อาชญากรยังคงสามารถขโมยบัญชีลูกค้าของ Experian ได้ค่อนข้างง่าย นักวิจัยด้านความปลอดภัยในโลกไซเบอร์กล่าว
แม้ว่าบริษัทจะอ้างว่าวิธีการ (อธิบายด้านล่าง) ไม่ใช่วิธีที่ได้ผลในการขโมยบัญชีผู้ใช้ แต่ Brian Krebs นักวิจัยอิสระ (เปิดในแท็บใหม่) ได้สร้างมันขึ้นมาใหม่และยืนยันว่ากลยุทธ์นี้ใช้งานได้จริง
ข่าวดีก็คือผู้ที่ตกเป็นเหยื่อสามารถควบคุมบัญชีของตนได้ค่อนข้างเร็ว
เหตุการณ์ที่แยกออกมา
สิ่งที่เกิดขึ้นคือ คนสองคน คนหนึ่งมาจากซอลท์เลคซิตี้และอีกคนหนึ่งมาจากบอสตัน เพิ่งถูกขโมยบัญชี Experian ของพวกเขา ผู้โจมตีรู้ข้อมูลส่วนบุคคลบางส่วนของเขา ติดต่อบริษัท และโน้มน้าวให้พวกเขากำหนดที่อยู่อีเมลอื่นให้กับบัญชี
เจ้าของบัญชีจริงไม่ได้รับแจ้งในอีเมลต้นฉบับ
ในการสืบสวนเรื่องนี้ Krebs ได้ติดต่อ Experian ซึ่งอธิบายว่าการโจมตีเป็น "เหตุการณ์ที่เกิดขึ้นอย่างโดดเดี่ยว" และการโจมตีนั้นไม่ยั่งยืน “เมื่อสร้างบัญชี Experian แล้ว หากมีคนพยายามสร้างบัญชี Experian บัญชีที่สอง ระบบของเราจะแจ้งอีเมลต้นฉบับที่อยู่ในไฟล์” Experian กล่าวกับ Krebs
นอกจากนี้ยังเป็น "นอกเหนือจากการพึ่งพาข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) หรือความสามารถของผู้บริโภคในการตอบคำถามการรับรองความถูกต้องตามความรู้เพื่อเข้าถึงระบบของเรา" เขากล่าวเสริม
อย่างไรก็ตาม Krebs สามารถสร้างการโจมตีขึ้นมาใหม่และขโมยบัญชีของเขาเอง เขาใช้คอมพิวเตอร์เครื่องอื่นและเมื่อรู้หมายเลขประกันสังคม วันเกิด และคำตอบสำหรับคำถามสองสามข้อแล้ว เขาก็สามารถโน้มน้าวให้ Experian เปลี่ยนที่อยู่อีเมลที่เชื่อมโยงกับบัญชีได้
ข้อมูลใดๆ ที่จำเป็นในการดำเนินการโจมตีสามารถซื้อได้จากเว็บมืด จากการโจมตีหรือการรั่วไหลครั้งก่อนๆ หรืออาจได้มาจากการโจมตีทางวิศวกรรมสังคม
“Experian เปลี่ยนที่อยู่อีเมลที่เกี่ยวข้องกับรายงานเครดิตของฉันอย่างรวดเร็ว” เขาเขียน "เขาทำสิ่งนี้โดยไม่ได้ยืนยันก่อนว่าที่อยู่อีเมลใหม่สามารถตอบกลับข้อความได้ หรือว่าที่อยู่อีเมลเก่าได้อนุมัติการเปลี่ยนแปลงแล้ว"
เมื่ออีเมลถูกเปลี่ยน การแจ้งเตือนทั้งหมดจะถูกส่งไปยังที่อยู่ใหม่นี้ ซึ่งหมายความว่าการเปลี่ยนรหัสผ่านหรือการติดต่อบริษัทจะยากขึ้นมาก
อย่างไรก็ตาม ในขณะที่ผู้โจมตีสามารถขโมยบัญชีได้ เจ้าของก็สามารถนำบัญชีกลับมาได้ ทีมงานพบว่า
ผ่าน: The Registry (เปิดในแท็บใหม่)