ID Theft Ring Attacked Retailers på flere nivåer

En ring av identitetstyver som rettet mot amerikanske forhandlere brukte raffinerte og mangesidede angrep for å stjele mer enn 40 millioner kreditt- og debetkortnumre fra TJX, OfficeMax, Barnes & Noble og andre selskaper, ifølge rettsdokumenter.

Angrepene kostet forhandlere og kredittkortselskaper titalls millioner dollar.

Medlemmer av ID-tyveri-konspirasjonen brukte såkalte wardriving-teknikker for å finne hull i trådløse nettverk som drives av butikker. En gang inne i nettene, fant tyvene og stjal kredittkorttransaksjonsinformasjon lagret på forhandlernettverkene, i henhold til rettsdokumenter.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Tyvene er også installert så -kalt snifferprogramvare for å fange passord- og kontodata på butikkens nettverk, og de brukte Internettbaserte angrep, inkludert SQL-injeksjonsangrep, for å få tilgang til kredittkortdatabaser.

ID-tyveri-gruppen lagret de fangede kredittkortnummerene på kompromitterte servere i USA, Latvia og Ukraina, ifølge rettsdokumenter. Tyvene krypterte deretter kredittkortnumrene på disse serverne, ifølge anklagelsesdokumentet til Albert Gonzalez, den påståtte lederen av ID-tyveriordningen.

Gonzalez, i Miami, ble anlagt tirsdag i US District Court for District of Massachusetts på bekostning av bedrageri på datamaskinen, bedrageri for bedrageri, tilgangsbedrageri, forverret identitetstyveri og konspirasjon. Ti andre tiltalte er blitt påtalte eller belastet for forbrytelser i det som trodde å være den største ID-tyveri og datamaskin hackingundersøkelse i det amerikanske justisdepartementets historie, annonserte DOJ tirsdag.

Anklageseddelen for Gonzalez, som jobbet som informant for den amerikanske hemmelige tjenesten, mens han angivelig er involvert i ordningen, gir litt lys på ID-tyverioperasjonen. Tyvene var i stand til å kode kredittkortinformasjon på blanke kort som ble brukt til å skaffe titusenvis av dollar fra minibanker i enkeltbesøk, sier retten.

Blant angrepene som er beskrevet i rettsdokumentet:

- - I 2003 fant Gonzalez og andre et ukryptert trådløst tilgangspunkt på en BJs Wholesale Club-butikk. BJ rapporterte brudd på sine datanettverk tidlig i 2004.

- I 2004 har andre medlemmer av ID-tyverifunksjonen trukket et OfficeMax-trådløst tilgangspunkt i Miami, og de kunne stjele kredittkortdata. Etter at politimyndighetene i 2006 identifiserte OfficeMax som offer for et brudd på data, sa selskapet at det var ansatt en ekstern revisor for å gjennomføre en undersøkelse og fant ingen bevis for sikkerhetsbrudd. En OfficeMax-talsmann returnerte ikke umiddelbart en meldingsønskende kommentar. I juli, september og november 2005 påviste det påståtte ID-tyveri-medlem Christopher Scott to trådløse tilgangspunkter som drives av TJX ved Marshalls avdelingshistorier i Miami. Scott brukte sin tilgang til gjentatte ganger å overføre datakommandoer til TJXs servere som lagret kredittkortinformasjon i Framingham, Massachusetts. TJX, som også eier TJ Maxx, HomeGoods og andre utsalgssteder, rapporterte databrudd i januar 2007.

Cybersecurity-eksperter sa at selskaper bekymret for at ofre kan lære av angrepene. Bedrifter som lagrer personlig informasjon, må ta en omfattende tilnærming til datasikkerhet, inkludert kryptering av kredittkortdatabaser, meldinger om mistenkelig oppførsel i nettene sine og begrensninger på hvem som kan få tilgang til dataene, sier sikkerhetseksperter.

Bedrifter bør også installere programvareoppdateringer raskt og sørg for at de vet hvor sensitive data er plassert på deres nettverk, la Ted Julian, direktør for strategi og markedsføring for datasikkerhetsleverandør Application Security. Mange bedrifter vet ikke hvor alle deres sensitive data er lagret på grunn av IT-arbeiders omsetning og andre faktorer, sa han.

Bedrifter må også analysere sine risikoer og ta en målrettet tilnærming til å løse problemer, sier Sam Curry, visepresident for produktstyring hos cybersecurity-leverandøren RSA.

Angrep har endret seg de siste årene, med mer organiserte målrettede kampanjer, sa Julian. "Hackerne er mye mer fokusert, og de skal prøve 38 dører, de skal prøve 100 dører," sa han. "Så snart de finner den ulåste, er de på vei til databasen. Jeg vet ikke at mange [IT] folk får 10 millioner dollar i budsjettet for å rulle ut en rekke nye sikkerhetsforanstaltninger. "

Bedrifter bør også undersøke om dataene de lagrer er nødvendig, og hvor lenge de beholder data, sier Graham Cluley, senior teknologikonsulent hos Sophos, en annen leverandør av cybersikkerhet.

Selskapene har for lenge fokusert på omkretsforsvar og ikke På å beskytte data innenfor sine nettverk, sa Curry. Forhandlere og andre selskaper trenger å "våkne opp og ta disse truslene seriøst," sa Curry. "Gjør kostnaden til de slemme gutta for høye for at de skal gjøre det."

Anklagene som ble annonsert tirsdag, kunne øke bevisstheten om cybersikkerhet, la Curry til. Og noen høyprofilerte overbevisninger kan virke som avskrekkende for kriminelle. Men Curry og Cluley nektet å peke fingre på forhandlerne hvis systemene ble kompromittert. Mens kundene i selskapene trenger å sette press på dem for å forbedre sikkerhetspraksis, er selskapene også ofre, sier Cluley.

"Det ville vært feil å slå opp selskapene for mye," sa Cluley. "Konkurrerende selskaper burde ikke føle seg for selvfølgelig, for hvor mange av dem kan ta hånd om hjertet og si:" Dette kan aldri skje inni vår organisasjon? "" US993 mot TJX, BJ's Wholesale og DSW, en skoforretningskrets rettet mot ID-tyverifingen som rapporterte et brudd på data i mars 2005. DSW rapporterte at mer enn 1,4 millioner kredittkortnumre ble kompromittert, og tapene varierte fra US $ 6,5 millioner til $ 9,5 millioner.

Fra midten av 2005 rapporterte BJ utestående fordringer på 13 millioner dollar relatert til datautbrudd. Omkring 455 000 kredittkortnumre ble tatt i TJX-bruddene, ifølge FTC.

FTC påstod at de tre forhandlerne ikke tok passende sikkerhetstiltak for å beskytte mot angrepene.

FTC annonserte et oppgjør med BJ i Juni 2005 som krever at selskapet skal gjennomføre et omfattende informasjonssikkerhetsprogram og få revisjoner av en uavhengig tredjeparts sikkerhetsprofessor hvert annet år i 20 år. Byrået annonserte lignende bosetninger med DSW i desember 2005 og TJX i mars i år.

FTC har ikke arkivert klager mot seks andre selskaper som er identifisert som databrekkofre av DOJ. Disse selskapene er Dave og Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority og Forever 21. En FTC-tjenestemann sa at hun ikke kunne kommentere mulige klager mot disse selskapene fordi FTC ikke kommenterer pågående undersøkelser.