ID Theft Ring Attacked Retailers på flere niveauer

En ring af identitetstyvelser, der målrettede amerikanske detailhandlere, brugte avancerede og mangesidede angreb for at stjæle mere end 40 millioner kredit- og betalingskortnumre fra TJX, OfficeMax, Barnes & Noble og andre virksomheder, ifølge retsdokumenter.

Angrebene koster detailhandlere og kreditkortselskaber titusindvis af dollars.

Medlemmer af ID-tyveri-sammensværgelsen brugte såkaldte wardriving-teknikker til at finde huller i trådløse netværk, der drives af detailforretninger. En gang inden for netværket har tyverne placeret og stjal kreditkorttransaktionsoplysninger, der er gemt på detailhandlernes netværk, ifølge retsdokumenter.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Tyvene installeres også så -called sniffer-software til at indfange adgangskode og kontooplysninger på butikkernes netværk, og de brugte internetbaserede angreb, herunder SQL-indsprøjtningsangreb, for at få adgang til kreditkortdatabaser.

ID-tyverifaggruppen lagrede de optagne kreditkortnumre på kompromitterede servere i USA, Letland og Ukraine, ifølge retsdokumenter. Tyverne krypterede derefter kreditkortnumrene på disse servere, ifølge anklagedokumentet til Albert Gonzalez, den påståede leder af ID-tyveriordningen.

Gonzalez fra Miami blev anklaget tirsdag i US District Court for District of Massachusetts på grund af computer bedrageri, tråd bedrageri, adgang enhed svindel, forværret identitetstyveri og sammensværgelse. Ti andre sagsøgte er blevet anklaget eller anklaget for forbrydelser i, hvad der anses for at være den største idtyveri og computer hackingundersøgelse i det amerikanske justitsministeriums historie, meddelte DOJ tirsdag.

Anklageseddelen for Gonzalez, der arbejdede som informant for den amerikanske hemmelige tjeneste, mens han angiveligt er involveret i ordningen, kaster lys over ID-tyverioperationen. Tyvene var i stand til at kode kreditkortoplysninger på blanke kort, der blev brugt til at få titusindvis af dollars fra kontanter i enkeltbesøg, siger retten.

Blandt angrebene i retsdokumentet:

- - I omkring 2003 fandt Gonzalez og andre et ukrypteret trådløst adgangspunkt på en BJ's Wholesale Club butik. BJ har rapporteret et brud på sine computernetværk i begyndelsen af ​​2004.

- I 2004 har andre medlemmer af ID-tyverifingen kompromitteret et OfficeMax-trådløst adgangspunkt i Miami, og de kunne stjæle kreditkortdata. Efter retshåndhævende embedsmænd i 2006 identificeret OfficeMax som offer for en overtrædelse af data, sagde selskabet det hyrede en ekstern revisor for at foretage en undersøgelse og fandt ingen tegn på en sikkerhedsbrud. En OfficeMax-talsmand returnerede ikke straks en besked, der søgte kommentarer.

- I juli, september og november 2005 kompromitterede den påståede ID-tyveri-ringmedlem Christopher Scott to trådløse adgangspunkter, der drives af TJX på Marshalls afdelingshistorier i Miami. Scott brugte sin adgang til gentagne gange at sende computerkommandoer til TJXs servere, der lagrede kreditkortoplysninger i Framingham, Massachusetts. TJX, som også ejer TJ Maxx, HomeGoods og andre detailforretninger, rapporterede databrud i januar 2007.

Cybersecurity-eksperter sagde, at virksomhederne var bekymrede for, at ofre kan lære af angrebene. Virksomheder, der lagrer personlige oplysninger, skal tage en omfattende tilgang til datasikkerhed, herunder kryptering af kreditkortdatabaser, underretninger om mistænkelig adfærd inden for deres netværk og begrænsninger for, hvem der kan få adgang til dataene, sagde sikkerhedseksperter.

Virksomheder skal også installere software patches hurtigt og sørg for at de ved, hvor følsomme data er placeret på deres netværk, tilføjede Ted Julian, vicepræsident for strategi og markedsføring for datasikkerhedsleverandør Application Security. Mange virksomheder ved ikke, hvor alle deres følsomme data er gemt på grund af IT-medarbejderomsætning og andre faktorer, sagde han.

Virksomheder skal også analysere deres risici og tage en målrettet tilgang til løsning af problemer, siger Sam Curry, vicepræsident for produktstyring hos cybersecurity-leverandøren RSA.

Angreb har ændret sig de seneste år med mere organiserede målrettede kampagner, sagde Julian. "Hackerne er meget mere fokuserede, og de vil prøve 38 døre, de vil prøve 100 døre," sagde han. "Så snart de finder den ulåste, er de på vej til databasen. Jeg ved ikke, at mange [IT] mennesker får 10 millioner dollars i deres budget til at udklare en masse nye sikkerhedsforanstaltninger. "

Virksomheder bør også undersøge, om de data, de opbevarer er nødvendige, og hvor længe de holder data, siger Graham Cluley, senior teknologisk konsulent hos Sophos, en anden leverandør af cybersikkerhed.

Virksomheder har for længe fokuseret på omkredsforsvar og ikke om beskyttelse af data inde i deres netværk, sagde curry. Detailhandlere og andre virksomheder skal "vågne op og tage disse trusler alvorligt", sagde Curry. "Gør prisen for de dårlige for højt for dem at gøre det."

Anklagerne meddelte tirsdag kunne øge bevidstheden om cybersikkerhed, tilføjede Curry. Og nogle højt profilerede overbevisninger kunne tjene som afskrækkende for kriminelle. Men Curry og Cluley nægtede at pege på fingrene hos de detailhandlere, hvis systemer blev kompromitteret. Mens virksomhedernes kunder skal lægge pres på dem for at forbedre sikkerhedspraksis, er virksomhederne også ofre, siger Cluley.

"Det ville være forkert at slå virksomhederne for meget," sagde Cluley. "Konkurrerende virksomheder bør ikke føle sig for selvfølgelig, for hvor mange af dem kan sætte deres hænder på deres hjerter og sige:" Dette kunne aldrig ske inden for vores organisation? ""

Den amerikanske forbundskommission har dog indgivet klager mod TJX, BJ's Wholesale og DSW, en skoforretningskæde rettet mod ID-tyverifingen, der rapporterede et data brud i marts 2005. DSW rapporterede, at mere end 1,4 millioner kreditkortnumre var kompromitteret, og tab lå på mellem 6,5 millioner og 9,5 millioner dollar.

Fra midten af ​​2005 rapporterede BJ om udestående fordringer på 13 mio. USD i forbindelse med databruddet. Omkring 455.000 kreditkortnumre blev taget i TJX-overtrædelserne, ifølge FTC.

FTC hævdede, at de tre detailhandlere ikke tog passende sikkerhedsforanstaltninger for at beskytte mod angrebene.

FTC annoncerede en afvikling med BJ's i Juni 2005, der kræver, at selskabet gennemfører et omfattende informationssikkerhedsprogram og opnår revisioner af en uafhængig tredjepartssikkerhedsprofessor hvert andet år i 20 år. Agenturet annoncerede lignende aftaler med DSW i december 2005 og TJX i marts i år.

FTC har ikke indgivet klager over seks andre virksomheder, der er identificeret som ofre for databrud af DOJ. Disse virksomheder er Dave og Buster's, OfficeMax, Barnes & Noble, Boston Market, Sports Authority og Forever 21. En FTC-tjenestemand sagde, at hun ikke kunne kommentere mulige klager over disse virksomheder, fordi FTC ikke kommenterer løbende undersøgelser.