Krążek złodziei tożsamości, wymierzony w amerykańskich sprzedawców detalicznych, wykorzystał wyrafinowane i wielowymiarowe ataki w celu kradzieży ponad 40 milionów numerów kart kredytowych i debetowych z TJX, OfficeMax, Barnes & Noble i innych firm, zgodnie z dokumentami sądowymi.
Koszt ataków sprzedawcy i firmy obsługujące karty kredytowe dziesiątki milionów dolarów.
Członkowie konspiracji kradzieży tożsamości wykorzystali tak zwane techniki wardriving do znalezienia dziur w sieciach bezprzewodowych obsługiwanych przez sklepy detaliczne. Po znalezieniu się w sieci złodzieje zlokalizowali i ukradli informacje o transakcjach kart kredytowych przechowywane w sieciach sprzedawców detalicznych, zgodnie z dokumentami sądowymi.
[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]Złodzieje również zainstalowali się - oprogramowanie do wykrywania snajperów w celu przechwytywania haseł i danych kont w sieciach sklepów oraz wykorzystywania ataków internetowych, w tym ataków typu SQL injection, w celu uzyskania dostępu do baz danych kart kredytowych.
Grupa kradzieży tożsamości przechowała przechwycone numery kart kredytowych na skompromitowanych serwerach w USA, na Łotwie i Ukrainie, zgodnie z dokumentami sądowymi. Złodzieje następnie zaszyfrowali numery kart kredytowych na tych serwerach, zgodnie z dokumentem oskarżenia Alberta Gonzaleza, rzekomego przywódcy systemu kradzieży tożsamości.
Gonzalez, z Miami, został oskarżony we wtorek w Sądzie Rejonowym dla Okręgu Massachusetts pod zarzutem oszustw komputerowych, oszustw drukarskich, oszustw związanych z dostępem do urządzeń, zaostrzonej kradzieży tożsamości i konspiracji. Dziesięciu innych oskarżonych zostało oskarżonych lub oskarżonych o zbrodnie w sprawie największego kradzieży tożsamości i śledztwa w sprawie włamań komputerowych w historii amerykańskiego Departamentu Sprawiedliwości, ogłoszonego we wtorek DOJ.
Dokument oskarżenia dla Gonzaleza, który działał jako informator dla amerykańskiej tajnej służby, podczas gdy rzekomo zaangażowany w ten program, rzuca trochę światła na operację kradzieży tożsamości. Złodzieje byli w stanie zakodować informacje o kartach kredytowych na pustych kartach, które były używane do uzyskania dziesiątek tysięcy dolarów z bankomatów podczas pojedynczych wizyt, dokument sądowy mówi.
Wśród ataków opisanych w dokumencie sądowym:
- - Około roku 2003, Gonzalez i inni znaleźli nieszyfrowany punkt dostępu bezprzewodowego w sklepie BJ's Wholesale Club. BJ zgłosiło naruszenie swoich sieci komputerowych na początku 2004 r.
- W 2004 r. Inni członkowie kradzieży tożsamości złamali punkt dostępowy OfficeMax w Miami i mogli ukraść dane z karty kredytowej. Po tym, jak funkcjonariusze organów ścigania w 2006 roku wykryli OfficeMax jako ofiarę naruszenia danych, firma stwierdziła, że wynajęła zewnętrznego audytora do przeprowadzenia śledztwa i nie znalazła dowodów naruszenia bezpieczeństwa. Rzecznik OfficeMax nie od razu zwrócił wiadomość z prośbą o komentarz.
- W lipcu, wrześniu i listopadzie 2005 r. Domniemany kradzież tożsamości, Christopher Scott, złamał dwa bezprzewodowe punkty dostępowe obsługiwane przez TJX w oddziałach Marshalls w Miami. Scott wykorzystał swój dostęp do wielokrotnego przesyłania poleceń komputerowych do serwerów TJX przechowujących informacje o kartach kredytowych w Framingham w stanie Massachusetts. TJX, która jest również właścicielem TJ Maxx, HomeGoods i innych punktów sprzedaży detalicznej, zgłosiła naruszenia danych w styczniu 2007 r.
Eksperci ds. Bezpieczeństwa cybernetycznego powiedzieli, że firmy martwią się, że ofiary mogą uczyć się na skutek ataków. Firmy przechowujące dane osobowe muszą przyjąć kompleksowe podejście do bezpieczeństwa danych, w tym szyfrowanie baz danych kart kredytowych, powiadomienia o podejrzanych zachowaniach w ich sieciach oraz ograniczenia dotyczące tego, kto może uzyskać dostęp do danych, powiedział ekspert bezpieczeństwa.
Firmy powinny również instalować poprawki oprogramowania szybko i upewnij się, że wiedzą, że wrażliwe dane znajdują się w ich sieciach, dodał Ted Julian, wiceprezes ds. strategii i marketingu dla dostawcy bezpieczeństwa komputerowego Application Security. Wiele firm nie wie, gdzie przechowywane są wszystkie wrażliwe dane, ze względu na obrót pracowników IT i inne czynniki, powiedział.
Firmy muszą również przeanalizować swoje ryzyko i podjąć ukierunkowane podejście do rozwiązywania problemów, powiedział Sam Curry, wiceprezes ds. Zarządzania produktami w firmie RSA ds. Bezpieczeństwa cyberprzestrzeni.
W ciągu ostatnich lat ataki uległy zmianie, a bardziej zorganizowane, ukierunkowane kampanie, powiedział Julian. "Hakerzy są znacznie bardziej skupieni i spróbują 38 drzwi, spróbują stu drzwi" - powiedział. "Gdy tylko znajdą odblokowany, będą w drodze do bazy danych. Nie wiem, że wielu ludzi [IT] otrzymuje 10 milionów dolarów w swoim budżecie na wdrożenie nowych środków bezpieczeństwa "
Firmy powinny również zbadać, czy dane, które przechowują są potrzebne i jak długo przechowują dane, powiedział Graham Cluley, starszy konsultant ds. Technologii w Sophos, inny sprzedawca cyberbezpieczeństwa.
Firmy zbyt długo skupiały się na obronie obwodu, a nie na o ochronie danych w swoich sieciach, powiedział Curry. Detaliści i inne firmy muszą "obudzić się i poważnie potraktować te zagrożenia" - powiedział Curry. "Poddaj koszty złym ludziom za wysoko, aby mogli to zrobić."
Ogłoszone we wtorek oskarżenia mogą podnieść świadomość na temat bezpieczeństwa cybernetycznego, dodał Curry. A niektóre głośne wyroki mogą służyć jako środek odstraszający dla przestępców.
Ale Curry i Cluley nie chcieli wskazywać na detaliści, których systemy zostały naruszone. Podczas gdy klienci firm muszą wywierać na nich presję, aby poprawić praktyki w zakresie bezpieczeństwa, firmy również są ofiarami, powiedział Cluley.
"Byłoby błędem zbyt mocno pobić firmy", powiedział Cluley. "Konkurencyjne firmy nie powinny czuć się zbyt zadowolone z siebie, ponieważ jak wiele z nich może położyć ręce na ich sercach i powiedzieć:" to nigdy nie może się zdarzyć w naszej organizacji? ".
Federalna Komisja Handlu USA złożyła jednak skargi przeciwko TJX, BJ's Wholesale i DSW, sieci sprzedaży obuwia, której celem jest kradzież tożsamości, która zgłosiła naruszenie danych w marcu 2005 r. DSW poinformowało, że złamano ponad 1,4 miliona numerów kart kredytowych, a straty wahają się od 6,5 miliona USD do 9,5 miliona USD.
W połowie 2005 r. BJ zgłosiło zaległe roszczenia w wysokości 13 mln USD związane z naruszeniem bezpieczeństwa danych. Według danych FTC, około 455 000 numerów kart kredytowych zostało wykorzystanych w naruszeniach TJX.
FTC zarzuciło, że trzej detaliści nie podjęli odpowiednich środków bezpieczeństwa w celu ochrony przed atakami.
FTC ogłosiło ugodę z BJ w Czerwiec 2005 r. Zobowiązuje firmę do wdrożenia kompleksowego programu bezpieczeństwa informacji i uzyskania audytów przez niezależnego niezależnego specjalisty ds. Bezpieczeństwa co dwa lata przez 20 lat. Agencja ogłosiła podobne rozliczenia z DSW w grudniu 2005 r. I TJX w marcu tego roku.
FKŻ nie złożyła skargi przeciwko sześciu innym firmom, które zostały uznane przez DOJ za ofiary naruszenia danych. Te firmy to Dave and Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority i Forever 21. Urzędnik FTC powiedział, że nie może wypowiedzieć się na temat ewentualnych skarg na te firmy, ponieważ FTC nie komentuje toczących się dochodzeń.
Były szef HP przyznaje się do winnych kradzieży tajemnic handlowych
Były wiceprezes Hewlett-Packard przyznaje się do kradzieży tajemnic handlowych IBM.
FBI: Napęd Flash używany do kradzieży danych z wielu krajów
Dwóch mężczyzn zostało aresztowanych za rzekomą rolę w kradzieży i sprzedaży osobistych informacji o klientach z Countrywide.
Szkoła w Teksasie używa identyfikatorów RFID do śledzenia lokalizacji uczniów
Dwie szkoły w San Antonio w Teksasie wymagają od uczniów noszenia identyfikatorów z wbudowanym chipem RFID w celu śledzić ich lokalizacje. Niektórzy uczniowie narzekają na inwazję na prywatność i mrożące krew w żyłach, ale szkoła twierdzi, że ma obowiązek rozwikłać wagary, która jest wysoka w tych szkołach.