Исследователи кибербезопасности говорят, что преступники все еще могут относительно легко украсть учетные записи клиентов Experian.
Хотя компания утверждает, что этот метод (поясняемый ниже) не является действенным способом кражи учетных записей людей, независимому исследователю Брайану Кребсу (opens in a new tab) удалось воссоздать его и подтвердить, что эта стратегия действительно работает.
Хорошая новость заключается в том, что жертвы могут довольно быстро восстановить контроль над своими учетными записями.
Отдельные инциденты
Вот что произошло: у двух человек, одного из Солт-Лейк-Сити и одного из Бостона, недавно украли учетную запись Experian. Злоумышленники знали часть его личной информации, связались с компанией и убедили их присвоить учетной записи другой адрес электронной почты.
Фактические владельцы учетных записей никогда не были проинформированы в своих первоначальных электронных письмах.
Расследуя этот вопрос, Кребс связался с Experian, которая описала атаки как «отдельные инциденты», а атаку как неустойчивую. «Если после создания учетной записи Experian кто-то попытается создать вторую учетную запись Experian, наши системы уведомят исходное электронное письмо, хранящееся в файле», — сказал Experian Кребсу.
Это также выходит «за рамки доверия к личной информации (PII) или способности потребителя отвечать на вопросы аутентификации, основанные на знаниях, для получения доступа к нашим системам», добавил он.
Однако Кребсу удалось воссоздать атаку и украсть собственный аккаунт. Он использовал другой компьютер и, зная свой номер социального страхования, дату рождения и ответы на несколько вопросов, смог убедить Experian изменить адрес электронной почты, связанный с учетной записью.
Любые данные, необходимые для проведения атаки, могут быть приобретены в даркнете, в результате предыдущих атак или утечек, либо они могут быть получены с помощью атак социальной инженерии.
«Experian быстро изменила адрес электронной почты, связанный с моим кредитным отчетом», — написал он. «Он сделал это, не подтвердив предварительно, что новый адрес электронной почты может отвечать на сообщения или что старый адрес электронной почты одобрил изменение».
После изменения адреса электронной почты все уведомления отправляются на этот новый адрес, а это означает, что изменить пароль или связаться с компанией становится намного сложнее.
Однако так же, как злоумышленникам удалось украсть учетные записи, их владельцам удалось вернуть их обратно, как выяснила команда.
Через: Реестр (откроется в новой вкладке)