Kimlik Hırsızlığı Halka Birden Fazla Düzeyde Perakendecilere Saldırdı

ABD'li perakendecileri hedef alan bir kimlik hırsızları zinciri, mahkeme belgelerine göre TJX, OfficeMax, Barnes & Noble ve diğer şirketlerden 40 milyondan fazla kredi ve banka kartı numarasının çalınması için gelişmiş ve çok yönlü saldırılar kullandı.

Saldırılar maliyeti perakendeciler ve kredi kartı şirketleri on milyonlarca dolar

ID hırsızlığı komplosunun üyeleri, perakende satış mağazaları tarafından işletilen kablosuz ağlarda delikleri bulmak için sözde güvenlik tekniklerini kullandılar. Ağların içine girdiğinde hırsızlar mahkeme belgelerine göre perakendeci ağlarında saklanan kredi kartı işlem bilgisini bulup çaldı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Ayrıca hırsızlar da yüklendi. - mağazaların ağlarında şifre ve hesap verilerini yakalamak için bir araya getirilmiş sniffer yazılımı ve kredi kartı veritabanlarına erişim sağlamak için SQL enjeksiyon saldırıları da dahil olmak üzere İnternet tabanlı saldırıları kullandılar.

ID hırsızlığı grubu yakalanan kredi kartı numaralarını sakladı. Mahkeme belgelerine göre ABD, Letonya ve Ukrayna'daki uzlaşılmış sunucularda. Hırsızlar daha sonra kimlik hırsızlığı planının elebaşı iddiası Albert Gonzalez'in iddianamesine göre, bu sunuculardaki kredi kartı numaralarını şifrelediler.

Miami'nin Gonzalez'i, ABD'nin Massachusetts Bölge Mahkemesi'nde Salı günü suçlandı. Bilgisayar sahtekarlığı, tel sahtekarlığı, erişim aygıtı sahtekarlığı, ağırlaştırılmış kimlik hırsızlığı ve komplo suçlamasıyla. DOJ, Adalet Bakanlığı'nın tarihinin en büyük kimlik hırsızlığı ve bilgisayar araştırma soruşturması olduğuna inanılan diğer davada on diğer sanığın suçlanmasıyla suçlanıyor veya suçlanıyor:

Salı günü yaptığı açıklamada, Gonzalez'in iddianamesinde ABD Gizli Servisi'nin bir programda yer aldığı iddia edilen bir kişi olarak ID hırsızlığı operasyonuna ışık tutuyor. Mahkeme belgesi, hırsızların, nakit kartlarından on binlerce doların alınabilmesi için kullanılan boş kartlara kredi kartı bilgilerini kodlayabildiklerini belirterek, mahkeme belgesinde belirtilen saldırıların arasında:

- - 2003 yılında, Gonzalez ve diğerleri BJ'nin Toptan Kulübü mağazasında şifrelenmemiş bir kablosuz erişim noktası buldular. BJ, 2004 yılının başında bilgisayar ağlarını ihlal ettiğini bildirdi.

- 2004 yılında, ID hırsızlık halkalarının diğer üyeleri Miami'de bir OfficeMax kablosuz erişim noktasını ihlal etti ve kredi kartı verilerini çalabildi. Kolluk kuvvetleri yetkilileri 2006 yılında OfficeMax'ı veri ihlalinin kurbanı olarak tanımladıktan sonra, şirket bir soruşturma yürütmek üzere bir dış denetçi tuttuğunu ve herhangi bir güvenlik ihlali kanıtının bulunmadığını söyledi. Bir OfficeMax sözcüsü derhal yorum isteyen bir mesaj vermedi.

- Temmuz, Eylül ve Kasım 2005'te ID hırsızlığı çalma üyesi Christopher Scott'ın Miami'deki Marshalls departmanı hikayelerinde TJX tarafından işletilen iki kablosuz erişim noktasını ihlal ettiği iddia edildi. Scott, erişimini TJX'nin Framingham, Massachusetts'te kredi kartı bilgilerini depolayan sunucularına tekrar tekrar iletmesini kullandı. TJ Maxx, HomeGoods ve diğer perakende satış noktalarına da sahip olan TJX, Ocak 2007'de veri ihlallerini rapor etti.

Siber güvenlik uzmanları, şirketlerin kurbanlar hakkında endişelendiklerini saldırılardan öğrenebileceklerini söyledi. Kişisel bilgileri depolayan şirketlerin, veri güvenliği için kredi kartı veritabanlarının şifrelenmesi, ağlarında şüpheli davranış bildirimleri ve verilere kimlerin erişebileceğine dair sınırlamalar da dahil olmak üzere kapsamlı bir yaklaşım benimsemeleri gerektiğini belirtti.

Şirketler ayrıca yazılım yamaları da yüklemeli hızlıca ve onların hassas ağların ağlarında yer aldığını bildiğinden emin olun, bilgisayar güvenliği sağlayıcısı Uygulama Güvenliği için strateji ve pazarlama başkan yardımcısı Ted Julian'ı ekledi. Birçok şirket, BT çalışanı ciro ve diğer faktörler nedeniyle, tüm hassas verilerin nerede saklandığını bilmemektedir.

Julian ayrıca, şirketlerin riskleri analiz etmeleri ve sorunları düzeltmek için hedefe yönelik bir yaklaşım geliştirmeleri gerektiğini belirtti. Siber güvenlik şirketi RSA'nın ürün yönetimi başkan yardımcısı Sam Curry.

Saldırılar son yıllarda daha organize ve hedefli kampanyalarla değişti. "Bilgisayar korsanları çok daha odaklı ve 38 kapıyı deneyecekler, 100 kapıyı deneyecekler" dedi. "Kilitli olanı buldukları anda veritabanına gidiyorlar. Bütçede bir sürü yeni güvenlik önlemi almak için çok fazla [IT] insanın 10 milyon dolar aldığını bilmiyordum. "

Şirketler ayrıca depoladıkları verilerin gerekip gerekmediğini ve ne kadar süre veri tuttuklarını incelemelidir, diyor, bir başka siber güvenlik sağlayıcısı olan Sophos üst düzey teknoloji danışmanı Graham Cluley.

Şirketler uzun zamandır çevre savunmaları üzerinde odaklanmış değiller. Curry, ağlarının içindeki verileri korumak üzerine Curry dedi. Kör, perakendecilerin ve diğer şirketlerin "bu tehditleri ciddiye almaları ve uyandırmaları" gerektiğini söyledi. “Kötü adamların maliyetini onlara yapmaları için çok yüksek bir maliyetle yap.”

Salı günü yaptığı duyuruda, siber güvenlik konusunda farkındalık yaratabileceğini söyleyen Curry, ekledi. Ve bazı yüksek profilli hükümler suçluları caydırıcı nitelikte olabilir.

Ama Curry ve Cluley, sistemlerini tehlikeye atan perakendecilere parmaklarını göstermeyi reddettiler. Cluley, şirketlerin müşterilerinin güvenlik uygulamalarını iyileştirmek için baskı yapmaları gerektiğini söylerken, şirketlerin de kurban olduklarını söyledi.

"Şirketleri çok fazla dövmek yanlış olur" dedi. "Rekabet eden şirketler çok fazla kendini beğenmiş gibi hissetmemeli, çünkü kaç kişi kalplerine ellerini koyabiliyor ve 'organizasyonumuzda asla gerçekleşmeyecek?' Dedi."

ABD Federal Ticaret Komisyonu şikâyet başvurusunda bulundu. TJW, BJ'nin Toptan ve DSW'sine karşı, Mart 2005'te bir veri ihlali bildiren ID hırsızlığı halka tarafından hedeflenen bir ayakkabı perakende zinciri. DSW, 1.4 milyondan fazla kredi kartı numarasının ele geçirildiğini ve zararların 6.5 milyon ABD Doları'ndan 9,5 milyon ABD Doları'na ulaştığını bildirdi.

2005'in ortalarından itibaren, BJ'nin veri ihlali ile ilgili 13 milyon dolarlık olağanüstü iddiaları bildirildi. FTC'ye göre TJX ihlallerinde yaklaşık 455.000 kredi kartı numarası alındı.

FTC, üç perakendecinin saldırılara karşı korunmak için gerekli güvenlik önlemlerini almadıklarını iddia etti.

FTC, BJ'lerle bir anlaşma yaptığını açıkladı. Haziran 2005'te şirketin kapsamlı bir bilgi güvenliği programını uygulamaya koyması ve 20 yıl boyunca her yıl bağımsız bir üçüncü taraf güvenlik uzmanı tarafından denetimler alması gerekiyor. Ajans, Aralık 2005'te DSW ve bu yılın Mart ayında TJX ile benzer bir yerleşim olduğunu açıkladı.

FTC, DOJ tarafından veri ihlal kurbanları olarak tanımlanan altı şirkete karşı şikayette bulunmadı. Bu şirketler Dave ve Buster, OfficeMax, Barnes & Noble, Boston Market, Spor Otoritesi ve Sonsuza 21'dir. Bir FTC yetkilisi, FTC'nin devam eden soruşturmalar hakkında yorum yapmaması nedeniyle bu şirketlere karşı olası şikayetler hakkında yorum yapamayacağını söyledi.