ID krađe prsten privukao Maloprodaja na više razina

Prstenovi kradljivaca identiteta koji su ciljali američke trgovce koristili su sofisticirane i višestruke napade kako bi ukrali više od 40 milijuna brojeva kreditnih i debitnih kartica od TJX, OfficeMax, Barnes & Noble i drugih tvrtki, prema sudskim dokumentima. trgovaca i tvrtki s kreditnim karticama nekoliko desetaka milijuna dolara.

Članovi ID-a krađe urote su koristili takozvane tehnike zbrinjavanja kako bi pronašli rupe u bežičnim mrežama kojima upravljaju maloprodajne trgovine. Nakon što se unutar mreže, lopovi pronašli i ukrali podatke o transakciji kreditne kartice pohranjene na maloprodajnim mrežama, prema sudskim dokumentima.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Lopovi su također instalirani - zabilježeni softver za snižavanje podataka o lozinkama i računima na mrežama trgovina, a koristili su internetske napade, uključujući napada SQL injekcija, kako bi dobili pristup podacima kreditne kartice.

ID krađa grupi pohranili su zarobljene brojeve kreditnih kartica na ugroženim poslužiteljima u SAD-u, Latviji i Ukrajini, prema sudskim dokumentima. Kradljivci su zatim šifrirali brojeve kreditnih kartica na tim poslužiteljima, navodi se u optužnici Albert Gonzaleza, navodnog rukovodioca krađe identiteta.

Gonzalez iz Miamija optužen je u utorak u Okružnom sudu Sjedinjenih Država za Distrikt Massachusetts zbog optužbi za računalnu prijevaru, prijevare žice, prijevaru pristupa, otežane krađe identiteta i zavjere. Desetorica optuženika optuženi su ili optuženi za zločine u onim što se vjeruje da je najveća istraga o identitetu i hakiranje računalnim hakerima u povijesti američkog Ministarstva pravosuđa, objavila je u utorak DOJ.

Optužnica za Gonzaleza, koja je radila kao informator za američku tajnu službu, a navodno je angažiran u shemi, baca svjetlo na operaciju krađe identiteta. Kradljivci su mogli kodirati podatke o kreditnoj kartici na praznim karticama koje su se koristile za dobivanje desetaka tisuća dolara od gotovinskih strojeva u jednom posjetu, navodi sudski dokument.

Među napadima koji su detaljno prikazani u sudskom dokumentu:

- Godine 2003. Gonzalez i drugi pronašli su nekriptiranu bežičnu pristupnu točku u trgovini BJ's Wholesale Club. BJ je prijavio kršenje svojih računalnih mreža početkom 2004. godine. - 2004, drugi članovi prtljage ID-a ugrožavali su OfficeMax bežičnu pristupnu točku u Miamiju, a mogli su ukrasti podatke o kreditnoj kartici. Nakon što su dužnosnici za provođenje zakona u 2006. identificirali OfficeMax kao žrtvu kršenja podataka, tvrtka je rekla da je angažirala nekog vanjskog revizora da provede istragu i ne pronađe nikakve dokaze o povredi sigurnosti. Glasnogovornik OfficeMaxa nije odmah vratio poruku koja traži komentar.

U srpnju, rujnu i studenom 2005. godine, navodni član pronalazača krađe identiteta Christopher Scott kompromitirala je dvije bežične pristupne točke kojima je upravljao TJX na časopisima Marshallsa u Miamiju. Scott je koristio svoj pristup za višestruko prenošenje računalnih naredbi poslužiteljima TJX-a koji pohranjuju podatke o kreditnoj kartici u Framinghamu, Massachusetts. TJX, koji također posjeduje TJ Maxx, HomeGoods i ostale maloprodajne prodajne centre, prijavio je kršenja podataka u siječnju 2007.

Znanstvenici iz cybersecuritya rekli su da su tvrtke zabrinute zbog toga što žrtve mogu saznati od napada. Tvrtke koje pohranjuju osobne podatke moraju poduzeti sveobuhvatan pristup sigurnosti podataka, uključujući šifriranje baza podataka kreditnih kartica, obavijesti o sumnjivom ponašanju unutar svojih mreža i ograničenja tko može pristupiti podacima, navode sigurnosni stručnjaci.

Tvrtke također trebaju instalirati softverske zakrpe brzo i pobrinite se da znaju da su osjetljivi podaci smješteni na svojim mrežama, dodao je Ted Julian, potpredsjednik strategije i marketinga za sigurnost aplikacija dobavljača računalne sigurnosti. Mnoge tvrtke ne znaju gdje su pohranjeni svi njegovi osjetljivi podaci, zbog prometa IT radnika i drugih čimbenika, rekao jeTvrtke također trebaju analizirati svoje rizike i poduzimati ciljani pristup rješavanju problema, rekao je Sam Curry, potpredsjednik za upravljanje proizvodima u mrežnom prodavaču RSA.

Napadi su se promijenili posljednjih godina, s organiziranijim, ciljanim kampanjama, rekao je Julian. "Hakeri su mnogo usredotočeni i pokušat će 38 vrata, pokušat će 100 vrata", rekao je. "Čim pronađu onu koja je otključana, oni su na putu prema bazi podataka. Ne znam da puno ljudi dobiva 10 milijuna dolara u svojem proračunu kako bi pokrenuli hrpu novih sigurnosnih mjera "

Tvrtke također trebaju ispitati jesu li podaci potrebni i koliko dugo čuvaju podatke, rekao je Graham Cluley, savjetnik za tehnološku tehnologiju tvrtke Sophos, još jedan dobavljač kibernetičke sigurnosti.

Tvrtke su predugo usmjerene na obrambenu obranu, a ne o zaštiti podataka unutar njihovih mreža, rekao je Curry. Maloprodaja i ostala poduzeća moraju "probuditi i uzeti ozbiljno te prijetnje", rekla je Curry. "Dajte trošak lošim momcima previsokima da to učine."

Optužnice objavljene u utorak mogli bi podići svijest o sigurnosti kibernetičara, dodao je Curry. A neke uvjerenja visokog profila mogu poslužiti kao zastrašujući protiv kriminalaca. Ali Curry i Cluley odbili su pokazati prste kod trgovaca čiji su sustavi ugroženi. Dok klijenti tvrtki trebaju pritisnuti na njih kako bi poboljšali sigurnosne prakse, tvrtke su također žrtve, kazao je Cluley. "Bilo bi pogrešno pretjerivati ​​previše tvrtki", rekao je Cluley. "Tvrtke koje se natječu ne bi trebale biti osjećaju previše samozadovoljavajuće, jer koliko njih može staviti ruke na njihovo srce i reći," to se nikad ne bi moglo dogoditi unutar naše organizacije? "

US Federal Trade Commission, međutim, podnijela je pritužbe protiv TJX-a, BJ's Wholesale-a i DSW-a, lanca maloprodaje cipela koje je ciljala prsten od krađe identiteta koji je izvijestio o ometanju podataka u ožujku 2005. godine. DSW je izvijestio kako je ugrožena više od 1.4 milijuna brojeva kreditnih kartica, a gubici su se kretali od 6,5 do 9,5 milijuna dolara.

Do sredine 2005. godine, BJ je prijavila nepodmirena potraživanja od 13 milijuna dolara vezana za kršenje podataka. Oko 455.000 brojeva kreditnih kartica preuzeto je u prekršajima TJX, prema FTC-u.

FTC je tvrdio da tri trgovca nisu poduzele odgovarajuće sigurnosne mjere kako bi zaštitili od napada.

FTC je najavio nagodbu s BJ-ima u Lipanj 2005. godine, od tvrtke koja zahtijeva provođenje sveobuhvatnog programa informacijsko-sigurnosne zaštite i dobivanje revizije neovisnog stručnjaka za sigurnost treće strane svake druge godine za 20 godina. Agencija je najavila slična naselja s DSW-om u prosincu 2005. i TJX u ožujku ove godine.

FTC nije podnio žalbe protiv šest drugih tvrtki koje su identificirale kao žrtve kršenja podataka DOJ. Ove tvrtke su Dave i Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority i Forever 21. FTC službeno je rekla da ne može komentirati moguće pritužbe protiv tih tvrtki jer FTC ne komentira tekuće istrage.