ID-Diebstahlring greift Einzelhändler auf mehreren Ebenen an

Ein Ring von Identitätsdieben, die amerikanische Einzelhändler anvisierten, nutzten ausgefeilte und facettenreiche Angriffe, um laut Gerichtsdokumenten mehr als 40 Millionen Kredit- und Debitkartennummern von TJX, OfficeMax, Barnes & Noble und anderen Unternehmen zu stehlen.

Die Angriffe kosten Einzelhändler und Kreditkartenunternehmen zig Millionen Dollar.

Mitglieder der ID-Diebstahl-Verschwörung verwendeten sogenannte Wardriving-Techniken, um Löcher in den von Einzelhandelsgeschäften betriebenen Mobilfunknetzen zu finden. Sobald sie sich in den Netzwerken befanden, fanden und stahlen die Diebe die Kreditkartentransaktionsinformationen, die in den Händlernetzwerken gespeichert waren, laut Gerichtsdokumenten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Die Diebe haben das auch installiert Sniffer-Software zum Erfassen von Passwort- und Account-Daten in den Netzwerken der Filialen, und sie nutzten internetbasierte Angriffe, einschließlich SQL-Injection-Attacken, um Zugang zu Kreditkartendatenbanken zu erhalten.

Die ID-Diebstahlgruppe speicherte die erfassten Kreditkartennummern auf kompromittierten Servern in den USA, Lettland und der Ukraine, laut Gerichtsdokumenten. Die Diebe verschlüsselt dann die Kreditkartennummern auf diesen Servern, laut der Anklageschrift von Albert Gonzalez, der angebliche Anführer des ID-Diebstahl-Schema.

Gonzalez, Miami, wurde am Dienstag vor dem US-Bezirksgericht für den Bezirk Massachusetts angeklagt wegen Computerbetrugs, Telefonbetrugs, Zugangsgerätebetrugs, schwerem Identitätsdiebstahl und Verschwörung. Zehn weitere Angeklagte wurden angeklagt oder wegen Verbrechen angeklagt, die als die größte ID-Diebstahl- und Computer-Hacker-Untersuchung in der Geschichte des US-Justizministeriums angesehen werden, gab das DOJ am Dienstag bekannt.

Das Anklagedokument für Gonzalez, der arbeitete Als Informant für den US-Geheimdienst, während er angeblich an dem Programm beteiligt ist, wirft Licht auf die ID-Diebstahl-Operation. Die Diebe waren in der Lage, Kreditkarteninformationen auf Blankokarten zu verschlüsseln, die verwendet wurden, um Zehntausende von Dollars von Geldautomaten in Einzelbesuchen zu erhalten, heißt es im Gerichtsdokument.

Unter den im Gerichtsdokument aufgeführten Angriffen:

- - Etwa im Jahr 2003 fanden Gonzalez und andere einen unverschlüsselten drahtlosen Zugangspunkt in einem BJ's Wholesale Club Store. BJ hat Anfang 2004 einen Verstoß gegen seine Computernetzwerke gemeldet.

- Im Jahr 2004 kompromittierten andere Mitglieder des ID-Diebstahl-Rings einen OfficeMax-Wireless-Access-Point in Miami, und sie waren in der Lage, Kreditkartendaten zu stehlen. Nachdem die Strafverfolgungsbehörden im Jahr 2006 OfficeMax als das Opfer einer Datenverletzung identifiziert hatten, sagte das Unternehmen, dass es einen externen Prüfer angestellt hat, um eine Untersuchung durchzuführen und keine Beweise für eine Sicherheitsverletzung gefunden hat. Ein Sprecher von OfficeMax gab nicht sofort eine Nachricht zurück, die einen Kommentar suchte.

- Im Juli, September und November 2005 kompromittierte das mutmaßliche Mitglied des ID-Diebstahls, Christopher Scott, zwei von TJX betriebene Wireless Access Points in Marshalls Department Stories in Miami. Scott nutzte seinen Zugang, um wiederholt Computerbefehle an die Server von TJX zu übermitteln, die Kreditkarteninformationen in Framingham, Massachusetts, speichern. TJX, zu dem auch TJ Maxx, HomeGoods und andere Einzelhandelsgeschäfte gehören, meldete Datenschutzverletzungen im Januar 2007.

Cybersecurity-Experten sagten, Unternehmen, die sich Sorgen um Opfer machen, können von den Angriffen lernen. Unternehmen, die personenbezogene Informationen speichern, müssen einen umfassenden Ansatz zur Datensicherheit verfolgen, einschließlich der Verschlüsselung von Kreditkartendatenbanken, Meldungen über verdächtiges Verhalten in ihren Netzwerken und Einschränkungen, wer auf die Daten zugreifen darf, sagten Sicherheitsexperten.

Unternehmen sollten auch Software-Patches installieren schnell und stellen Sie sicher, dass sie wissen, waren sensible Daten in ihren Netzwerken befindet, hinzugefügt Ted Julian, Vice President für Strategie und Marketing für Computer-Sicherheitsanbieter Application Security. Viele Unternehmen wissen nicht, wo alle ihre sensiblen Daten gespeichert sind, aufgrund der Fluktuation der IT-Mitarbeiter und anderer Faktoren, sagte er.

Die Unternehmen müssten ihre Risiken analysieren und gezielt Probleme lösen, sagte Sam Curry, Vice President Product Management beim Cybersecurity Vendor RSA.

Die Angriffe haben sich in den letzten Jahren mit gezielteren und gezielteren Kampagnen geändert, sagte Julian. "Die Hacker sind viel konzentrierter, und sie werden 38 Türen versuchen, sie werden 100 Türen versuchen", sagte er. "Sobald sie den entsperrten finden, sind sie auf dem Weg zur Datenbank. Ich weiß nicht, dass viele [IT] Leute 10 Millionen Dollar in ihrem Budget bekommen, um eine Menge neuer Sicherheitsmaßnahmen einzuführen "

Unternehmen sollten auch prüfen, ob die Daten, die sie speichern, benötigt werden und wie lange sie Daten speichern, sagte Graham Cluley, leitender Technologieberater bei Sophos, einem weiteren Cybersicherheitsanbieter.

Unternehmen haben sich zu lange auf Perimeterabwehrsysteme konzentriert über den Schutz von Daten in ihren Netzwerken, sagte Curry. Einzelhändler und andere Unternehmen müssen "aufwachen und diese Bedrohungen ernst nehmen", sagte Curry. "Machen Sie die Kosten für die bösen Jungs zu hoch, damit sie es tun."

Die am Dienstag angekündigten Anklageschriften könnten das Bewusstsein für Cybersicherheit erhöhen, fügte Curry hinzu. Und einige hochrangige Überzeugungen könnten Kriminelle abschrecken.

Aber Curry und Cluley lehnten es ab, mit den Fingern auf die Einzelhändler zu zeigen, deren Systeme kompromittiert waren. Während die Kunden der Unternehmen Druck auf sie ausüben müssen, um die Sicherheitspraxis zu verbessern, sind die Unternehmen auch Opfer, sagte Cluley.

"Es wäre falsch, die Unternehmen zu sehr zu verprügeln", sagte Cluley. "Konkurrierende Unternehmen sollten sich nicht zu selbstzufrieden fühlen, denn wie viele von ihnen können ihre Herzen in die Waagschale werfen und sagen:" Das könnte in unserer Organisation nie passieren. ""

Die US-amerikanische Federal Trade Commission reichte jedoch Beschwerden ein gegen TJX, BJ's Wholesale und DSW, eine Schuhhandelskette mit dem ID-Diebstahlring, der im März 2005 eine Datenverletzung meldete. DSW berichtete, dass mehr als 1,4 Millionen Kreditkartennummern kompromittiert wurden und die Verluste zwischen 6,5 Millionen US-Dollar und 9,5 Millionen US-Dollar lagen.

Mitte 2005 meldete BJ ausstehende Forderungen in Höhe von 13 Millionen US-Dollar im Zusammenhang mit der Datenverletzung. Nach Angaben der FTC wurden rund 455.000 Kreditkartennummern in den TJX-Verstößen genommen.

Die FTC behauptete, dass die drei Einzelhändler keine angemessenen Sicherheitsmaßnahmen zum Schutz gegen die Angriffe ergriffen hätten.

Die FTC kündigte einen Vergleich mit BJ an Im Juni 2005 musste das Unternehmen ein umfassendes Informationssicherheitsprogramm einführen und alle 20 Jahre Audits durch einen unabhängigen Sicherheitsexperten durchführen. Die Agentur kündigte ähnliche Vergleiche mit DSW im Dezember 2005 und TJX im März dieses Jahres an.

Die FTC hat keine Beschwerden gegen sechs weitere Unternehmen eingereicht, die vom DOJ als Opfer von Datenpannen identifiziert wurden. Diese Unternehmen sind Dave und Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority und Forever 21. Ein FTC-Beamter sagte, sie könne keine möglichen Beschwerden gegen diese Unternehmen kommentieren, da die FTC sich nicht zu laufenden Untersuchungen äußert.