Bezpečnost

Prstence zlodějů identity, kteří cílí na americké maloobchodní prodejce, použili sofistikované a mnohostranné útoky na ukradení více než 40 milionů kreditních a debetních karet od společností TJX, OfficeMax, Barnes & Noble a dalších společností podle soudních dokumentů. maloobchodníkům a společnostem zabývajícím se kreditními kartami desítky milionů dolarů.

Členové spiknutí ID používali tzv. wardrivingové techniky k nalezení díry v bezdrátových sítích provozovaných maloobchodními prodejnami. Jakmile jsou uvnitř sítí, zloději se nacházejí a ukradli informace o transakcích s kreditními kartami uložené v sítích maloobchodníků, podle soudních dokumentů.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

- požadovaný software pro sniffer pro zachycení hesel a údajů o účtech v sítích obchodů a pro přístup k databázím kreditních karet použili internetové útoky včetně útoků SQL injection

Skupina ID krádeže uložila čísla zachycených kreditních karet na kompromitovaných serverech v USA, Lotyšsku a na Ukrajině, podle soudních dokumentů. Zloději pak zašifrovali čísla kreditních karet na těchto serverech podle obžaloby Alberta Gonzaleza, údajného vůdce schématu krádeže totožnosti.

Gonzalez z Miami byl obžalován úterý v americkém okresním soudu pro okres Massachusetts na základě obvinění z počítačových podvodů, podvodných drátů, podvodů s přístupem k zařízení, zhoršených krádeží identity a spiknutí. Deset dalších obžalovaných bylo obžalováno nebo obviněno z trestných činů v tom, co je považováno za největší krádež ID a hackerské vyšetřování v historii ministerstva spravedlnosti Spojených států amerických, oznámil DOJ úterý.

Obžaloba pro Gonzalez, který pracoval jako informátor pro tajnou službu USA, když se údajně zapojil do schématu, vrhá trochu světla na činnost krádeže ID. Zloději bylo možné zakódovat informace o kreditní kartě na prázdných kartách, které byly použity k získání desítek tisíc dolarů z bankomatu při jediné návštěvě, uvádí soudní dokument.

Mezi útoky podrobně popsané v soudním dokumentu:

- Zhruba v roce 2003 nalezli Gonzalez a další nezašifrovaný bezdrátový přístupový bod v obchodním centru Velkého klubu BJ. BJ oznámili porušení svých počítačových sítí počátkem roku 2004.

- V roce 2004 došlo k dalšímu zneužití bezdrátového přístupového bodu OfficeMax v Miami a dalšími členy kruhu ID krádeže, které dokázaly ukrást data z kreditních karet. Poté, co úředníci činní v trestním řízení v roce 2006 zjistili, že společnost OfficeMax je oběťmi porušování údajů, společnost uvedla, že najala externího auditora, který provedl vyšetřování a nenalezl žádný důkaz o narušení bezpečnosti. V červenci, září a listopadu roku 2005 údajný člen kruhu ID krádeže Christopher Scott napadl dva bezdrátové přístupové body provozované společností TJX v oddělení Marshalls v Miami. Scott využil svého přístupu k opakovanému přenášení počítačových příkazů na servery TJX, které uchovávají informace o kreditní kartě ve Framinghamu, Massachusetts. Společnost TJX, která vlastní také společnosti TJ Maxx, HomeGoods a další maloobchodní prodejny, zaznamenala v lednu 2007 porušení údajů.

Odborníci z oblasti počítačové bezpečnosti se domnívají, že společnosti se obávají, že se oběti mohou z útoků poučit. Firmy, které uchovávají osobní informace, musí zaujmout komplexní přístup k zabezpečení dat, včetně šifrování databází kreditních karet, upozornění na podezřelé chování uvnitř svých sítí a omezení toho, kdo má přístup k datům, uvedli odborníci z oblasti bezpečnosti.

Společnosti by také měly instalovat softwarové opravy rychle a ujistěte se, že vědí, že citlivá data se nacházejí v jejich sítích, dodal Ted Julian, viceprezident pro strategii a marketing pro dodavatele zabezpečení počítačových aplikací. Mnoho společností neví, kde jsou uloženy všechny citlivé údaje, kvůli obratu IT pracovníků a dalším faktorům, řekl.

Společnosti také potřebují analyzovat rizika a učinit cílený přístup k řešení problémů, uvedl Sam Curry, viceprezident pro řízení produktů v prodejci kybernetické bezpečnosti RSA.

Útoky se v posledních letech změnily, s organizovanějšími cílenými kampaněmi, řekl Julian. "Hackeři jsou mnohem více zaměřeni a budou vyzkoušet 38 dveří, zkusnou 100 dveří," řekl. "Jakmile najdou ten, který je odemkl, jsou na cestě do databáze. Nevím, že mnoho lidí [IT] dostává 10 milionů dolarů do svého rozpočtu, aby zavedlo spoustu nových bezpečnostních opatření. "

Společnosti by měly také zkoumat, zda jsou údaje, které ukládají, potřebné a jak dlouho uchovávají údaje, řekl Graham Cluley, senior technologický konzultant společnosti Sophos, dalšího prodejce počítačové bezpečnosti.

Firmy se příliš dlouho soustředily na obvodovou obranu na ochranu dat uvnitř jejich sítí, řekl Curry. Maloobchodníci a další společnosti se musí "probudit a brát tyto hrozby vážně," řekl Curry. "Udělej za to, že je to pro tyhle zločiny příliš vysoké, aby to udělali."

Obžaloby oznámené v úterý by mohly zvýšit povědomí o kybernetické bezpečnosti, dodala Curry. A některé vysoce uznávané odsouzení by mohly sloužit jako odrazující nástroj pro zločince.

Ale Curry a Cluley odmítli ukázat prsty u obchodníků, jejichž systémy byly ohroženy. Zatímco zákazníci firem potřebují k tomu, aby vyvíjeli tlak na to, aby zlepšili bezpečnostní postupy, jsou oběťmi také společnosti, "řekl Cluley." Bylo by špatné, že by se společnosti příliš bilo, "řekl Cluley. "Konkurenční společnosti by se neměly cítit příliš samolibě, protože kolik z nich může dát do rukou své srdce a říkat:" To by se v naší organizaci nikdy nestalo? "

Americká Federální obchodní komise však podala stížnosti proti společnosti TJX, společnosti BJ's Wholesale a DSW, maloobchodnímu řetězci obuvi zaměřenému na kruhy ID krádeže, která zaznamenala v březnu 2005 porušení údajů. Společnost DSW oznámila, že bylo ohroženo více než 1,4 milionu kreditních karet a ztráty se pohybovaly od 6,5 milionu USD do 9,5 milionu dolarů.

Od poloviny roku 2005 společnost BJ oznámila nevyřízené nároky ve výši 13 milionů dolarů, které souvisejí s porušením údajů. Podle FTC bylo přijato přibližně 455 000 čísel kreditních karet.

FTC tvrdila, že tři maloobchodníci nepřijali vhodná bezpečnostní opatření k ochraně proti útokům

FTC oznámil dohodu s BJ v Červen 2005, které vyžadují, aby společnost zaváděla komplexní program zabezpečení informací a získala audity nezávislého tretieho bezpečnostního odborníka každý druhý rok po dobu 20 let. Agentura oznámila podobná vypořádání s DSW v prosinci 2005 a TJX v březnu tohoto roku.

FTC nepodala stížnosti proti šesti dalším společnostem, které DOJ označily za oběti porušení práva. Tito společníci jsou Dave a Buster, OfficeMax, Barnes & Noble, Boston Market, Sportovní úřad a Forever 21. Úředník FTC uvedl, že nemůže komentovat případné stížnosti proti těmto společnostem, protože FTC nekomentuje probíhající vyšetřování.