I criminali possono ancora rubare gli account dei clienti Experian in modo relativamente semplice, affermano i ricercatori di sicurezza informatica.
Mentre la società afferma che il metodo (spiegato di seguito) non è un modo praticabile per rubare gli account delle persone, il ricercatore indipendente Brian Krebs (si apre in una nuova scheda) è riuscito a ricrearlo e conferma che la strategia funziona davvero.
La buona notizia è che le vittime possono riprendere il controllo dei propri account abbastanza rapidamente.
Incidenti isolati
Ecco cosa è successo: a due persone, una di Salt Lake City e una di Boston, è stato recentemente rubato l'account Experian. Gli aggressori conoscevano alcune delle loro informazioni personali, hanno contattato l'azienda e li hanno convinti ad assegnare un indirizzo e-mail diverso all'account.
I titolari effettivi del conto non sono mai stati divulgati nelle loro e-mail originali.
Dopo aver indagato sulla questione, Krebs ha contattato Experian, che ha descritto gli attacchi come "incidenti isolati" e l'attacco come insostenibile. "Una volta creato un account Experian, se qualcuno tenta di creare un secondo account Experian, i nostri sistemi segnaleranno l'e-mail originale in archivio", ha detto Experian a Krebs.
Va anche "oltre la dipendenza dalle informazioni di identificazione personale (PII) o la capacità di un consumatore di rispondere a domande di autenticazione basate sulla conoscenza per ottenere l'accesso ai nostri sistemi", ha aggiunto.
Krebs, tuttavia, è riuscito a ricreare l'attacco e rubare il proprio account. Ha usato un altro computer e, conoscendo il suo codice fiscale, la data di nascita e la risposta ad alcune domande, è riuscito a convincere Experian a cambiare l'indirizzo email associato all'account.
Tutti i dati necessari per effettuare l'attacco potrebbero essere acquistati sul dark web, da precedenti attacchi o fughe di notizie, oppure potrebbero essere ottenuti tramite attacchi di social engineering.
"Experian ha prontamente cambiato l'indirizzo e-mail associato al mio rapporto di credito", ha scritto. "Lo ha fatto senza prima confermare che il nuovo indirizzo e-mail fosse in grado di rispondere ai messaggi o che il vecchio indirizzo e-mail avesse approvato la modifica".
Una volta modificata l'e-mail, tutte le notifiche vengono inviate a questo nuovo indirizzo, il che significa che cambiare la password o poter contattare l'azienda diventa molto più difficile.
Tuttavia, proprio come gli attaccanti sono riusciti a rubare gli account, i proprietari sono riusciti a recuperarli, ha scoperto la squadra.
Via: Il Registro (si apre in una nuova scheda)
