.
Os pesquisadores encontraram quase 15.000 contas automotivas à venda on-line e apontaram para um ataque de preenchimento de credenciais que teve como alvo os fabricantes de automóveis.
A equipe em Kasada não nomeou os fabricantes de automóveis em questão, apenas dizendo que as primeiras 10.000 contas “visavam um único e grande fabricante automóvel europeu com motoristas e veículos residentes nos EUA”.
Os pesquisadores descobriram as contas roubadas em um grupo privado no aplicativo OTT Telegram, que logo se expandiu para incluir contas de duas grandes montadoras dos EUA, elevando o número total à venda para quase 15.000.
E o preço? US$ 2 por conta. Significativamente, o VIN (número de identificação do veículo) foi incluído na venda. Esta foi a primeira vez que a equipe Kasada viu tais informações disponíveis para compra.
Embora a compra de informações pessoais já seja possível há muito tempo, obter a identidade de um carro representa um novo caminho para o lucro dos criminosos.
Um VIN pode ser usado para criar réplicas de informações de licença que podem então ser aplicadas a carros roubados; ele pode ser usado para fins nefastos de registro e, em alguns casos, para conectar-se ao aplicativo móvel de uma montadora para desbloquear um veículo ou realizar outras atividades.
Todos os tipos de fraude também são possíveis, incluindo fraude de empréstimo – onde os criminosos podem usar as informações para vincular um empréstimo a um carro – ou fraude de identidade, onde o VIN e as credenciais de conta roubadas são usadas para redefinir uma conta de carro de onde informações como o nomes de motoristas, números de telefone e endereço físico podem ser extraídos.
Como Registro os leitores sabem, um ataque de preenchimento de credenciais ocorre quando os criminosos usam a automação para fazer login em contas com credenciais roubadas. O método explora o hábito dos usuários de reutilizar a mesma senha em vários sites. A equipe da Kasada disse: “Uma pequena porcentagem das credenciais roubadas ‘funcionam’ e permitem que o invasor assuma com sucesso contas com credenciais de login legítimas”.
Uma vez dentro, o processo de extração de informações, como marca, modelo e VIN do veículo, também é automatizado para agilizar o processo.
A pesquisa ocorre uma semana depois que a Mozilla declarou carros de 25 montadoras”pesadelos sobre privacidade de dados sobre rodas.” As descobertas de Kasada demonstram que, além de compreender os dados coletados pelos carros, os clientes também devem ter cuidado com a configuração das contas nas montadoras.
Kasada observou que os ataques de preenchimento de credenciais afetaram todos os setores devido à reutilização de senhas pelos clientes. Não está ajudando o aparecimento de serviços como desvios de CAPTCHA habilitados para IA para ajudar os criminosos a evitar a detecção de anti-bots.
As soluções incluem clientes considerando gerenciadores de senhas para evitar a reutilização de senhas ou implementando autenticação multifator (MFA) em contas. Embora este último não seja uma solução mágica, torna as coisas mais desafiadoras para os invasores. ®
.
