ID Diefstal Ring aangevallen detailhandelaren op meerdere niveaus

Een ring van identiteitsdieven die gericht waren tegen Amerikaanse detailhandelaren gebruikte verfijnde en veelzijdige aanvallen om meer dan 40 miljoen credit- en debetkaartnummers van TJX, OfficeMax, Barnes & Noble en andere bedrijven te stelen, volgens gerechtelijke documenten.

De aanvallen kosten detailhandelaren en creditcardmaatschappijen tientallen miljoenen dollars.

Leden van de ID-diefstal-samenzwering gebruikten zogenaamde wardriving-technieken om gaten te vinden in draadloze netwerken die worden beheerd door winkels. Eenmaal binnen de netwerken hebben de dieven creditcardgegevens gevonden en gestolen op het netwerk van de winkeliers, volgens gerechtelijke documenten.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

De dieven ook zo geïnstalleerd -geroepen sniffer-software om wachtwoord- en accountgegevens vast te leggen op de netwerken van de winkels en zij gebruikten op internet gebaseerde aanvallen, inclusief SQL-injectie-aanvallen, om toegang te krijgen tot creditcarddatabases.

De ID-diefstalgroep bewaarde de vastgelegde creditcardnummers op gecompromitteerde servers in de VS, Letland en Oekraïne, volgens gerechtelijke documenten. De dieven versleutelden vervolgens de creditcardnummers op die servers, volgens het aanklachtdocument van Albert Gonzalez, de vermeende leider van het ID-diefstalplan.

Gonzalez, van Miami, werd dinsdag aangeklaagd in US District Court voor het District of Massachusetts op beschuldiging van computerfraude, draadfraude, toegang tot apparaatfraude, verergerde identiteitsdiefstal en samenzwering. Tien andere beklaagden zijn aangeklaagd of beschuldigd van misdaden in wat wordt beschouwd als de grootste identiteitsdiefstal en computerhackingonderzoek in de geschiedenis van het Amerikaanse ministerie van Justitie, kondigde het DOJ dinsdag aan.

Het aanklachtdocument voor Gonzalez, die aan het werk was als informant voor de geheime dienst van de VS terwijl hij naar verluidt bij de regeling betrokken was, werpt een licht op de identiteitsdiefstaloperatie. De dieven konden creditcardgegevens coderen op blanco kaarten die werden gebruikt om tienduizenden dollars uit geldautomaten te krijgen bij enkele bezoeken, aldus het gerechtsbesluit.

Onder de aanvallen die worden beschreven in het gerechtsbestand:

- - Rond 2003 vonden Gonzalez en anderen een niet-versleuteld draadloos toegangspunt bij een BJ's Wholesale Club-winkel. BJ's meldden begin 2004 een inbreuk op haar computernetwerken.

- In 2004 brachten andere leden van de ID-diefstalring een OfficeMax draadloos toegangspunt in Miami in gevaar en ze konden creditcardgegevens stelen. Nadat de wetshandhavingsambtenaren in 2006 OfficeMax als slachtoffer van een datalek hadden geïdentificeerd, zei het bedrijf dat het een externe auditor inhield om een ​​onderzoek uit te voeren en geen bewijs van een inbreuk op de beveiliging aantrof. Een woordvoerder van OfficeMax heeft niet meteen een bericht geretourneerd om commentaar te zoeken.

- In juli, september en november van 2005 bracht het vermeende id-daderring Christopher Scott twee draadloze toegangspunten in gevaar die door TJX op Marshalls afdelingsverhalen in Miami werden gebruikt. Scott gebruikte zijn toegang tot het herhaaldelijk verzenden van computeropdrachten naar TJX-servers die creditcardinformatie opslaan in Framingham, Massachusetts. TJX, dat ook eigenaar is van TJ Maxx, HomeGoods en andere winkels, meldde datalekken in januari 2007.

Cybersecurity-experts zeiden dat bedrijven die zich zorgen maken over het feit dat ze slachtoffer zijn, kunnen leren van de aanslagen. Bedrijven die persoonlijke informatie opslaan, moeten een alomvattende benadering van gegevensbeveiliging volgen, waaronder versleuteling van creditcarddatabases, meldingen van verdacht gedrag binnen hun netwerken en beperkingen van wie toegang tot de gegevens kan krijgen, aldus beveiligingsdeskundigen.

Bedrijven moeten ook softwarepatches installeren snel en zorg ervoor dat ze weten dat gevoelige gegevens zich op hun netwerk bevinden, voegde Ted Julian toe, vice-president van strategie en marketing voor Application Security, leverancier van computerbeveiliging. Veel bedrijven weten niet waar al hun gevoelige gegevens zijn opgeslagen, vanwege de omzet van IT-werknemers en andere factoren, zei hij.

Bedrijven moeten ook hun risico's analyseren en een gerichte aanpak kiezen voor het oplossen van problemen, aldus Sam Curry, vice-president van productmanagement bij RSA, de leverancier van cybersecurity.

Aanvallen zijn de afgelopen jaren veranderd, met meer georganiseerde, gerichte campagnes, zei Julian. "De hackers zijn veel gerichter en proberen 38 deuren, ze proberen 100 deuren," zei hij. "Zodra ze de ontgrendelde vinden, zijn ze op weg naar de database. Ik weet niet dat veel [IT] mensen $ 10 miljoen in hun budget krijgen om een ​​heleboel nieuwe beveiligingsmaatregelen uit te rollen "

Bedrijven moeten ook onderzoeken of de gegevens die ze opslaan nodig zijn en hoe lang ze gegevens bewaren, zei Graham Cluley, senior technology consultant bij Sophos, een andere cybersecurity-leverancier.

Bedrijven hebben zich te lang gericht op perimeterverdedigingen en niet op over het beschermen van gegevens binnen hun netwerken, zei Curry. Winkeliers en andere bedrijven moeten "wakker worden en deze bedreigingen serieus nemen", zei Curry. "Maak de kosten voor de slechteriken te hoog voor hen om het te doen."

De aanklachten die dinsdag zijn aangekondigd kunnen het bewustzijn over cyberbeveiliging vergroten, voegde Curry eraan toe. En sommige spraakmakende veroordelingen kunnen als afschrikmiddel voor criminelen dienen.

"Het zou verkeerd zijn om de bedrijven te veel in elkaar te slaan," zei Cluley. "Concurrerende bedrijven moeten zich niet te zelfvoldaan voelen, want hoeveel van hen kunnen hun handen op hun hart leggen en zeggen, 'dit zou nooit kunnen gebeuren binnen onze organisatie?'"

De Amerikaanse Federal Trade Commission diende echter klachten in tegen TJX, BJ's Wholesale en DSW, een schoenenwinkelketen gericht tegen de ID-diefstalring die in maart 2005 een datalek meldde. DSW rapporteerde dat meer dan 1,4 miljoen creditcardnummers in gevaar waren en de verliezen varieerden van US $ 6,5 miljoen tot $ 9,5 miljoen.

Vanaf medio 2005 rapporteerde BJ's openstaande claims van $ 13 miljoen in verband met de datalek. Ongeveer 455.000 creditcardnummers werden genomen in de TJX-inbreuken, volgens de FTC.

De FTC beweerde dat de drie detailhandelaren geen gepaste veiligheidsmaatregelen namen om zich tegen de aanvallen te beschermen. De FTC kondigde een schikking aan met BJ's in In juni 2005 moest het bedrijf een alomvattend informatiebeveiligingsprogramma invoeren en om de twee jaar audits door een onafhankelijke externe beveiligingsprofessional van 20 jaar verkrijgen. Het agentschap kondigde in december 2005 vergelijkbare regelingen aan met DSW en TJX in maart van dit jaar. De FTC heeft geen klachten ingediend tegen zes andere bedrijven die door het DOJ zijn geïdentificeerd als slachtoffers van gegevensschendingen. Die bedrijven zijn Dave en Buster's, OfficeMax, Barnes & Noble, Boston Market, Sports Authority en Forever 21. Een FTC-functionaris zei dat ze geen commentaar kon geven op mogelijke klachten tegen die bedrijven omdat de FTC geen commentaar geeft op lopende onderzoeken.