленником с минимальным опытом. Прежде всего, общение с техподдержкой происходит в текстовом режиме, что дает аферисту возможность безнаказанно спланировать процесс беседы и просчитать свой следующий ход. Важно и то, что сотрудники поддержки Amazon заведомо благосклонно настроены в отношении клиента и процесса рефанда в особенности - это обусловлено устоявшейся западной культурой потребления и серьезной ответственностью за нарушение закона и прав потребителя. Для процесса убеждения мы использовали два простых, но действенных вектора - стереотип «подарок для друга» (для входа в зону персонального доверия и активации сопереживания у агента техподдержки); и второй, не менее важный, культурно-социальный стереотип «вред здоровью» (задача - заставить агента поддержки почувствовать себя частью корпорации, которой может грозить судебный иск).
Какие из этого можно сделать выводы? Сервисы, о которых я говорил в начале статьи, скорее всего, работают по схожей схеме, используют проверенные предлоги и, вероятно, звонят в поддержку для большей убедительности. Поддержка Amazon действительно создана для покупателей, редкий магазин предоставляет подобный уровень услуг. Жалко, конечно, что люди пользуются этим в корыстных целях и, вероятно, в больших объемах, так как это может сказаться на простых покупателях, но такова жизнь.
Мог бы сознательный пользователь в вопросах безопасности, использующий лучшие практики - уникальные пароли, двухфакторную авторизацию, использование только своего надежного компьютера для входа и способность определять фишинговые сайты за милю - находиться в полной уверенности, что его счетам и персональным данным ничего не угрожает? Увы, нет.
Когда кто-то целенаправленно следит за Вами - все эти уловки становятся бесполезными. Дело в том, что большинство систем имеют в наличие бэкдор, пользовательскую поддержку. В этом посте я собираюсь сфокусироваться на самом злостном преступнике: Amazon. com. Это была одна из нескольких компаний, которым я мог бы доверить свои персональные данные. В конце концов, там я делаю покупки, а кроме того, раньше работал разработчиком программного обеспечения и потому считаю себя довольно крупным пользователем AWS (с оборотом более чем $600/месяцев).
Все началось с довольно безобидного письма на электронную почту.
Первое, что я предположил - это должно быть ошибка или запоздалое сообщение автоответчика (месяцем ранее я обращался в поддержку). Но любопытство взяло верх, я связался с Amazon, чтобы уточнить у них в чем дело. Они невозмутимо ответили, что я общался с поддержкой Amazon. Какого черта? Это была текстовая переписка, которую они смогли предоставить мне по электронной почте.
Позвольте отметить, адрес указанный в переписке не принадлежит мне. Это адрес отеля, чей почтовый индекс совпадает с моим. Я использовал его, чтобы зарегистрировать несколько доменов, зная, что информация в Whois слишком часто становится достоянием общественности. Для регистрации использовал район в котором живу, чтобы мой статический IP совпадал с данными, указанными в Whois.
Продолжаем:
Вау. Просто вау. Злоумышленник предъявил Amazon мои ложные данные, которые взял в Whois домена и взамен получил мой реальный адрес и номер телефона. Теперь они получили достаточно данных, чтобы заполучить и доступ к некоторым сервисам и даже убедить мой банк выдать новую копию моей кредитной карты. Было весьма трудно сдерживать себя, чтобы не выплеснуть все негодование на поддержку. Я связывался с Amazon Retail и AWS, выражая мое разочарование и просил их установить пометку в моем аккаунте, что риск взлома и входа в учетную запись очень высок. Amazon Retail сказали, что они установят пометку в моей учетной записи и со мной свяжется специалист (который так и не вышел на связь). В то же время AWS игнорировал существующий риск.
Быстро перемотав события на пару месяцев вперед, я допустил ужасную ошибку и подумал, что угроза уже позади. Я предоставил Amazon свежие данные по кредитной карте и новые адресные данные. Взамен получил еще одно письмо.
Я опять обратился в службу поддержки Amazon, чтобы разобраться, что происходит. На сей раз мне посчастливилось пообщаться с сотрудником поддержки, который на все 100% не понимал, как такое возможно, чтобы от моего имени выступал кто-то другой. Мне было по-истине сложно сдерживаться, когда он начал рассказывать, что нужно сменить пароль, чтобы таких ситуаций с «двойниками» не возникало в дальнейшем. В конце концов мне пришлось признать, что это был «я» и требовать от него распечатку «моего» диалога (и он все же смог ее предоставить).
Предполагаю, мне крупно повезло, что Amazon не выдал данные по моей кредитной карте. И снова связываюсь с поддержкой, повторяя насколько важно не передавать мои данные другим личностям. Они снова обещают, что добавят заметку к моему аккаунту и со мной свяжется специалист (и опять таки - никакого специалиста).
На этот раз я решил, что не могу доверять Amazon свои адресные данные и пора бы удалить его с моего аккаунта.
Теперь переходим ко второму дню моих приключений с Amazon:
На этот раз я не смог получить распечатку диалога, так как злоумышленники связались с Amazon по телефону и у них не сохранилось записи. Я с ужасом подумал, что теперь то злоумышленникам удалось получить последние цифры моей кредитной карты. Как выяснилось позже, опасения были не напрасны.
На этот раз Amazon окончательно предал мое доверием к ним (а если точнее - уже трижды!). Я сделал все, что было в моих силах, чтобы обеспечить необходимую защиту аккаунта. Но это оказалось безнадежным делом.
На данный момент я уже в процессе закрытия моего аккаунта на Amazon и миграции на службы Google, которые кажутся более устойчивыми к такого рода атакам.
Я хотел бы посоветовать пользователям быть крайне осторожными с информацией, которую они размещают в своих аккаунтах. Ведь даже такой гигант как Amazon не может обеспечить должную защиту данных от различных хакерских атак.
, Блог компании ua-hosting.company
Мог бы сознательный пользователь в вопросах безопасности, использующий лучшие практики - уникальные пароли, двухфакторную авторизацию, использование только своего надежного компьютера для входа и способность определять фишинговые сайты за милю - находиться в полной уверенности, что его счетам и персональным данным ничего не угрожает? Увы, нет.
Когда кто-то целенаправленно следит за Вами - все эти уловки становятся бесполезными. Дело в том, что большинство систем имеют в наличие бэкдор, пользовательскую поддержку. В этом посте я собираюсь сфокусироваться на самом злостном преступнике: Amazon. com. Это была одна из нескольких компаний, которым я мог бы доверить свои персональные данные. В конце концов, там я делаю покупки, а кроме того, раньше работал разработчиком программного обеспечения и потому считаю себя довольно крупным пользователем AWS (с оборотом более чем $600/месяц).
Все началось с довольно безобидного письма на электронную почту.
Первое, что я предположил - это должно быть ошибка или запоздалое сообщение автоответчика (месяцем ранее я обращался в поддержку). Но любопытство взяло верх, я связался с Amazon, чтобы уточнить у них в чем дело. Они невозмутимо ответили, что я общался с поддержкой Amazon. Какого черта? Это была текстовая переписка, которую они смогли предоставить мне по электронной почте.
Позвольте отметить, адрес указанный в переписке не принадлежит мне. Это адрес отеля, чей почтовый индекс совпадает с моим. Я использовал его, чтобы зарегистрировать несколько доменов, зная, что информация в Whois слишком часто становится достоянием общественности. Для регистрации использовал район в котором живу, чтобы мой статический IP совпадал с данными, указанными в Whois.
Продолжаем:
Вау. Просто вау. Злоумышленник предъявил Amazon мои ложные данные, которые взял в Whois домена и взамен получил мой реальный адрес и номер телефона. Теперь они получили достаточно данных, чтобы заполучить и доступ к некоторым сервисам и даже убедить мой банк выдать новую копию моей кредитной карты. Было весьма трудно сдерживать себя, чтобы не выплеснуть все негодование на поддержку. Я связывался с Amazon Retail и AWS, выражая мое разочарование и просил их установить пометку в моем аккаунте, что риск взлома и входа в учетную запись очень высок. Amazon Retail сказали, что они установят пометку в моей учетной записи и со мной свяжется специалист (который так и не вышел на связь). В то же время AWS игнорировал существующий риск.
Быстро перемотав события на пару месяцев вперед, я допустил ужасную ошибку и подумал, что угроза уже позади. Я предоставил Amazon свежие данные по кредитной карте и новые адресные данные. Взамен получил еще одно письмо.
Я опять обратился в службу поддержки Amazon, чтобы разобраться, что происходит. На сей раз мне посчастливилось пообщаться с сотрудником поддержки, который на все 100% не понимал, как такое возможно, чтобы от моего имени выступал кто-то другой. Мне было по-истине сложно сдерживаться, когда он начал рассказывать, что нужно сменить пароль, чтобы таких ситуаций с «двойниками» не возникало в дальнейшем. В конце концов мне пришлось признать, что это был «я» и требовать от него распечатку «моего» диалога (и он все же смог ее предоставить).
Предполагаю, мне крупно повезло, что Amazon не выдал данные по моей кредитной карте. И снова связываюсь с поддержкой, повторяя насколько важно не передавать мои данные другим личностям. Они снова обещают, что добавят заметку к моему аккаунту и со мной свяжется специалист (и опять таки - никакого специалиста).
На этот раз я решил, что не могу доверять Amazon свои адресные данные и пора бы удалить его с моего аккаунта.
Теперь переходим ко второму дню моих приключений с Amazon:
На этот раз я не смог получить распечатку диалога, так как злоумышленники связались с Amazon по телефону и у них не сохранилось записи. Я с ужасом подумал, что теперь то злоумышленникам удалось получить последние цифры моей кредитной карты. Как выяснилось позже, опасения были не напрасны.
На этот раз Amazon окончательно предал мое доверием к ним (а если точнее - уже трижды!). Я сделал все, что было в моих силах, чтобы обеспечить необходимую защиту аккаунта. Но это оказалось безнадежным делом.
На данный момент я уже в процессе закрытия моего аккаунта на Amazon и миграции на службы Google, которые кажутся более устойчивыми к такого рода атакам.
Я хотел бы посоветовать пользователям быть крайне осторожными с информацией, которую они размещают в своих аккаунтах. Ведь даже такой гигант как Amazon не может обеспечить должную защиту данных от различных хакерских атак.
Оригинал данного поста и вы можете найти в
«В любой непонятной ситуации пиши в поддержку». Это золотое правило каждого, кто ведет бизнес на Amazon. Если даже Google не знает ответа на ваш вопрос, не теряйте время и обратитесь за помощью к специалистам Amazon. Мы подробно описали, как это сделать.
Как написать в службу поддержки Амазон?
В правом верхнем углу Seller Central кликаем на кнопку «Help».
Справа откроется окно «Help» (Помощь). Можно поискать ответ на свой вопрос здесь. Если все же решить проблему не получилось, нажимаем на кнопку «Contact us» (Связаться с нами) внизу этого окна.
Откроется новое окно «Contact us». Если вопрос касается рекламы на Amazon, кликаем на «Sponsored products». Если вопрос о листинге или продажах на Amazon, выбираем «Selling on Amazon».
Откроется меню, в котором выбираем подходящую категорию и подкатегорию. Иногда нужно сразу указать в отдельном поле ASIN продукта, или же номер заказа, который касается вашего вопроса. Обратите внимание на подсказки «Top Solutions» (Часто задаваемые вопросы), вполне вероятно найти среди них решение своей проблемы. Если мы никак не можем определить категорию, кликаем на «Other issues» (Другие вопросы) и «Make a suggestion» (Сделать предложение).
В поле «Contact Reason» (Причина обращения) указываем причину, почему мы обращаемся в поддержку. По сути, это как тема письма. В поле «Please tell us your suggestion» (Пожалуйста, расскажите свое предложение) описываем суть вопроса. Если хотим прикрепить файл (скриншот, отчет или фото), кликаем на кнопку «Add attachment» (Добавить вложение). Далее указываем свой е-мейл и номер, если вы не против пообщаться с сотрудником Amazon по телефону. Номер телефона оставлять не обязательно. Кликаем на кнопку «Send» (Отправить).
Как узнать, что Amazon ответил?
Трудно предугадать, сколько придется ждать ответа. Если правильно выбрать подкатегорию и детально описать суть вопроса, то сотрудникам поддержки будет легче вам помочь.
Чтобы посмотреть статус запроса («case»), находим на главной странице Seller Central блок «Manage your case log» и кликаем на «View your case log».
Откроется список всех запросов. В столбике «Case Status» (Статус запроса) могут быть варианты «Answered» (Amazon ответил), «Pending Amazon Action» (Amazon примет меры для решения проблемы), «Transferred» (Запрос отложили до выяснения обстоятельств и, скорее всего, ответ так и не дадут), «Needs Your Attention» (Нужно предоставить дополнительную информацию), «Open» (Amazon рассматривает запрос).
Часто для решения вопроса Amazon просит предоставить дополнительную информацию. Чтобы ответить, нажимаем на кнопку «View or respond» (Посмотреть или ответить) напротив нужного запроса (case), и пишем еще одно письмо.
Как получить ответ максимально быстро:
- Четко определите категорию. Тогда запрос сразу попадет к нужному специалисту
- Сразу укажите ASIN, Order Number, или другую конкретную информацию, если вопрос касается листинга, заказа, шипмента и пр.
- Не задавайте вопросы, которые касаются разных тем, в одном письме. Напишите их отдельно.
- Если проблема в том, что вам пришло какое-то предупреждение от Amazon, или он выдал ошибку, то лучше дословно скопировать текст этого предупреждения и вставить в письмо. Или сделать скриншот.
- Сформулируйте вопрос. Не просто опишите ситуацию и проблему, а укажите, что вам нужно узнать.
- Проверяйте Case Log 1-2 раза в день. Amazon может попросить вас предоставить дополнительную информацию, чем быстрее вы ее дадите, тем быстрее вам помогут решить проблему.
- Будьте вежливыми. Помните, что ваше письмо читает такой же человек. Употребление слов «please» и «thank you» повысит вероятность получения быстрого и детального ответа.
Каким бы не был вопрос, теперь вы знаете, где найти на него ответ.
