ID Theft Ring атаковали розничных продавцов на нескольких уровнях

Кольцо похитителей идентичности, которое предназначалось для американских розничных торговцев, использовало сложные и многогранные атаки, чтобы украсть более 40 миллионов номеров кредитных и дебетовых карт от TJX, OfficeMax, Barnes & Noble и других компаний, согласно судебным документам.

Стоимость атак розничные торговцы и компании кредитных карт - десятки миллионов долларов.

Члены тайного заговора использовали так называемые методы обеспечения безопасности, чтобы найти дыры в беспроводных сетях, которыми управляют розничные магазины. Внутри сетей воры обнаружили и украли информацию о транзакциях с кредитными картами, хранящуюся в сетях розничных торговцев, в соответствии с судебными документами.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Воры также установлены так -сертифицированное программное обеспечение сниффера для сбора паролей и данных учетной записи в сетях магазинов, и они использовали атаки, основанные на Интернете, включая атаки SQL-инъекций, для доступа к базам данных кредитных карт.

Группа кражи ID сохранила записанные номера кредитных карт на скомпрометированных серверах в США, Латвии и Украине, согласно судебным документам. Воры затем зашифровали номера кредитных карт на этих серверах в соответствии с обвинительным документом Альберта Гонсалеса, предполагаемого главаря схемы кражи ID.

Гонсалес из Майами был обвинен во вторник в окружном суде США по округу Массачусетс по обвинению в компьютерном мошенничестве, мошенничестве с мошенничеством, мошенничестве с устройством доступа, усугубленной кражи личных данных и заговоре. Десять других обвиняемых были предъявлены обвинения или были предъявлены обвинения в преступлениях в том, что считается самой большой кражей идентификационных данных и расследованием взлома компьютеров в истории Министерства юстиции США, объявленный во вторник Министерством юстиции.

Документ об обвинительном заключении для Гонсалеса, который работал как информатор секретной службы США, хотя якобы участвовал в этой схеме, проливает некоторый свет на операцию по краже идентификационной информации. Воры смогли кодировать информацию о кредитной карте на пустых карточках, которые были использованы для получения десятков тысяч долларов от банкоматов за один раз, - говорится в документе суда.

Среди нападений, описанных в судебном документе:

- - Примерно в 2003 году Гонсалес и другие обнаружили незашифрованную точку беспроводного доступа в магазине оптового клуба BJ. В начале 2004 года BJ сообщила о нарушении своих компьютерных сетей.

- В 2004 году другие члены ID-краж-ринга скомпрометировали точку беспроводного доступа OfficeMax в Майами, и они смогли украсть данные кредитных карт. После того, как сотрудники правоохранительных органов в 2006 году определили OfficeMax как жертву нарушения данных, компания заявила, что наняла внешнего аудитора для проведения расследования и не обнаружила никаких доказательств нарушения безопасности. Представитель OfficeMax не сразу возвратил сообщение с просьбой прокомментировать.

- В июле, сентябре и ноябре 2005 года предполагаемый член команды по краже идентификационной информации Кристофер Скотт скомпрометировал два пункта беспроводного доступа, которыми управляет TJX в журналах Marshalls в Майами. Скотт использовал свой доступ для многократной передачи компьютерных команд серверам TJX, хранящим информацию о кредитной карте в Фремингеме, штат Массачусетс. TJX, которая также владеет TJ Maxx, HomeGoods и другими торговыми точками, сообщила о нарушениях данных в январе 2007 года.

Специалисты по кибербезопасности заявили, что компании, обеспокоенные тем, что их жертвы могут учиться на атаках. Компании, хранящие личную информацию, должны применять комплексный подход к защите данных, включая шифрование баз данных кредитных карт, уведомления о подозрительном поведении в своих сетях и ограничения на доступ к данным, считают эксперты по безопасности.

Компании также должны устанавливать программные исправления быстро и убедитесь, что они знают, что конфиденциальные данные находятся в их сетях, добавил Тед Джулиан, вице-президент по стратегии и маркетингу для поставщика компьютерной безопасности Application Security. По его словам, многие компании не знают, где хранятся все их конфиденциальные данные, из-за оборота ИТ-персонала и других факторов.

По словам Джулиана, компании также должны анализировать свои риски и применять целенаправленный подход к решению проблем, сказал Сэм Карри (Sam Curry), вице-президент по управлению продуктами в RSA для кибербезопасности.

В последние годы нападения изменились с более организованными целенаправленными кампаниями. «Хакеры гораздо более сосредоточены, и они попробуют 38 дверей, они попробуют 100 дверей», - сказал он. «Как только они находят тот, который разблокирован, они идут в базу данных. Я не знаю, что многие [ИТ] люди получают 10 миллионов долларов в своем бюджете, чтобы развернуть множество новых мер безопасности.

Компании также должны проверить, нужны ли данные, которые они хранят, и как долго они хранят данные, сказал Грэм Клули (Graham Cluley), старший консультант по технологиям Sophos, еще одного поставщика кибербезопасности.

Компании слишком долго сосредоточились на защите периметра, а не по защите данных в своих сетях, сказал Карри. Розничные торговцы и другие компании должны «просыпаться и воспринимать эти угрозы серьезно», - сказал Карри. «Сделать расходы для плохих парней слишком высоко, чтобы они это сделали».

Обвинения, объявленные во вторник, могут повысить осведомленность о кибербезопасности, добавил Карри. И некоторые громкие убеждения могут служить сдерживающим фактором для преступников.

Но Карри и Клули отказались указывать пальцами на розничных торговцев, чьи системы были скомпрометированы. В то время как клиенты компаний должны оказывать давление на них, чтобы улучшить методы безопасности, компании также становятся жертвами, сказал Клули.

«Было бы неправильно слишком сильно избивать компании, - сказал Клули. «Конкурирующие компании не должны чувствовать себя слишком самодовольными, потому что многие из них могут передать свои сердца и сказать:« Это никогда не может произойти внутри нашей организации? »<

Однако Федеральная торговая комиссия США подала жалобы против TJX, BJ's Wholesale и DSW, цепочки розничной продажи обуви, на которую нацелено кольцо кражи ID, сообщившего о нарушении данных в марте 2005 года. DSW сообщила, что более 1,4 миллиона номеров кредитных карт были скомпрометированы, а убытки варьировались от 6,5 млн. долл. США до 9,5 млн. долл. США.

По состоянию на середину 2005 года BJ сообщила о невыплаченных претензиях в размере 13 млн. Долл. США, связанных с нарушением данных. В соответствии с FTC было зафиксировано около 455 000 номеров кредитных карт в соответствии с FTC.

FTC утверждал, что три розничных торговца не приняли надлежащих мер безопасности для защиты от атак.

FTC объявила о поселении с BJ в Июне 2005 года, требуя от компании внедрения всеобъемлющей программы обеспечения информационной безопасности и проведения аудита независимым сторонним специалистом по безопасности каждый год на протяжении 20 лет. Агентство объявило о подобных расчетах с DSW в декабре 2005 года и TJX в марте этого года.

FTC не подала жалобы на шесть других компаний, идентифицированных потерпевшими от ДТП. Эти компании - компании Dave и Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority и Forever 21. Официальный представитель FTC заявила, что не может комментировать возможные жалобы на эти компании, поскольку FTC не комментирует текущие расследования.