ID Pagnanakaw Ring Tinutuligsa Mga Tagatingi sa Maramihang Mga Antas

Isang ring ng mga magnanakaw ng pagkakakilanlan na naka-target sa mga nagtitingi sa US ay gumagamit ng mga sopistikadong at multifaceted na pag-atake upang magnakaw ng higit sa 40 milyong mga numero ng credit at debit card mula sa TJX, OfficeMax, Barnes & Noble at iba pang mga kumpanya, ayon sa mga dokumento ng korte. ang mga tagatingi at mga kompanya ng credit card ay may sampu-sampung milyong dolyar.

Ang mga miyembro ng ID theft conspiracy ay gumamit ng tinatawag na mga pamamaraan ng wardrobe upang makahanap ng mga butas sa mga wireless network na pinamamahalaan ng mga retail store. Sa sandaling nasa loob ng mga network, ang mga magnanakaw ay nakatago at nakawin ang impormasyon ng transaksyon ng credit card na nakaimbak sa mga network ng mga tagatingi, ayon sa mga dokumento ng korte.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Na-install din ang mga magnanakaw -mag-install ng sniffer software upang makuha ang password at data ng account sa mga network ng mga tindahan, at ginagamit nila ang mga pag-atake sa Internet, kabilang ang mga pag-atake ng SQL injection, upang makakuha ng access sa mga database ng credit card.

Ang ID na pagnanakaw na grupo ay nakaimbak ng nakuha na mga numero ng credit card sa mga naka-kompromiso na server sa US, Latvia at Ukraine, ayon sa mga dokumento ng korte. Ang mga magnanakaw ay nag-encrypt ng mga numero ng credit card sa mga server na iyon, ayon sa dokumento ng kaso ni Albert Gonzalez, ang pinaniniwalaang pinuno ng ID theft scheme.

Gonzalez, ng Miami, ay pinagtibay Martes sa US District Court para sa Distrito ng Massachusetts sa mga singil ng pandaraya sa computer, pandaraya sa wire, pandaraya sa pag-access ng aparato, pinalala ng pagnanakaw ng pagkakakilanlan at pagsasabwatan. Ang sampung iba pang mga defendants ay sinakdal o sinisingil ng mga krimen sa kung ano ang pinaniniwalaan na ang pinakamalaking ID ng pagnanakaw at pag-hack ng computer pagsisiyasat sa kasaysayan ng Kagawaran ng Hustisya ng Estados Unidos, ipinahayag ng DOJ Martes.

Ang dokumentong indictment para kay Gonzalez, na nagtatrabaho bilang isang informant para sa US Secret Service habang pinag-uusapan sa scheme, nagbigay ng ilang liwanag sa operasyon ng ID theft. Ang mga magnanakaw ay makakapag-encode ng impormasyon ng credit card sa mga blangko card na ginamit upang makakuha ng sampu-sampung libong dolyar mula sa mga cash machine sa iisang pagbisita, sabi ng dokumento ng korte.

Kabilang sa mga pag-atake na detalyado sa dokumento ng korte:

- - Noong mga taon ng 2003, natagpuan ni Gonzalez at iba pa ang isang walang access na wireless access point sa isang BJ's Wholesale Club store. Iniulat ng BJ ng isang paglabag sa mga network ng computer nito noong unang bahagi ng 2004.

- Noong 2004, ang iba pang mga miyembro ng ID theft ring nakompromiso ang isang access point ng OfficeMax wireless sa Miami, at nakuha nila ang data ng credit card. Matapos ang mga opisyal ng pagpapatupad ng batas noong 2006 ay kinilala ang OfficeMax bilang biktima ng paglabag sa datos, sinabi ng kumpanya na sumang-ayon ito sa labas ng isang auditor upang magsagawa ng pagsisiyasat at walang nakitang katibayan ng paglabag sa seguridad.

- Noong Hulyo, Setyembre at Nobyembre ng 2005, ang binanggit na miyembro ng pagnanakaw ng ID na si Christopher Scott ay nakompromiso ang dalawang wireless access points na pinamamahalaan ng TJX sa mga istorya ng departamento ng Marshalls sa Miami. Ginamit ni Scott ang kanyang access sa paulit-ulit na pagpapadala ng mga utos ng computer sa mga server ng TJX na nagtatabi ng impormasyon ng credit card sa Framingham, Massachusetts. Ang TJX, na nagmamay-ari din ng TJ Maxx, HomeGoods at iba pang mga outlet sa tingian, ay nag-ulat ng mga paglabag sa data noong Enero 2007.

Mga eksperto sa Cybersecurity sinabi ang mga kompanya na nag-aalala tungkol sa pagiging biktima ay maaaring matuto mula sa mga pag-atake. Ang mga kumpanya na nag-iimbak ng personal na impormasyon ay kailangang kumuha ng komprehensibong diskarte sa seguridad ng data, kabilang ang pag-encrypt ng mga database ng credit card, mga abiso ng kahina-hinalang pag-uugali sa loob ng kanilang mga network at mga limitasyon sa kung sino ang maaaring ma-access ang data, sinabi ng mga eksperto sa seguridad. mabilis at siguraduhing alam nila na sensitibo ang data ay matatagpuan sa kanilang mga network, idinagdag ni Ted Julian, vice president ng diskarte at pagmemerkado para sa seguridad ng kompyuter ng seguridad sa Application Security. Maraming mga kumpanya ang hindi alam kung saan ang lahat ng kanilang mga sensitibong data ay naka-imbak, dahil sa IT manggagawa ng paglilipat ng tungkulin at iba pang mga kadahilanan, sinabi niya.

Kinakailangan din ng mga kumpanya na pag-aralan ang kanilang mga panganib at gumawa ng target na diskarte sa pag-aayos ng mga problema, sabi ni Sam Curry, vice president ng pamamahala ng produkto sa cybersecurity vendor RSA.

Mga pag-atake ay nagbago sa mga nakaraang taon, na may mas organisado, naka-target na mga kampanya, sinabi ni Julian. "Ang mga hacker ay mas nakatuon, at susubukan nila ang 38 pinto, susubukan nila ang 100 pinto," sabi niya. "Sa sandaling makita nila ang na-unlock, sila ay sa kanilang mga paraan sa database. Hindi ko alam na ang isang pulutong ng mga tao [IT] ay nakakakuha ng $ 10 milyon sa kanilang badyet upang ilunsad ang isang bungkos ng mga bagong panukala sa seguridad. "

Ang mga kumpanya ay dapat ding suriin kung ang data na kanilang iniimbak ay kinakailangan at kung gaano katagal sila ay nagtatabi ng data, sinabi Graham Cluley, senior technology consultant sa Sophos, isa pang cybersecurity vendor.

Mga kumpanya ay masyadong mahaba na nakatuon sa mga panlabas na panlaban at hindi sa pagprotekta ng data sa loob ng kanilang mga network, sinabi ni Curry. Kinakailangan ng mga tagatingi at iba pang mga kumpanya na "magising at kunin ang mga banta na ito," sabi ni Curry. "Gawin ang gastos sa mga masamang tao na masyadong mataas para sa kanila na gawin ito."

Ang mga indictment na inihayag Martes ay maaaring magtataas ng kamalayan tungkol sa cybersecurity, Idinagdag ni Curry. At ang ilang mga mataas na profile convictions ay maaaring magsilbi bilang isang deterrent sa mga kriminal.

Ngunit Curry at Cluley tinanggihan upang ituro ang mga daliri sa mga tagatingi na ang mga sistema ay nakompromiso. Habang ang mga customer ng mga kumpanya ay kailangang magbigay ng presyon sa kanila upang mapabuti ang mga kasanayan sa seguridad, ang mga kumpanya ay biktima, masyadong, sinabi Cluley.

"Ito ay magiging mali upang matalo ang mga kumpanya ng masyadong maraming," sinabi Cluley. "Ang mga nakikipagkumpitensya sa kumpanya ay hindi dapat pakiramdam na masyado, dahil kung gaano karaming ng mga ito ang maaaring ilagay ang kanilang mga kamay sa kanilang mga puso at sabihin, 'hindi ito mangyayari sa loob ng aming samahan?'"

Ang US Federal Trade Commission, gayunpaman, ay nagsampa ng mga reklamo laban sa TJX, BJ's Wholesale at DSW, isang retail chain ng sapatos na naka-target sa ring ng ID theft na nag-ulat ng paglabag sa data noong Marso 2005. Iniulat ng DSW na higit sa 1.4 milyong numero ng credit card ang nakompromiso, at ang pagkalugi ay umabot sa US $ 6.5 milyon hanggang $ 9.5 milyon.

Bilang ng kalagitnaan ng 2005, iniulat ng BJ ang natitirang mga claim ng $ 13 milyon na may kaugnayan sa paglabag ng data.

Ang FTC ay nagsabi na ang tatlong retailer ay hindi gumawa ng angkop na mga hakbang sa seguridad upang maprotektahan laban sa mga pag-atake.

Ang FTC ay nag-anunsyo ng isang kasunduan sa BJ's sa Hunyo 2005 na nangangailangan ng kumpanya na ipatupad ang isang komprehensibong programa sa seguridad ng impormasyon at makakuha ng mga pag-audit ng isang independiyenteng third-party na seguridad na propesyonal sa bawat iba pang taon sa loob ng 20 taon. Ang ahensiya ay nag-anunsyo ng katulad na pag-aayos sa DSW noong Disyembre 2005 at TJX noong Marso ng taong ito.

Ang FTC ay hindi nagsampa ng mga reklamo laban sa anim na iba pang mga kumpanya na kinilala bilang mga biktima ng paglabag sa data ng DOJ. Ang mga kumpanya ay Dave at Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority at Habang Panahon 21. Sinabi ng opisyal ng FTC na hindi siya makakapagkomento sa posibleng mga reklamo laban sa mga kumpanya dahil ang FTC ay hindi nagkomento sa mga patuloy na pagsisiyasat.