Rivenditore di furti di tesserini con attacchi a più livelli

Un anello di ladri di identità che ha preso di mira i rivenditori statunitensi ha usato attacchi sofisticati e sfaccettati per rubare più di 40 milioni di carte di credito e debito da TJX, OfficeMax, Barnes & Noble e altre società, secondo i documenti del tribunale.

Gli attacchi costano rivenditori e compagnie di carte di credito decine di milioni di dollari.

I membri della cospirazione del furto di identità hanno usato le cosiddette tecniche di protezione dei dati per trovare buchi nelle reti wireless gestite dai negozi al dettaglio. Una volta all'interno delle reti, i ladri hanno localizzato e rubato le informazioni sulle transazioni della carta di credito memorizzate sulle reti dei rivenditori, secondo i documenti del tribunale.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

I ladri hanno anche installato -called sniffer software per acquisire dati di password e account sulle reti dei negozi, e hanno usato attacchi basati su Internet, inclusi attacchi di SQL injection, per accedere ai database delle carte di credito.

Il gruppo di furto di ID memorizzava i numeri delle carte di credito catturate su server compromessi negli Stati Uniti, in Lettonia e in Ucraina, secondo i documenti del tribunale. I ladri poi crittografarono i numeri delle carte di credito su quei server, secondo il documento di accusa di Albert Gonzalez, il presunto capo del furto d'identità.

Gonzalez, di Miami, fu incriminato martedì nella Corte distrettuale degli Stati Uniti per il distretto del Massachusetts con l'accusa di frode informatica, frode telematica, frode sui dispositivi di accesso, furto di identità aggravato e cospirazione. Dieci altri imputati sono stati incriminati o accusati di crimini in quello che è ritenuto essere il più grande furto d'identità e inchieste di hacking informatico nella storia del Dipartimento di Giustizia degli Stati Uniti, il Dipartimento di Giustizia americano ha annunciato martedì.

Il documento di accusa per Gonzalez, che stava lavorando come informatore per il servizio segreto americano mentre presumibilmente impegnato nello schema, fa luce sull'operazione di furto di identità. I ladri sono stati in grado di codificare le informazioni della carta di credito su carte vuote utilizzate per ottenere decine di migliaia di dollari dai bancomat in singole visite, dice il documento del tribunale.

Tra gli attacchi dettagliati nel documento del tribunale:

- - Verso il 2003, Gonzalez e altri hanno trovato un punto di accesso wireless non criptato in un negozio di BJ's Wholesale Club. BJ ha segnalato una violazione delle sue reti di computer all'inizio del 2004.

- Nel 2004, altri membri del furto di identità hanno compromesso un punto di accesso wireless OfficeMax a Miami e sono stati in grado di rubare i dati della carta di credito. Dopo che i funzionari delle forze dell'ordine nel 2006 hanno identificato OfficeMax come vittima di una violazione dei dati, la società ha affermato di aver assunto un revisore esterno per condurre un'indagine e non ha trovato prove di una violazione della sicurezza. Un portavoce di OfficeMax non ha immediatamente restituito un messaggio in cerca di commenti.

- A luglio, settembre e novembre 2005, il presunto membro dell'anello di furto d'identità Christopher Scott ha compromesso due punti di accesso wireless gestiti da TJX nei racconti del dipartimento Marshall a Miami. Scott ha usato il suo accesso per trasmettere ripetutamente i comandi del computer ai server di TJX che memorizzavano le informazioni delle carte di credito a Framingham, nel Massachusetts. TJX, che possiede anche TJ Maxx, HomeGoods e altri punti vendita, ha segnalato violazioni dei dati nel gennaio 2007.

Gli esperti di sicurezza informatica hanno detto che le aziende preoccupate di essere vittime possono imparare dagli attacchi. Le aziende che memorizzano informazioni personali devono adottare un approccio completo alla sicurezza dei dati, compresa la crittografia dei database delle carte di credito, notifiche di comportamenti sospetti all'interno delle loro reti e limitazioni su chi può accedere ai dati, hanno detto gli esperti di sicurezza. rapidamente e assicurarsi che sappiano che i dati sensibili si trovano nelle loro reti, ha aggiunto Ted Julian, vicepresidente della strategia e marketing per la sicurezza informatica Application Security. Molte aziende non sanno dove sono archiviati tutti i loro dati sensibili, a causa del turnover dell'operatore IT e di altri fattori, ha detto.

Le aziende hanno anche bisogno di analizzare i loro rischi e adottare un approccio mirato per risolvere i problemi, ha detto Sam Curry, vice presidente del product management presso il fornitore di cibersicurezza RSA.

Gli attacchi sono cambiati negli ultimi anni, con campagne più mirate e organizzate. "Gli hacker sono molto più concentrati e cercheranno 38 porte, cercheranno 100 porte", ha detto. "Non appena trovano quello che è sbloccato, stanno andando al database. Non so che molte [IT] persone stanno ricevendo 10 milioni di dollari nel loro budget per implementare un sacco di nuove misure di sicurezza "

Le aziende dovrebbero anche esaminare se i dati che memorizzano sono necessari e per quanto tempo conservano i dati, ha detto Graham Cluley, consulente tecnologico senior presso Sophos, un altro fornitore di sicurezza informatica.

Le aziende si sono concentrate troppo a lungo sulle difese perimetrali e non sulla protezione dei dati all'interno delle loro reti, ha detto Curry. I rivenditori e le altre aziende hanno bisogno di "svegliarsi e prendere sul serio queste minacce", ha detto Curry. "Rendi il costo per i cattivi troppo alto per farlo."

Le accuse annunciate martedì potrebbero aumentare la consapevolezza sulla sicurezza informatica, ha aggiunto Curry. E alcune convinzioni di alto profilo potrebbero servire come deterrente per i criminali.

Ma Curry e Cluley si rifiutarono di puntare il dito contro i rivenditori i cui sistemi erano compromessi. Mentre i clienti delle aziende devono fare pressione su di loro per migliorare le pratiche di sicurezza, anche le aziende sono vittime. "

" Sarebbe sbagliato sbattere troppo le società ", ha detto Cluley. "Le aziende concorrenti non dovrebbero sentirsi troppo compiaciute, perché quanti di loro possono mettere le mani nei loro cuori e dire, 'questo non potrebbe mai accadere all'interno della nostra organizzazione?'"

La Federal Trade Commission degli Stati Uniti, tuttavia, ha presentato reclami contro TJX, BJ's Wholesale e DSW, una catena di vendita di scarpe designata dal furto di ID che ha segnalato una violazione dei dati nel marzo 2005. DSW ha riferito che più di 1,4 milioni di numeri di carte di credito sono stati compromessi e le perdite vanno da US $ 6,5 milioni a $ 9,5 milioni.

A metà del 2005, BJ's ha dichiarato reclami in sospeso per $ 13 milioni relativi alla violazione dei dati. Circa 455.000 numeri di carte di credito sono stati presi nelle violazioni del TJX, secondo l'FTC.

L'FTC ha affermato che i tre rivenditori non hanno adottato misure di sicurezza adeguate per proteggersi dagli attacchi.

L'FTC ha annunciato un accordo con BJ's in Giugno 2005 richiede alla società di attuare un programma completo di sicurezza delle informazioni e di ottenere audit da un professionista della sicurezza indipendente di terze parti ogni anno per 20 anni. L'agenzia ha annunciato un accordo simile con la DSW nel dicembre 2005 e TJX nel marzo di quest'anno.

La FTC non ha presentato denunce contro altre sei società identificate come vittime della violazione dei dati dal DOJ. Queste società sono Dave e Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority e Forever 21. Un funzionario della FTC ha affermato di non poter commentare eventuali reclami contro tali società perché la FTC non commenta le indagini in corso.