I criminali possono ancora rubare gli account dei clienti Experian in modo relativamente semplice, affermano i ricercatori di sicurezza informatica.
Mentre la società afferma che il metodo (spiegato di seguito) non è un modo praticabile per rubare gli account delle persone, il ricercatore indipendente Brian Krebs (si apre in una nuova scheda) è riuscito a ricrearlo e conferma che la strategia funziona davvero.
La buona notizia è che le vittime possono riprendere il controllo dei propri account abbastanza rapidamente.
Incidenti isolati
Ecco cosa è successo: a due persone, una di Salt Lake City e una di Boston, è stato recentemente rubato l'account Experian. Gli aggressori conoscevano alcune delle loro informazioni personali, hanno contattato l'azienda e li hanno convinti ad assegnare un indirizzo e-mail diverso all'account.
I titolari effettivi del conto non sono mai stati divulgati nelle loro e-mail originali.
Indagando sulla questione, Krebs ha contattato Experian, che ha descritto gli attacchi come "incidenti isolati" e l'attacco come insostenibile. "Una volta creato un account Experian, se qualcuno tenta di creare un secondo account Experian, i nostri sistemi notificheranno l'e-mail originale in archivio", ha detto Experian a Krebs.
Va anche "oltre la fiducia nelle informazioni di identificazione personale (PII) o nella capacità del consumatore di rispondere a domande di autenticazione basate sulla conoscenza per ottenere l'accesso ai nostri sistemi", ha aggiunto.
Krebs, tuttavia, è riuscito a ricreare l'attacco e rubare il proprio account. Ha usato un altro computer e, conoscendo il suo codice fiscale, la data di nascita e la risposta ad alcune domande, è riuscito a convincere Experian a cambiare l'indirizzo email associato all'account.
Tutti i dati necessari per effettuare l'attacco potrebbero essere acquistati sul dark web, da precedenti attacchi o fughe di notizie, oppure potrebbero essere ottenuti tramite attacchi di social engineering.
"Experian ha cambiato rapidamente l'indirizzo email associato al mio rapporto di credito", ha scritto. "Lo ha fatto senza prima confermare che il nuovo indirizzo email potesse rispondere ai messaggi o che il vecchio indirizzo email avesse approvato la modifica."
Una volta modificata l'e-mail, tutte le notifiche vengono inviate a questo nuovo indirizzo, il che significa che cambiare la password o poter contattare l'azienda diventa molto più difficile.
Tuttavia, proprio come gli attaccanti sono riusciti a rubare gli account, i proprietari sono riusciti a recuperarli, ha scoperto la squadra.
Via: Il Registro (si apre in una nuova scheda)