גניבת זהות טבעת תקפו קמעונאים על מספר רמות

טבעת של גנבי זהות אשר התמקדו קמעונאים בארה"ב השתמשו בהתקפות מתוחכמות ורב-גוניות כדי לגנוב יותר מ -40 מיליון כרטיסי אשראי וחיוב מספרי TJX, OfficeMax, בארנס אנד נובל וחברות אחרות, על פי מסמכי בית המשפט.

עלות ההתקפות קמעונאים וחברות כרטיסי אשראי עשרות מיליוני דולרים.

חברי הקשר גניבת זהות השתמשו בטכניקות wardriving שנקרא למצוא חורים ברשתות אלחוטיות המופעלות על ידי חנויות. לאחר שנכנסו לרשתות, הגנבים ממוקמים וגנבו מידע על כרטיס האשראי המאוחסן ברשתות הקמעונאים, על פי מסמכי בית המשפט. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

הגנבים גם מותקנים כך תוכנת המריח שנשלחה כדי ללכוד סיסמא ונתוני חשבון ברשתות החנויות, והם השתמשו בהתקפות מבוססות אינטרנט, כולל התקפות הזרקת SQL, כדי לקבל גישה למסדי נתונים של כרטיסי אשראי.

קבוצת גניבת הזהויות שמרה את מספרי כרטיסי האשראי שנתפסו על שרתים בסכנה בארה"ב, לטביה ואוקראינה, על פי מסמכי בית המשפט. הגנבים קידמו את מספרי כרטיסי האשראי על אותם שרתים, על פי כתב האישום של אלברט גונזלס, המנהיג לכאורה של תוכנית גניבת הזהויות.

גונזלס, מיאמי, הורשע ביום שלישי בבית המשפט המחוזי של ארה"ב במחוז מסצ'וסטס על האשמות של הונאות מחשב, הונאת תיל, הונאת מכשיר גישה, גניבת זהות מחמירות וקנוניה. עשרה כתבי אישום נוספים הוגשו נגדם כתבי אישום או הוגשו נגדם כתבי אישום בגין גניבת הזהות הגדולה ביותר וחקירת פריצה למחשבים בהיסטוריה של משרד המשפטים האמריקאי, הודיע ​​משרד המשפטים ביום שלישי.

מסמך האישום של גונזלס, שעבד כמו מודיע של השירות החשאי של ארה"ב תוך לכאורה עוסקת בתוכנית, שופך קצת אור על פעולת גניבת זהות. הגנבים הצליחו לקודד פרטי כרטיס אשראי על גבי כרטיסים ריקים ששימשו להשגת עשרות אלפי דולרים ממכונות מזומנים בביקורים בודדים, כך קובע מסמך בית המשפט.

בין ההתקפות המפורטות במסמך בית המשפט:

- בערך בשנת 2003, גונזלס ואחרים מצאו נקודת גישה אלחוטית לא מוצפנת בחנות מועדון סיטוני של BJ. BJ דיווחה על הפרה של רשתות המחשוב שלה בתחילת 2004. <בשנת 1, בשנת 2004, חברים אחרים של גניבת זהות מזהה את נקודת הגישה האלחוטית של OfficeMax במיאמי, והם הצליחו לגנוב נתוני כרטיס אשראי. לאחר פקידי אכיפת החוק בשנת 2006 זיהה OfficeMax כקורבן של הפרת נתונים, החברה אמרה שזה שכר המבקר החיצוני לנהל חקירה ולא מצאו שום עדות להפרה ביטחונית. דובר OfficeMax לא החזיר מיד הודעה המבקשת תגובה.

- בחודש יולי, ספטמבר ונובמבר 2005, חבר גניבת זהות, כריסטופר סקוט, סיכן שתי נקודות גישה אלחוטיות המופעלות על ידי TJX בסיפורי מחלקת Marshalls במיאמי. סקוט השתמש בגישה שלו כדי להעביר שוב ושוב פקודות מחשב לשרתי TJX לאחסון פרטי כרטיס אשראי בפרמינגהם, מסצ'וסטס. TJX, שבבעלותה גם TJ Maxx, HomGoods ושאר חנויות, דיווחה על הפרות נתונים בינואר 2007.

מומחים בתחום האבטחה הסינית אמרו שחברות מודאגות לגבי קורבנות יכולות ללמוד מהתקפות. חברות האבטחה צריכות לנקוט גישה מקיפה לאבטחת מידע, כולל הצפנה של מסדי נתונים של כרטיסי אשראי, הודעות על התנהגות חשודה בתוך הרשתות שלהם והגבלות על מי יכול לגשת לנתונים. במהירות ולוודא שהם היו נתונים רגישים ממוקם ברשתות שלהם, הוסיף טד חוליאן, סגן נשיא אסטרטגיה ושיווק עבור אבטחת המחשב יישום אבטחה יישום. חברות רבות אינן יודעות היכן מאוחסנים כל הנתונים הרגישים שלהם, בשל מחזור עובדים של IT וגורמים אחרים.כמו כן, אומר ג'וליאן, כי החברות צריכות גם לנתח את הסיכונים שלהן ולנקוט בגישה ממוקדת לפתרון בעיות, אמר סאם קארי, סגן נשיא לניהול מוצרים בחברת RSA.

ההתקפות השתנו בשנים האחרונות, עם מסעות פרסום ממוקדים יותר. "האקרים הרבה יותר ממוקדים, והם ינסו 38 דלתות, הם ינסו 100 דלתות", הוא אומר. "ברגע שהם מוצאים את זה לא נעול, הם בדרך אל מסד הנתונים.אני לא יודע כי הרבה אנשים [IT] מקבלים 10 מיליון דולר בתקציב שלהם כדי להשיק חבורה של אמצעי אבטחה חדשים. "

החברות צריכות גם לבדוק האם הנתונים שהם שומרים נחוצים וכמה זמן הם שומרים על נתונים, אמר גרהם קלולי, יועץ טכנולוגי בכיר בחברת Sophos, ספק נוסף בתחום האבטחה הסינית.

חברות מתמקדות זמן רב מדי בהגנות היקפיות ולא על הגנה על נתונים בתוך הרשתות שלהם, אמר קארי. קמעונאים וחברות אחרות צריכים "להתעורר ולקחת את האיומים האלה ברצינות", אמר קארי. "תעלה את המחיר על הרעים גבוה מדי בשבילם שיעשו את זה."

כתבי האישום הודיעו כי יום שלישי יכול להעלות את המודעות בנוגע לביטחון הסייבר, הוסיף קארי. וכמה הרשעות רמיזות יכולות לשמש גורם מרתיע לפושעים. אבל קארי וקלולי סירבו להפנות אצבעות לקמעונאים שמערכותיהם נפרצו. בעוד שלקוחות החברות צריכים ללחוץ עליהם כדי לשפר את נוהלי האבטחה, החברות הן גם קורבנות, אמר קלולי. "זה יהיה לא בסדר להכות את החברות יותר מדי", אמר קולי. "חברות מתחרות לא צריכות להיות רגישות מדי, כי כמה מהן יכולות לשים את ידיהם על ליבם ולומר, 'זה לעולם לא יכול לקרות בתוך הארגון שלנו'".

ועדת הסחר הפדרלית של ארה"ב, לעומת זאת, הגישה תלונות נגד TJX, BJ's Wholesale ו- DSW, רשת קמעונאית הנערכת על ידי טבעת גניבת הזהות שדווחה על הפרת נתונים במארס 2005. מי "ה דיווחה כי יותר מ -1.4 מיליון כרטיסי אשראי נפגעו, וההפסדים נעו בין 6.5 מיליון דולר ל -9.5 מיליון דולר.

נכון לאמצע 2005, דיווחה BJ תביעות תלויות של 13 מיליון דולר הקשורים הפרת נתונים. כ -455,000 מספרי כרטיסי אשראי נלקחו בפרצות TJX, על פי ה- FTC.

ה- FTC טען כי שלושת הקמעונאים לא נקטו באמצעי אבטחה מתאימים כדי להגן מפני ההתקפות.

ה- FTC הכריזה על הסדר עם BJ's in יוני 2005 המחייב את החברה ליישם תוכנית מקיפה לאבטחת מידע ולקבל ביקורות על ידי צד שלישי עצמאי של צד שלישי בכל 20 שנה. הסוכנות הודיעה על התנחלויות דומות עם DSW בדצמבר 2005 ו- TJX במארס השנה.

ה- FTC לא הגיש תלונות נגד שש חברות אחרות שזוהו כנתוני הפרת נתונים על ידי משרד המשפטים. חברות אלו הן דייב ובאסטרס, משרד אוקסמקס, בארנס אנד נובל, שוק בוסטון, רשות הספורט ופוריוור 21. פקידה מטעם ה- FTC אמרה שהיא לא יכולה להגיב על תלונות אפשריות נגד אותן חברות, משום שה- FTC אינו מעיר על חקירות מתמשכות.