ID Theft Ring Attacked Jälleenmyyjät useilla eri tasoilla

Yhdysvaltain vähittäiskauppiaille suunnattuja identiteettivarkailijoita käytti hienostuneita ja monitahoisia hyökkäyksiä varastamaan yli 40 miljoonaa luotto- ja maksukortin numeroa TJX: stä, OfficeMaxista, Barnes & Noblesta ja muista yrityksistä tuomioistuimen asiakirjojen mukaan.

Hyökkäykset maksoivat vähittäismyyjät ja luottokorttiyhtiöt kymmeniä miljoonia dollareita.

ID: n varkausyhteiskunnan jäsenet käyttivät niin sanottuja varkaustekniikoita, jotka löysivät reikiä vähittäismyymälöissä toimivissa langattomissa verkoissa. Verkkosivustossa varkaat löysivät ja varastivat jälleenmyyjien verkkoihin tallennettuja luottokorttitietojulkaisuja tuomioistuimen asiakirjojen mukaan.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Varkaat asennettiin myös niin - kutsuttu sniffer-ohjelmisto kaapata salasanan ja tilitiedot myymälöiden verkkoihin ja käyttää Internet-pohjaisia ​​hyökkäyksiä, mukaan lukien SQL-injektio-iskut, pääsyn luottokorttitietokantoihin.

ID-varkausryhmä tallensi kaapattuun luottokortin numeroon Yhdysvaltojen, Latvian ja Ukrainan palvelimiin kohdistuneista palvelimista tuomioistuimen asiakirjojen mukaan. Varkaat sitten salaavat luottokortin numerot kyseisillä palvelimilla, kuten Albert Gonzalez, ID-varkausjärjestelmän väitetyksi johtajaksi.

Miamin miami Gonzalez syytettiin tiistaina Yhdysvaltain käräjäoikeudessa District of Massachusettsissa tietokonevirheistä, langattomista petoksista, käyttölaitteiden petoksista, pahentuneesta henkilöllisyyden varastamisesta ja salaliitosta. Kymmenen muuta vastaajaa on syytetty tai syytetty rikoksista, joiden uskotaan olevan suurin ID-varkaus ja tietokoneiden hakkeratutkimus Yhdysvaltain oikeusministeriön historiassa, DOJ ilmoitti tiistaina.

Gonzalezin syytetoimisto Yhdysvaltain salaisen palvelun informaattorina, joka väitetysti osallistuu järjestelmään, valaisee ID-varkaustoimintaa. Väärennökset pystyivät koodaamaan luottokorttitietoja tyhjillä kortteilla, joita käytettiin kymmenien tuhansien dollareiden hankkimiseen käteiskoneista yksittäisissä käynneissä, tuomioistuinasiakirja kertoo.

Oikeusasiakirjassa kuvatuista hyökkäyksistä:

- - Noin vuonna 2003 Gonzalez ja muut löysivät salaamattoman langattoman tukiaseman BJ: n tukkumyymälän myymälässä. BJ: n ilmoitti rikkovan tietokoneverkkojensa vuoden 2004 alkupuolella.

- Vuonna 2004 muut ID-varkausrenkaan jäsenet heikensivät OfficeMaxin langattoman tukiaseman Miamissa ja he pystyivät varastamaan luottokorttitietoja. Kun lainvalvontaviranomaiset vuonna 2006 tunnistivat OfficeMaksin tietojen rikkomuksen uhaksi, yhtiö totesi, että se palkkasi ulkopuolisen tilintarkastajan suorittamaan tutkimuksen eikä löytänyt todisteita tietoturvaloukkauksista.

- Vuoden 2005 heinäkuussa, syyskuussa ja marraskuussa väitetyn ID-varkausjäsenen Christopher Scott rikkoi kaksi TJX: n ylläpitämää langatonta tukiasemaa Marshallsin osastotieteissä Miamissa. Scott käytti pääsyään lähettämään tietokonekomentoja toistuvasti TJX: n palvelimiin, jotka tallentavat luottokorttitietoja Framinghamissa, Massachusettsissa. TJX, joka omistaa myös TJ Maxxin, HomeGoodsin ja muiden vähittäismyyntipisteiden, raportoi tietojen rikkomuksista tammikuussa 2007.

Tietoturvan asiantuntijat sanoivat, että yritykset, jotka ovat huolissaan uhreista, voivat oppia hyökkäyksistä. Yritysten, jotka tallentavat henkilötietoja, on otettava kokonaisvaltainen lähestymistapa tietoturvaan, mukaan lukien luottokorttitilastojen salaus, ilmoitukset epäilyttävään käyttäytymiseen verkkojen sisällä ja rajoitukset siitä, kuka voi käyttää tietoja. Tietoturva-asiantuntijat sanovat.

Yritysten on myös asennettava ohjelmistopäivityksiä nopeasti ja varmista, että he tietävät, että arkaluonteiset tiedot sijaitsevat heidän verkostoissaan, lisäsivät tietoturvapäällikön strategian ja markkinoinnin varapääjohtaja Ted Julian. Monet yritykset eivät tiedä, missä kaikki arkaluonteiset tiedot tallennetaan tietotekniikan työntekijöiden liikevaihdon ja muiden tekijöiden vuoksi.

Yritykset joutuvat myös analysoimaan riskejäan ja ottamaan kohdennetun lähestymistavan ongelmiin, sanoo Sam Curry, tietoturva-alan myyjän RSA: n tuotehallinnan varapuheenjohtaja.

Hyökkäykset ovat muuttuneet viime vuosina, ja järjestäytyneemmät, kohdennetut kampanjat Julian sanoivat. "Hakkerit ovat paljon keskittyneempiä, ja he yrittävät 38 ovea, he yrittävät 100 ovea", hän sanoi. "Heti kun he löytävät sen, joka on avattu, he ovat matkalla tietokantaan. En tiedä, että paljon [IT] ihmisiä saa 10 miljoonan dollarin budjetistaan, jotta he voivat laatia joukon uusia turvatoimia. "

Yritysten on myös tutkittava, tarvitaanko niiden tallennustilaa ja kuinka kauan tietoja säilytetään", sanoo Graham Cluley, Sophosin johtava teknologiakonsultti, toinen verkkoturvallisuusmyyjä.

Yritykset ovat liian pitkään keskittyneet kehäpuitteisiin, ei Tietojen suojaaminen verkkojensa sisällä, Curry sanoi. Jälleenmyyjät ja muut yritykset tarvitsevat "herätä ja ottaa nämä uhkat vakavasti", Curry sanoi. "Tee kustannukset huonoille liian korkeille, jotta he voisivat tehdä sen."

Syytteeseen ilmoitetut syytteet saattavat lisätä tietoisuutta verkkoturvallisuudesta, Curry lisäsi. Jotkut korkeatasoiset vakaumukset voisivat toimia rikollisille.

Curry ja Cluley eivät kuitenkaan osoittaneet sormia vähittäiskauppiaille, joiden järjestelmät olivat vaarassa. Yritysten asiakkaiden on painostettava heitä parantamaan tietoturvaratkaisuja, mutta yritykset ovat uhreja, Cluley sanoi.

"On väärin pahentaa yrityksiä liikaa", Cluley sanoi. "Kilpailevat yritykset eivät saa tuntea liian sitkeäksi, koska kuinka monet heistä voivat asettaa käsiinsä sydämeensä ja sanoa," tämä ei voisi koskaan tapahtua organisaatiossamme? ""

Yhdysvaltain liittovaltion kauppakomissio kuitenkin teki valituksia TJX: stä, BJ: n tukkumyynnistä ja DSW: stä, joka oli ID: n varkausrengasta, joka ilmoitti tietojen rikkomisesta maaliskuussa 2005. DSW ilmoitti, että yli 1,4 miljoonaa luottokorttien numeroa vaarantui ja tappiot vaihtelivat 6,5 miljoonasta dollarista 9,5 miljoonaan dollariin.

Vuoden 2005 puolivälistä lähtien BJ: n ilmoittamat 13 miljoonan dollarin korvaukset liittyivät tietojen rikkomiseen. FTC: n mukaan noin 455 000 luottokortin numeroa on otettu TJX-rikkomuksiin.

FTC väitti, että kolme vähittäiskauppias ei ryhtynyt asianmukaisiin turvatoimiin hyökkäysten estämiseksi.

FTC ilmoitti sovittelumenettelyn BJ: n kanssa Kesäkuussa 2005 edellyttäen, että yritys toteuttaa kattavan tietoturvaohjelman ja hankkii itsenäisen kolmannen osapuolen turvallisuusalan ammattilaisen tarkastukset joka toinen vuosi 20 vuoden ajan. Virasto ilmoitti samankaltaisista ratkaisuista DSW: n kanssa joulukuussa 2005 ja TJX: n kanssa tämän vuoden maaliskuussa.

FTC ei ole tehnyt kanteluja kuuteen muuhun DOJ: n tietojen rikkomisen uhreiksi määritettyyn yritykseen. Nämä yritykset ovat Dave ja Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority ja Forever 21. FTC: n virkamies sanoi, että hän ei voinut kommentoida mahdollisia valituksia näistä yrityksistä, koska FTC ei kommentoi käynnissä olevia tutkimuksia.