Исследователи кибербезопасности говорят, что преступники все еще могут относительно легко украсть учетные записи клиентов Experian.
Хотя компания утверждает, что этот метод (поясняемый ниже) не является действенным способом кражи учетных записей людей, независимому исследователю Брайану Кребсу (opens in a new tab) удалось воссоздать его и подтвердить, что эта стратегия действительно работает.
Хорошая новость заключается в том, что жертвы могут довольно быстро восстановить контроль над своими учетными записями.
Отдельные инциденты
Вот что произошло: у двух человек, одного из Солт-Лейк-Сити и одного из Бостона, недавно украли учетную запись Experian. Злоумышленники знали часть его личной информации, связались с компанией и убедили их присвоить учетной записи другой адрес электронной почты.
Фактические владельцы учетных записей никогда не были проинформированы в своих первоначальных электронных письмах.
Al investigar el asunto, Krebs se puso en contacto con Experian, quien describió los ataques como "incidentes aislados" y el ataque como insostenible. “Una vez que se crea una cuenta de Experian, si alguien intenta crear una segunda cuenta de Experian, nuestros sistemas notificarán el correo electrónico original en el archivo”, dijo Experian a Krebs.
También va "más allá de la confianza en la información de identificación personal (PII) o la capacidad de un consumidor para responder preguntas de autenticación basadas en el conocimiento para obtener acceso a nuestros sistemas", añadió.
Однако Кребсу удалось воссоздать атаку и украсть собственный аккаунт. Он использовал другой компьютер и, зная свой номер социального страхования, дату рождения и ответы на несколько вопросов, смог убедить Experian изменить адрес электронной почты, связанный с учетной записью.
Любые данные, необходимые для проведения атаки, могут быть приобретены в даркнете, в результате предыдущих атак или утечек, либо они могут быть получены с помощью атак социальной инженерии.
“Experian cambió rápidamente la dirección de correo electrónico asociada con mi informe de crédito”, escribió. "Hizo esto sin confirmar primero que la nueva dirección de correo electrónico podía responder a los mensajes, o que la dirección de correo electrónico anterior había aprobado el cambio".
После изменения адреса электронной почты все уведомления отправляются на этот новый адрес, а это означает, что изменить пароль или связаться с компанией становится намного сложнее.
Однако так же, как злоумышленникам удалось украсть учетные записи, их владельцам удалось вернуть их обратно, как выяснила команда.
Через: Реестр (откроется в новой вкладке)