Ένα δαχτυλίδι από κλέφτες ταυτότητας που στόχευαν τους λιανοπωλητές των ΗΠΑ που χρησιμοποίησαν εξελιγμένες και πολύπλευρες επιθέσεις για να κλέψουν περισσότερα από 40 εκατομμύρια αριθμούς πιστωτικών και χρεωστικών καρτών από τις εταιρείες TJX, OfficeMax, Barnes & Noble και άλλες εταιρείες, σύμφωνα με τα δικαστικά έγγραφα. λιανοπωλητές και εταιρείες πιστωτικών καρτών δεκάδες εκατομμύρια δολάρια.

Οι κλέφτες εγκαταστάθηκαν επίσης - καλούμενο λογισμικό sniffer για την καταγραφή κωδικών πρόσβασης και δεδομένων λογαριασμού στα δίκτυα καταστημάτων και χρησιμοποίησαν επιθέσεις με βάση το Διαδίκτυο, συμπεριλαμβανομένων των επιθέσεων ένεσης SQL, για να αποκτήσουν πρόσβαση σε βάσεις δεδομένων πιστωτικών καρτών.

Η ομάδα κλοπής ταυτότητας αποθηκεύει τους αριθμούς των ληφθέντων καρτών σε συμβιβασμένους διακομιστές στις ΗΠΑ, τη Λετονία και την Ουκρανία, σύμφωνα με έγγραφα του δικαστηρίου. Οι κλέφτες στη συνέχεια κρυπτογράφησαν τους αριθμούς των πιστωτικών καρτών σε αυτούς τους διακομιστές, σύμφωνα με το έγγραφο κατηγορημάτων του Αλβέρτου Γκονζάλες, ο υποτιθέμενος επικεφαλής του συστήματος κλοπής ταυτότητας.

Ο Gonzalez, του Μαϊάμι, κατηγορήθηκε την Τρίτη στο αμερικανικό περιφερειακό δικαστήριο για την περιφέρεια της Μασαχουσέτης με αφορμή την απάτη στον υπολογιστή, την απάτη καλωδίων, την απάτη των συσκευών πρόσβασης, την κλοπή ταυτότητας και τη συνωμοσία. Δέκα άλλοι κατηγορούμενοι κατηγορήθηκαν ή κατηγορήθηκαν για εγκλήματα σε αυτό που πιστεύεται ότι είναι η μεγαλύτερη έρευνα κλοπής ταυτότητας και πειρατεία ηλεκτρονικών υπολογιστών στην ιστορία του αμερικανικού Υπουργείου Δικαιοσύνης, ανακοίνωσε το DOJ την Τρίτη

Το έγγραφο κατηγορημάτων για τον Γκονζάλες, ο οποίος δούλευε ως πληροφοριοδότης για την αμερικανική μυστική υπηρεσία ενώ φέρεται να ασχολείται με το σχέδιο, ρίχνει λίγο φως στη λειτουργία κλοπής ταυτότητας. Οι κλέφτες μπόρεσαν να κωδικοποιήσουν τις πληροφορίες της πιστωτικής κάρτας σε κενές κάρτες που χρησιμοποιήθηκαν για την απόκτηση δεκάδων χιλιάδων δολαρίων από τα ταμειακά μηχανήματα σε μεμονωμένες επισκέψεις, σύμφωνα με το δικαστικό έγγραφο.

Μεταξύ των επιθέσεων που περιγράφονται λεπτομερώς στο δικαστικό έγγραφο:

- Σε περίπου το 2003, ο Γκονζάλες και άλλοι βρήκαν ένα μη κρυπτογραφημένο ασύρματο σημείο πρόσβασης σε ένα κατάστημα BJ's Wholesale Club. Τα BJ's ανέφεραν παραβίαση των δικτύων ηλεκτρονικών υπολογιστών στις αρχές του 2004.

- Το 2004, άλλα μέλη του δακτυλίου κλοπής ταυτότητας έθεσαν σε κίνδυνο ένα ασύρματο σημείο πρόσβασης OfficeMax στο Μαϊάμι και κατάφεραν να κλέψουν τα στοιχεία της πιστωτικής κάρτας. Αφού οι υπεύθυνοι επιβολής του νόμου το 2006 αναγνώρισαν το OfficeMax ως θύμα παραβίασης των δεδομένων, η εταιρεία δήλωσε ότι προσέλαβε έναν εξωτερικό ελεγκτή για να διεξαγάγει έρευνα και δεν βρήκε αποδεικτικά στοιχεία παραβίασης της ασφάλειας. Ένας εκπρόσωπος της OfficeMax δεν επέστρεψε αμέσως ένα μήνυμα που ζητούσε σχόλια.

- Τον Ιούλιο, τον Σεπτέμβριο και τον Νοέμβριο του 2005, ο υποτιθέμενος κλοπής ID κλοπής Christopher Scott έθεσε σε κίνδυνο δύο σημεία ασύρματης πρόσβασης που λειτουργούσε η TJX στις ιστορίες τμήματος του Marshalls στο Μαϊάμι. Ο Scott χρησιμοποίησε την πρόσβασή του για να μεταδώσει επανειλημμένα εντολές ηλεκτρονικών υπολογιστών στους διακομιστές της TJX που αποθηκεύουν πληροφορίες πιστωτικών καρτών στο Framingham της Μασαχουσέτης. Η TJX, η οποία κατέχει επίσης TJ Maxx, HomeGoods και άλλα καταστήματα λιανικής πώλησης, ανέφερε παραβιάσεις δεδομένων τον Ιανουάριο του 2007.

Οι ειδικοί της Cybersecurity ανέφεραν ότι οι εταιρείες ανησυχούν ότι τα θύματα μπορούν να μάθουν από τις επιθέσεις. Οι εταιρείες που αποθηκεύουν προσωπικές πληροφορίες πρέπει να υιοθετήσουν μια ολοκληρωμένη προσέγγιση για την ασφάλεια των δεδομένων, συμπεριλαμβανομένης της κρυπτογράφησης των βάσεων δεδομένων των πιστωτικών καρτών, των ειδοποιήσεων για ύποπτη συμπεριφορά στα δίκτυά τους και των περιορισμών σχετικά με το ποιος μπορεί να έχει πρόσβαση στα δεδομένα. γρήγορα και να βεβαιωθείτε ότι γνωρίζουν ότι τα ευαίσθητα δεδομένα βρίσκονται στα δίκτυά τους, πρόσθεσε ο Ted Julian, αντιπρόεδρος στρατηγικής και μάρκετινγκ για την ασφάλεια εφαρμογών του πωλητή ασφάλειας υπολογιστών. Πολλές εταιρείες δεν γνωρίζουν πού αποθηκεύονται όλα τα ευαίσθητα δεδομένα τους, λόγω του κύκλου εργασιών των εργαζομένων στον τομέα των τεχνολογιών πληροφορικής και άλλων παραγόντων, ανέφερε.

Οι εταιρείες πρέπει επίσης να αναλύσουν τους κινδύνους τους και να υιοθετήσουν μια στοχοθετημένη προσέγγιση για τον καθορισμό των προβλημάτων, δήλωσε ο Sam Curry, αντιπρόεδρος της διαχείρισης προϊόντων στο RSB.

Οι επιθέσεις έχουν αλλάξει τα τελευταία χρόνια με πιο οργανωμένες και στοχοθετημένες εκστρατείες. "Οι χάκερ είναι πολύ πιο εστιασμένοι, και θα προσπαθήσουν 38 πόρτες, θα δοκιμάσουν 100 πόρτες", είπε. "Μόλις βρουν αυτό που έχει ξεκλειδώσει, είναι στο δρόμο προς τη βάση δεδομένων. Δεν ξέρω ότι πολλοί άνθρωποι [IT] λαμβάνουν 10 εκατομμύρια δολάρια στον προϋπολογισμό τους για να αναπτύξουν μια δέσμη νέων μέτρων ασφαλείας.

Οι εταιρείες θα πρέπει επίσης να εξετάσουν εάν τα δεδομένα που αποθηκεύουν χρειάζονται και πόσο καιρό κρατούν τα δεδομένα, δήλωσε ο Graham Cluley, ανώτερος σύμβουλος τεχνολογίας στο Sophos, άλλος πωλητής στον κυβερνοχώρο.

Οι εταιρείες έχουν επικεντρωθεί πάρα πολύ στην περιμετρική άμυνα και όχι για την προστασία δεδομένων μέσα στα δίκτυά τους, είπε ο Curry. Οι έμποροι λιανικής πώλησης και άλλες εταιρείες πρέπει να «ξυπνήσουν και να πάρουν αυτές τις απειλές σοβαρά», είπε ο Curry. «Κάνετε το κόστος για τους κακούς να είναι πολύ υψηλό για να το κάνουν».

Τα κατηγορητήρια που ανακοινώθηκαν την Τρίτη θα μπορούσαν να αυξήσουν την ευαισθητοποίηση σχετικά με την ασφάλεια στον κυβερνοχώρο, πρόσθεσε ο Curry. Και κάποιες καταδίκες υψηλού επιπέδου θα μπορούσαν να αποτρέψουν τους εγκληματίες.

Όμως οι Curry και Cluley αρνήθηκαν να δείξουν τα δάχτυλα στους εμπόρους λιανικής πώλησης των οποίων τα συστήματα είχαν παραβιαστεί. Ενώ οι πελάτες των εταιρειών πρέπει να ασκήσουν πίεση για να βελτιώσουν τις πρακτικές ασφαλείας, οι εταιρείες είναι και θύματα, δήλωσε ο Cluley.

«Θα ήταν λάθος να χτυπήσουμε τις εταιρείες πάρα πολύ», είπε ο Cluley. «Οι ανταγωνίστριες εταιρείες δεν πρέπει να αισθάνονται πολύ χαρούμενοι, γιατί πόσοι από αυτούς μπορούν να βάλουν τα χέρια τους στην καρδιά τους και να πούμε« αυτό δεν θα μπορούσε ποτέ να συμβεί μέσα στην οργάνωσή μας »;

Ωστόσο, η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ κατέθεσε καταγγελίες έναντι της TJX, της BJ's Wholesale και της DSW, μιας αλυσίδας λιανικής πώλησης παπουτσιών που απευθύνεται στο δακτύλιο αναγνώρισης ταυτότητας που δήλωσε παραβίαση δεδομένων τον Μάρτιο του 2005. Η DSW ανέφερε ότι διατέθηκαν περισσότεροι από 1,4 εκατομμύρια αριθμοί πιστωτικών καρτών και απώλειες κυμάνθηκαν από 6,5 εκατομμύρια έως 9,5 εκατομμύρια.

Από τα μέσα του 2005, οι BJ ανέφεραν εκκρεμείς αξιώσεις ύψους 13 εκατομμυρίων δολαρίων που σχετίζονται με την παραβίαση δεδομένων. Περίπου 455.000 αριθμοί πιστωτικών καρτών έχουν ληφθεί στις παραβιάσεις TJX, σύμφωνα με την FTC.

Η FTC ισχυρίστηκε ότι οι τρεις λιανοπωλητές δεν έλαβαν τα κατάλληλα μέτρα ασφαλείας για να προστατεύσουν από τις επιθέσεις. Ιούνιος 2005 απαιτώντας από την εταιρεία να εφαρμόσει ένα ολοκληρωμένο πρόγραμμα ασφάλειας πληροφοριών και να αποκτήσει ελέγχους από ανεξάρτητο επαγγελματία ασφαλείας τρίτου χρόνου κάθε δύο χρόνια για 20 χρόνια. Ο οργανισμός ανακοίνωσε παρόμοιους διακανονισμούς με την DSW το Δεκέμβριο του 2005 και την TJX τον Μάρτιο του τρέχοντος έτους.

Η FTC δεν έχει καταθέσει καταγγελίες κατά έξι άλλων εταιρειών που έχουν χαρακτηριστεί ως θύματα παραβίασης δεδομένων από την DOJ. Αυτές οι εταιρείες είναι η Dave και η Buster, η OfficeMax, η Barnes & Noble, η Boston Market, η Αθλητική Αρχή και η Forever 21. Ο εκπρόσωπος της FTC δήλωσε ότι δεν μπόρεσε να σχολιάσει πιθανές καταγγελίες εναντίον των εταιρειών αυτών, επειδή η FTC δεν σχολιάζει τις τρέχουσες έρευνες.