Az ID Theft Ring támadta a kiskereskedőket több szinten

Az amerikai kiskereskedőket célzó gyűrűs kémcsövek kifinomult és sokoldalú támadásokkal próbáltak ellopni a TJX, az OfficeMax, a Barnes & Noble és más társaságok több mint 40 millió hitel- és bankkártya számát a bírósági iratok szerint.

A támadások költsége a kiskereskedők és a hitelkártya-társaságok tízmillió dollárért.

Az ID lopás összeesküvés tagjai úgynevezett gondviselési technikákat alkalmaztak, hogy lyukakat találjanak a kiskereskedelmi üzletek által üzemeltetett vezeték nélküli hálózatokban. A hálózatokon belül a tolvajok a bírósági iratok szerint találtak és elloptak a kiskereskedői hálózatokon tárolt hitelkártya tranzakciós információkat.

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows számítógépéről]

A tolvajok is telepítve vannak - jelzett jelszó és fiókadatok rögzítése a boltok hálózatairól, és internetes támadásokkal, köztük SQL injekciós támadásokkal, a hitelkártya adatbázisokhoz való hozzáféréssel.

Az ID lopáscsoport a befogott hitelkártya számokat tárolta az Egyesült Államokban, Lettországban és Ukrajnában veszélyeztetett szerverekről, a bírósági iratok szerint. A tolvajok aztán titkosították a hitelkártyaszámokat ezeken a szervereken, Albert Gonzalez, az ID lopás tervének állítólagos vezetője szerint.

Miami Gonzalez-t kedden vádolták az US District Court-ban Massachusetts tartományban számítógépes csalás, vezetékes csalás, hozzáférési eszköz csalás, súlyos személyazonosság-lopás és összeesküvés miatt. Tíz másik vádlottat vádat emeltek vagy bűncselekménnyel vádolták, ami az USA Igazságügyi Minisztériuma történetének legsúlyosabb személyazonosság-lopása és számítógépes hacker-nyomozása volt, a kedden bejelentette a DOJ-t.

A vádirat a Gonzaleznek az USA Titkosszolgálatának informátoraként, miközben állítólag részt vett a rendszerben, rávilágít az ID lopás műveletekre. A tolvajok képesek voltak hitelkártya-adatokat kódolni olyan üres kártyákon, amelyeket egyszeri látogatások során több tízezer dollár készpénzgépről szereztek be, a bírósági dokumentum szerint.

A bírósági dokumentumban részletezett támadások közül:

- - 2003 körül Gonzalez és mások találtak titkosított vezeték nélküli hozzáférési pontot a BJ Wholesale Club boltjában. A BJ bejelentette, hogy megsérti számítógépes hálózatát 2004 elején.

- 2004-ben az ID lopásgátló egyéb tagjai veszélyeztették az OfficeMax vezeték nélküli hozzáférési pontot Miamiban, és képesek voltak ellopni a hitelkártyaadatokat. Miután 2006-ban a bűnüldözési tisztviselők az OfficeMax-ot az adatszegés áldozataként azonosította, a vállalat azt mondta, hogy külső könyvvizsgálót bérelt fel a vizsgálat lefolytatására, és nem talált bizonyítékot a biztonsági megszegésre. Az OfficeMax szóvivője nem adott azonnal visszajelzést egy megjegyzésre.

- 2005 júliusában, szeptemberében és novemberében az állítólagos lopásgátló tag, Christopher Scott két vezeték nélküli hozzáférési pontot érintett a TJX által a Marshalls részlegének történeteiben Miamiban. Scott használta a hozzáférését a számítógépes parancsok ismételt továbbításához a TJX szervereire, amelyek hitelkártya-adatot tároltak Framinghamben, Massachusetts-ben. A TJX, amely szintén TJ Maxx, HomeGoods és egyéb kiskereskedelmi üzlet tulajdonában áll, 2007 januárjában bejelentette az adatszegéseket.

A kiberbiztonsági szakértők szerint a vállalatok aggódnak amiatt, hogy az áldozatok képesek tanulni a támadásokból. A személyes adatokat tároló vállalatoknak átfogó megközelítést kell alkalmazniuk az adatbiztonságról, beleértve a hitelkártya-adatbázisok titkosítását, a hálózaton belüli gyanús viselkedésről szóló értesítéseket és az adatokhoz való hozzáférésre vonatkozó korlátozásokat.

A vállalatoknak telepíteniük kell a szoftveres javításokat is gyorsan és győződjön meg róla, tudják, hogy érzékeny adatok találhatók a hálózatokon, tette hozzá Julian, a stratégia alelnöke és a marketing a számítógépes biztonság szállító Application Security. Számos vállalat nem tudja, hol tárolják az összes érzékeny adatot az informatikusok forgalma és más tényezők miatt.

A vállalatoknak is meg kell vizsgálniuk kockázataikat, és célzottan megközelíteniük kell a problémák megoldását, mondta Sam Curry, a cyberbiztonsági értékesítési RSA termékmenedzsment alelnöke.

A támadások az utóbbi években megváltoztak, a szervezett, célzott kampányok mellett Julian szerint. "A hackerek sokkal célzottabbak, és 38 ajtót fognak kipróbálni, 100 ajtót fognak kipróbálni" - mondta. "Amint megtalálják azt, amelyik fel van oldva, az úton vannak az adatbázisba. Nem tudom, hogy sok embernek 10 millió dollárba kerül a költségvetésük, hogy újabb biztonsági intézkedéseket hozzon ki. "

A cégeknek meg kell vizsgálniuk, hogy szükséges-e az általuk tárolt adatok és mennyi ideig tartják az adatokat, mondta Graham Cluley, a Sophos egyik vezető biztonsági tanácsadója, egy másik cyberbiztonsági szolgáltató. a hálózaton belüli adatok védelméről - jelentette ki Curry. A kiskereskedőknek és más vállalatoknak "fel kell ébreszteniük és komolyan venniük ezeket a veszélyeket" - mondta Curry. "A rosszfiúk költségeinek megteremtése túl magas ahhoz, hogy megcsinálhassák."

A kedden bejelentett vádiratok felhívhatnák a figyelmet a kiberbiztonságra, tette hozzá Curry. Néhány magas rangú meggyőződés elrettentő lehet a bűnözők számára.

Mindazonáltal Curry és Cluley elhanyagolták azokat a kiskereskedőket, akiknek a rendszerei veszélybe kerültek. Miközben a vállalatok ügyfeleinek nyomást kell gyakorolniuk arra, hogy javítsák a biztonsági gyakorlatokat, a vállalatok is áldozatok, Cluley azt mondta: "Sajnálatos lenne, ha túl sokat csaptak le a vállalatokról" - mondta Cluley. "A versenytárs vállalatoknak nem szabad túlságosan elszomorodniuk, mert hányan tudják kezüket tenni a szívükre és azt mondják:" ez soha nem történhet meg a szervezetünkön belül? ""

Az USA Szövetségi Kereskedelmi Bizottsága azonban panaszt nyújtott be a TJX, a BJ Wholesale és a DSW, a cipő kiskereskedelmi lánc, amelyet az ID lopási gyűrű célzott meg, amely adatszegést jelentett 2005 márciusában. A DSW beszámolt arról, hogy több mint 1,4 millió hitelkártya-számot érint, és a veszteségek 6,5 millióról 9,5 millió dollárra.

2005 közepétől a BJ 13 millió dolláros követelései az adatszegéshez kapcsolódtak. Az FTC azt állította, hogy a három kiskereskedő nem tette meg a megfelelő biztonsági intézkedéseket a támadásokkal szemben.

Az FTC bejelentette a BJ-k 2005. júniusában, amely előírja a vállalat számára, hogy átfogó információbiztonsági programot hajtson végre és minden harmadik évben egy független, harmadik fél biztonsági szakembereinek 20 éven keresztül ellenőrzéseket készítsen. Az ügynökség hasonló rendezéseket tett közzé a DSW-vel 2005 decemberében és a TJX-ben ez év márciusában.

Az FTC nem nyújtott be panaszt a hat másik, az adatszegés áldozata által azonosított DOJ-vel szemben. Ezek a vállalatok a Dave és a Buster, az OfficeMax, a Barnes & Noble, a Boston Market, a Sports Authority és az Forever 21. Egy FTC tisztviselője elmondta, hogy nem tudta megjegyezni a lehetséges panaszokat ezekkel a cégekkel szemben, mivel az FTC nem nyilatkozott a folyamatban lévő vizsgálatokról.