法庭文件显示,一个以美国零售商为目标的身份窃贼团伙,利用复杂和多方面的攻击,从TJX、OfficeMax、Barnes & Noble和其他公司窃取了4,000多万信用卡和借记卡号码。
这些攻击耗资数百万美元的零售商和信用卡公司数万。
该ID盗窃阴谋的成员使用所谓的驾驶攻击技术,找到通过零售商店经营的无线网络漏洞。一旦网络内,盗贼定位并偷走了存放在零售商的网络信用卡交易信息,根据法院文件。
小偷也被安装在商店的网络所谓的嗅探软件获取密码和帐户数据,他们使用基于互联网的攻击,包括SQL注入攻击,以获取信用卡数据库。
该身份盗窃组织将截获的信用卡号码存储在美国被侵入的服务器上法庭文件显示,这些国家包括美国、拉脱维亚和乌克兰。根据冈萨雷斯(Albert Gonzalez)的起诉书,窃贼随后对这些服务器上的信用卡号码进行了加密。冈萨雷斯被控是这起身份盗窃计划的主谋。
冈萨雷斯,迈阿密,被起诉周二在美国地方法院马萨诸塞州的计算机诈骗,电信诈骗,接入设备欺诈,严重的身份盗窃和共谋罪名区。十其他被告被起诉或在什么认为是正义的美国能源部的历史上最大身份盗窃和电脑黑客的调查指控犯罪,司法部周二宣布。
冈萨雷斯是美国特勤局的线人,据称他参与了这一计划。这份对他的起诉文件让我们对他的身份盗窃行动有了一些了解。法庭文件称,窃贼能够在空白卡上对信用卡信息进行编码,这些空白卡一次就能从自动提款机获得数万美元。
在法庭文件中详细描述的攻击:
- 在2003年左右,冈萨雷斯等人发现在BJ批发会员店未加密的无线接入点。北京的报道违反了计算机网络在2004年初。
2004年,该身份盗窃团伙的其他成员侵入了迈阿密的一个OfficeMax无线接入点,并窃取了信用卡数据。2006年执法官员认定OfficeMax是数据泄露的受害者后,该公司说,它聘请了一名外部审计师进行了调查,没有发现安全泄露的证据。OfficeMax发言人没有立即回复寻求置评的消息。
——2005年7月、9月和11月,身份盗窃团伙成员克里斯托弗·斯科特(Christopher Scott)泄露了TJX在迈阿密Marshalls department stories的两个无线接入点。斯科特利用他的权限反复向位于马萨诸塞州弗雷明汉的TJX服务器发送计算机命令,该服务器存储着信用卡信息。TJX还拥有TJ Maxx、HomeGoods和其他零售店。该公司在2007年1月报告了数据失窃的情况。
网络安全专家说,担心成为受害者的公司可以从这些攻击中吸取教训。安全专家说,存储个人信息的公司需要采取综合措施来保障数据安全,包括对信用卡数据库进行加密,通知网络内的可疑行为,以及限制谁可以访问这些数据。
企业还应该快速安装软件补丁,并确保他们知道是敏感数据位于自己的网络,添加特德朱利安,战略和营销的计算机安全厂商应用安全的副总裁。许多企业不知道他们的所有敏感数据的存储位置,由于IT员工流失等因素的影响,他说。
企业还需要分析自己的风险,并采取有针对性的方法来解决问题,萨姆·库里,在网络安全厂商RSA产品管理的副总裁。
朱利安说,近年来,恐怖袭击有所变化,活动更加有组织、有针对性。“黑客更加专注,他们会尝试38扇门,他们会尝试100扇门,”他说。“一旦他们找到了解锁的那个,他们就会前往数据库。我不知道很多IT界人士是否会得到1000万美元的预算来推出一系列新的安全措施。”
企业还应该检查他们存储数据是否需要与他们保持多长时间的数据,克鲁利,高级技术顾问Sophos的,另一个网络安全供应商说。
柯里说,公司长期以来一直专注于外围防御,而不是保护网络内部的数据。库里说,零售商和其他公司需要“清醒过来,认真对待这些威胁”。“让坏人付出的代价太高,让他们无法这么做。”
起诉书周二宣布可以提高约网络安全意识,库里补充道。而一些高知名度的信念可以作为一种威慑犯罪分子。
但是库里和克鲁利拒绝将矛头指向那些系统受损的零售商。Cluley说,虽然这些公司的客户需要向他们施压,要求他们改进安全措施,但这些公司也是受害者。
“这你就错了殴打的公司太多了,” Cluley说。“竞争的公司不应该感到太沾沾自喜,因为有多少人可以把他们的心他们的手,说:‘这不可能我们组织内部发生吗?’”
The U.S. Federal Trade Commission, however, filed complaints against TJX, BJ's Wholesale and DSW, a shoe retail chain targeted by the ID theft ring that reported a data breach in March 2005. DSW reported that more than 1.4 million credit card numbers were compromised, and losses ranged from US$6.5 million to $9.5 million.
截至2005年年中,BJ报告的未偿索赔金额为1300万美元,与数据泄露有关。联邦贸易委员会称,大约45.5万个信用卡号码在TJX入侵事件中被窃取。
联邦贸易委员会称,这三个零售商没有采取适当的安全措施,以防止攻击。
联邦贸易委员会宣布与BJ的和解在2005年6月要求该公司实施全面的信息安全计划,并通过独立的第三方安全专业获得审核每隔一年为20年。该机构在今年3月宣布与DSW一个类似的解决办法在2005年12月和TJX。
联邦贸易委员会没有提起确定为司法部数据泄露受害者的其他六个公司的投诉。这些公司是戴夫和巴斯特的,OfficeMax公司,巴诺,波士顿市场,体育局和永远21.美国联邦贸易委员会官员说,她不能对上这些公司可能抱怨,因为FTC不会对正在进行的调查发表评论评论内容。