Los delincuentes aún pueden robar las cuentas de los clientes de Experian con relativa facilidad, afirman los investigadores de ciberseguridad.

Si bien la compañía afirma que el método (que se explica a continuación) no es una forma viable de robar las cuentas de las personas, el investigador independiente Brian Krebs (se abre en una nueva pestaña) ha logrado recrearlo y confirma que la estrategia realmente funciona.

La buena noticia es que las víctimas pueden recuperar el control de sus cuentas con bastante rapidez.

Incidents isolés

Esto es lo que sucedió: a dos personas, una de Salt Lake City y otra de Boston, recientemente les robaron la cuenta de Experian. Los atacantes conocían parte de su información personal, contactaron a la empresa y los convencieron de que asignaran una dirección de correo electrónico diferente a la cuenta.

Los titulares reales de las cuentas nunca fueron informados en sus correos electrónicos originales.

Al investigar el asunto, Krebs se puso en contacto con Experian, quien describió los ataques como «incidentes aislados» y el ataque como insostenible. “Una vez que se crea una cuenta de Experian, si alguien intenta crear una segunda cuenta de Experian, nuestros sistemas notificarán el correo electrónico original en el archivo”, dijo Experian a Krebs.

También va «más allá de la confianza en la información de identificación personal (PII) o la capacidad de un consumidor para responder preguntas de autenticación basadas en el conocimiento para obtener acceso a nuestros sistemas», añadió.

Krebs, sin embargo, logró recrear el ataque y robar su propia cuenta. Usó otra computadora y, sabiendo su número de seguro social, fecha de nacimiento y la respuesta a algunas preguntas, pudo convencer a Experian de que cambiara la dirección de correo electrónico asociada con la cuenta.

Cualquier dato necesario para llevar a cabo el ataque podría comprarse en la web oscura, de ataques o filtraciones anteriores, o podría obtenerse a través de ataques de ingeniería social.

“Experian cambió rápidamente la dirección de correo electrónico asociada con mi informe de crédito”, escribió. «Hizo esto sin confirmar primero que la nueva dirección de correo electrónico podía responder a los mensajes, o que la dirección de correo electrónico anterior había aprobado el cambio».

Una vez que se cambia el correo electrónico, todas las notificaciones se envían a esta nueva dirección, lo que significa que cambiar la contraseña o poder comunicarse con la empresa se vuelve mucho más difícil.

Sin embargo, así como los atacantes lograron robar las cuentas, los dueños lograron recuperarlas, encontró el equipo.

Via : Le registre (Ouvre dans un nouvel onglet)

Share