Badacze cyberbezpieczeństwa twierdzą, że przestępcy nadal mogą stosunkowo łatwo kraść konta klientów Experian.
Chociaż firma twierdzi, że ta metoda (wyjaśniona poniżej) nie jest skutecznym sposobem na kradzież kont ludzi, niezależnemu badaczowi Brianowi Krebsowi (otwiera się w nowej karcie) udało się ją odtworzyć i potwierdza, że strategia faktycznie działa.
Dobra wiadomość jest taka, że ofiary mogą dość szybko odzyskać kontrolę nad swoimi kontami.
pojedyncze incydenty
Oto co się stało: Niedawno skradziono konta Experian dwóm osobom, jednej z Salt Lake City i jednej z Bostonu. Napastnicy znali część ich danych osobowych, skontaktowali się z firmą i nakłonili ją do przypisania do konta innego adresu e-mail.
Rzeczywiści posiadacze kont nigdy nie zostali poinformowani w swoich oryginalnych e-mailach.
Badając sprawę, Krebs skontaktował się z firmą Experian, która określiła ataki jako „odosobnione przypadki”, a atak jako nie do utrzymania. „Jeśli po utworzeniu konta Experian ktoś spróbuje utworzyć drugie konto Experian, nasze systemy powiadomią o tym oryginalny adres e-mail zapisany w aktach” – powiedział Experian Krebsowi.
Wykracza to także „wykraczając poza zaufanie do danych osobowych lub zdolność konsumenta do odpowiadania na pytania uwierzytelniające w oparciu o wiedzę w celu uzyskania dostępu do naszych systemów” – dodał.
Krebsowi udało się jednak odtworzyć atak i ukraść własne konto. Skorzystał z innego komputera i znając swój numer PESEL, datę urodzenia i odpowiedź na kilka pytań, udało mu się przekonać Experiana do zmiany adresu e-mail powiązanego z kontem.
Wszelkie dane potrzebne do przeprowadzenia ataku można kupić w ciemnej sieci na podstawie poprzednich ataków lub wycieków, albo można je uzyskać w drodze ataków socjotechnicznych.
„Experian szybko zmienił adres e-mail powiązany z moim raportem kredytowym” – napisał. „Zrobił to bez uprzedniego potwierdzenia, czy nowy adres e-mail będzie mógł odpowiadać na wiadomości lub czy stary adres e-mail zatwierdził zmianę”.
Po zmianie adresu e-mail wszystkie powiadomienia będą wysyłane na nowy adres, przez co zmiana hasła czy kontakt z firmą staje się znacznie trudniejszy.
Zespół stwierdził jednak, że tak jak atakującym udało się ukraść konta, tak właścicielom udało się je odzyskać.
Przez: Rejestr (otwiera się w nowej karcie)