CIRI Kecurian ID Menyerang Peruncit di Peringkat Pelbagai

Cincin pencuri identiti yang menyasarkan peruncit AS menggunakan serangan yang canggih dan pelbagai rupa untuk mencuri lebih daripada 40 juta kad kredit dan kad debit dari TJX, OfficeMax, Barnes & Noble dan syarikat lain, menurut dokumen mahkamah. peruncit dan syarikat kad kredit berpuluh-puluh juta dolar.

Ahli-ahli konspirasi pencurian ID menggunakan apa yang dipanggil teknik penjagaan untuk mencari lubang dalam rangkaian wayarles yang dikendalikan oleh kedai-kedai runcit. Sekali di dalam rangkaian, pencuri terletak dan mencuri maklumat urus niaga kad kredit yang disimpan di rangkaian peruncit, menurut dokumen mahkamah.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Pencuri juga memasangnya perisian sniffer yang dipanggil untuk menangkap kata laluan dan data akaun di rangkaian kedai, dan mereka menggunakan serangan berasaskan Internet, termasuk serangan suntikan SQL, untuk mendapatkan akses ke pangkalan data kad kredit.

Kumpulan pencurian ID menyimpan nombor kad kredit yang ditangkap pada pelayan yang dikompromi di Amerika Syarikat, Latvia dan Ukraine, menurut dokumen mahkamah. Para pencuri kemudian menyulitkan nombor kad kredit pada pelayan tersebut, menurut dokumen dakwaan Albert Gonzalez, didakwa sebagai pembantunya skema pencurian ID.

Gonzalez, dari Miami, didakwa Selasa di Mahkamah Daerah AS untuk Daerah Massachusetts atas tuduhan penipuan komputer, penipuan wayar, penipuan peranti akses, kecurian identiti yang teruk dan konspirasi. Sepuluh defendan lain telah didakwa atau dituduh melakukan kejahatan dalam apa yang dianggap sebagai kecurian ID terbesar dan penyelidikan hacking komputer dalam sejarah Departemen Kehakiman AS, DOJ mengumumkan Selasa.

Dokumen dakwaan untuk Gonzalez, yang sedang bekerja sebagai pemberi maklumat untuk Perkhidmatan Rahsia Amerika ketika didakwa terlibat dalam skema itu, memberikan sedikit curang mengenai operasi kecurian ID. Pencuri dapat mengkodekan maklumat kad kredit pada kad kosong yang digunakan untuk mendapatkan puluhan ribu dolar dari mesin tunai dalam lawatan tunggal, kata dokumen mahkamah.

Antara serangan terperinci dalam dokumen pengadilan:

- - Pada tahun 2003, Gonzalez dan lain-lain menemui titik akses tanpa wayar yang tidak dinyalakan di kedai Kedai Borong BJ. BJ melaporkan pelanggaran rangkaian komputernya pada awal tahun 2004.

- Pada tahun 2004, ahli-ahli ID cincin kecurian lain merosot titik akses wayarles OfficeMax di Miami, dan mereka dapat mencuri data kad kredit. Selepas pegawai penguatkuasa undang-undang pada tahun 2006 mengenal pasti OfficeMax sebagai mangsa pelanggaran data, syarikat itu mengatakan ia mengupah seorang juruaudit luar untuk menjalankan siasatan dan mendapati tiada bukti pelanggaran keselamatan.

- Pada bulan Julai, September dan November 2005, ahli curi kecurian identiti Christopher Scott berkompromi dua mata akses wayarles yang dikendalikan oleh TJX di kisah jabatan Marshalls di Miami. Scott menggunakan capaiannya untuk berulang kali menghantar arahan komputer ke pelayan TJX yang menyimpan maklumat kad kredit di Framingham, Massachusetts. TJX, yang juga memiliki TJ Maxx, HomeGoods dan kedai runcit lain, melaporkan pelanggaran data pada Januari 2007.

Pakar keselamatan siber berkata syarikat yang bimbang tentang menjadi mangsa boleh belajar dari serangan. Syarikat yang menyimpan maklumat peribadi perlu mengambil pendekatan komprehensif terhadap keselamatan data, termasuk penyulitan pangkalan data kad kredit, pemberitahuan tingkah laku yang mencurigakan di dalam rangkaian mereka dan batasan pada siapa yang boleh mengakses data, kata para pakar keselamatan.

Syarikat juga harus memasang patch perisian dengan cepat dan memastikan mereka tahu data sensitif terletak di rangkaian mereka, tambah Ted Julian, naib presiden strategi dan pemasaran untuk penjual keselamatan komputer Keselamatan Aplikasi. Banyak syarikat tidak tahu di mana semua data sensitif mereka disimpan, kerana perolehan pekerja IT dan faktor lain, katanya.

Syarikat-syarikat juga perlu menganalisis risiko mereka dan mengambil pendekatan yang disasarkan untuk menyelesaikan masalah, kata Sam Curry, naib presiden pengeluar produk di vendor cybersecurity RSA.

Serangan telah berubah dalam beberapa tahun kebelakangan ini, dengan kempen yang lebih teratur, disasarkan, kata Julian. "Para penggodam lebih fokus, dan mereka akan mencuba 38 pintu, mereka akan mencuba 100 pintu," katanya. "Sebaik sahaja mereka mendapati kunci yang dibuka, mereka sedang dalam perjalanan ke pangkalan data. Saya tidak tahu bahawa banyak orang [TI] mendapat $ 10 juta dalam bajet mereka untuk melancarkan sekumpulan langkah keselamatan baru

Syarikat juga perlu meneliti sama ada data yang mereka simpan diperlukan dan berapa lama mereka menyimpan data, kata Graham Cluley, perunding teknologi kanan di Sophos, penjual keselamatan siber lain.

Syarikat-syarikat terlalu lama memberi tumpuan kepada pertahanan perimeter dan tidak mengenai melindungi data di dalam rangkaian mereka, kata Curry. Peruncit dan syarikat lain perlu "bangun dan mengambil ancaman ini dengan serius," kata Curry. "Buat kos kepada orang jahat yang terlalu tinggi untuk mereka melakukannya."

Dakwaan yang diumumkan hari Selasa boleh meningkatkan kesedaran mengenai keselamatan siber, kata Curry. Dan sesetengah sabitan berprofil tinggi boleh menjadi penghalang kepada penjenayah.

Tetapi Curry dan Cluley enggan menuding jari di peruncit yang sistemnya dikompromikan. Walaupun pelanggan syarikat perlu memberi tekanan kepada mereka untuk meningkatkan amalan keselamatan, syarikat-syarikat itu juga mangsa, kata Cluley.

"Adalah salah untuk memukul syarikat-syarikat terlalu banyak," kata Cluley. "Syarikat-syarikat bersaing tidak sepatutnya merasa sombong, kerana berapa ramai yang dapat meletakkan tangan mereka di hati mereka dan berkata, 'ini tidak akan pernah berlaku di dalam organisasi kita?'"

Suruhanjaya Perdagangan Persekutuan AS bagaimanapun memfailkan aduan terhadap TJX, BJ Borong dan DSW, rantaian runcit kasut yang disasarkan oleh cincin kecurian ID yang melaporkan pelanggaran data pada bulan Mac 2005. DSW melaporkan bahawa lebih daripada 1.4 juta nombor kad kredit telah dikompromikan, dan kerugian adalah antara US $ 6.5 juta hingga $ 9.5 juta.

Pada pertengahan 2005, BJ melaporkan tuntutan yang belum dijelaskan sebanyak $ 13 juta yang berkaitan dengan pelanggaran data. Sekitar 455,000 nombor kad kredit telah diambil dalam pelanggaran TJX, menurut FTC.

FTC mendakwa bahawa ketiga-tiga peruncit itu tidak mengambil langkah-langkah keselamatan yang sesuai untuk melindungi serangan tersebut.

FTC mengumumkan penyelesaian dengan BJ dalam Jun 2005 menghendaki syarikat itu melaksanakan program keselamatan maklumat yang komprehensif dan mendapatkan audit oleh profesional keselamatan pihak ketiga yang bebas setiap tahun selama 20 tahun. Agensi mengumumkan pemetaan serupa dengan DSW pada bulan Disember 2005 dan TJX pada bulan Mac tahun ini.

FTC belum mengajukan aduan terhadap enam syarikat lain yang dikenalpasti sebagai korban pelanggaran data oleh DOJ. Syarikat-syarikat itu adalah Dave dan Buster, OfficeMax, Barnes & Noble, Pasar Boston, Lembaga Sukan dan Selamanya 21. Seorang pegawai FTC berkata dia tidak dapat memberi komen mengenai kemungkinan aduan terhadap syarikat itu kerana FTC tidak memberi komen mengenai siasatan berterusan.