ID Theft Ring Attacked Retailers on Multiple Levels

استخدمت مجموعة من لصوص الهوية استهدفت تجار التجزئة الأمريكيين هجمات متطورة ومتعددة الأوجه لسرقة أكثر من 40 مليون رقم بطاقة ائتمان وخصم من TJX و OfficeMax و Barnes & Noble وغيرها من الشركات ، وفقا لوثائق المحكمة.

تكلفة الهجمات تجار التجزئة وشركات بطاقات الائتمان عشرات الملايين من الدولارات.

أعضاء مؤامرة سرقة الهوية تستخدم ما يسمى تقنيات wardriving للعثور على ثقوب في الشبكات اللاسلكية التي تديرها متاجر البيع بالتجزئة. بمجرد الدخول إلى الشبكات ، قام اللصوص بسرقة معلومات معاملات بطاقات الائتمان وسرقتها على شبكات تجار التجزئة ، وفقًا لوثائق المحكمة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

تم تثبيت اللصوص أيضًا - برنامج الشم المسمى لالتقاط كلمة المرور وبيانات الحساب على شبكات المخازن ، واستخدموا الهجمات المستندة إلى الإنترنت ، بما في ذلك هجمات حقن SQL ، للوصول إلى قواعد بيانات بطاقات الائتمان.

قامت مجموعة سرقة الهوية بتخزين أرقام بطاقة الائتمان التي تم التقاطها على خوادم مخترقة في الولايات المتحدة ولاتفيا وأوكرانيا ، وفقا لوثائق المحكمة. ثم قام اللصوص بعد ذلك بتشفير أرقام بطاقات الائتمان على تلك الخوادم ، وفقًا لوثيقة الاتهام الخاصة بألبرت غونزاليس ، زعيم عصابة مزعومة لمخطط سرقة الهوية.

تم توجيه الاتهام إلى جونزاليس ، من ميامي ، الثلاثاء في محكمة المقاطعة الأمريكية لمقاطعة ماساتشوستس بتهمة الاحتيال الكمبيوتر ، والاحتيال الأسلاك ، والوصول إلى جهاز الاحتيال ، وسرقة الهوية المشددة والمؤامرة. تم توجيه الاتهام إلى عشرة متهمين آخرين أو توجيه تهم إليهم بجرائم في ما يعتقد أنه أكبر سرقة للهوية وإجراء تحقيق في القرصنة الحاسوبية في تاريخ وزارة العدل الأمريكية ، حسبما أعلنته وزارة العدل الثلاثاء.

وثيقة الاتهام الخاصة بغونزاليس ، التي كانت تعمل كمخبر للخدمة السرية الأمريكية أثناء مزاعم تورطها في المخطط ، يلقي بعض الضوء على عملية سرقة الهوية. كان اللصوص قادرين على ترميز معلومات بطاقة الائتمان على بطاقات فارغة كانت تستخدم للحصول على عشرات الآلاف من الدولارات من الآلات النقدية في زيارات فردية ، حسبما ورد في وثيقة المحكمة.

من بين الهجمات المفصلة في وثيقة المحكمة:

- - في عام 2003 ، وجد غونزاليس وآخرون نقطة وصول لاسلكية غير مشفرة في متجر BJ's Wholesale Club. ذكرت BJ's اختراق شبكات الكمبيوتر الخاصة بها في أوائل عام 2004.

- في عام 2004 ، سخر أعضاء آخرون من عصابة سرقة الهوية نقطة وصول لاسلكية OfficeMax في ميامي ، وكانوا قادرين على سرقة بيانات بطاقة الائتمان. بعد أن حدد مسؤولو إنفاذ القانون في عام 2006 OfficeMax كضحية لخرق البيانات ، قالت الشركة أنها استعانت بمراجع خارجي لإجراء تحقيق ولم تجد أي دليل على وجود خرق أمني. ولم يرد متحدث باسم OfficeMax على الفور على رسالة تسعى للحصول على تعليق.

- في يوليو وسبتمبر ونوفمبر من عام 2005 ، عرَّض كريستوفر سكوت ، العضو في فريق سرقة الهوية المزعوم ، نقطتي وصول لاسلكيتين تشغلهما TJX في قصص قسم مارشال في ميامي. استخدم سكوت وصوله إلى إرسال أوامر الكمبيوتر بشكل متكرر إلى خوادم TJX التي تخزن معلومات بطاقة الائتمان في Framingham ، ماساتشوستس. TJX ، التي تملك أيضا TJ Maxx ، HomeGoods وغيرها من منافذ البيع بالتجزئة ، أفادت بخرق البيانات في يناير 2007.

قال خبراء الأمن السيبراني إن الشركات التي تشعر بالقلق إزاء كونها ضحايا يمكن أن تتعلم من الهجمات. يتعين على الشركات التي تقوم بتخزين المعلومات الشخصية اتباع نهج شامل لأمن البيانات ، بما في ذلك تشفير قواعد بيانات بطاقات الائتمان ، وإشعارات السلوك المشبوه داخل شبكاتها ، والقيود المفروضة على من يمكنه الوصول إلى البيانات. <>

يجب على الشركات أيضًا تثبيت تصحيحات البرامج بسرعة وتأكد من أنهم يعرفون أن البيانات الحساسة موجودة على شبكاتهم ، أضاف تيد جوليان ، نائب رئيس الإستراتيجية والتسويق لبائع أمن الكمبيوتر. وقال إن العديد من الشركات لا تعرف أين يتم تخزين جميع بياناتها الحساسة ، بسبب دوران عمال تكنولوجيا المعلومات وعوامل أخرىوقال جوليان إن الشركات تحتاج أيضا إلى تحليل المخاطر التي تواجهها واتخاذ نهج مستهدف لحل المشاكل ، حسبما قال جولي كوري ، نائب رئيس إدارة المنتجات في شركة RSA للأمن السيبراني.

لقد تغيرت الهجمات في السنوات الأخيرة ، مع حملات أكثر تنظيما واستهدافا. وقال "المتسللون أكثر تركيزا وسيحاولون 38 بابًا وسيحاولون 100 باب". "بمجرد العثور على واحد غير مقفلة ، فهم في طريقهم إلى قاعدة البيانات. لا أعرف أن الكثير من الناس يحصلون على 10 ملايين دولار في ميزانيتهم ​​لإطلاق مجموعة من الإجراءات الأمنية الجديدة "

يجب على الشركات أيضا أن تفحص ما إذا كانت البيانات التي تخزنها مطلوبة والمدة التي تحتفظ بها البيانات ، قال غراهام كللي ، كبير مستشاري التكنولوجيا في سوفوس ، بائع أمن إلكتروني آخر.

الشركات تركز أكثر من اللازم على دفاعات المحيط وليس حول حماية البيانات داخل شبكاتهم ، قال كاري. وقال كاري إن شركات التجزئة والشركات الأخرى بحاجة إلى "الاستيقاظ وتأخذ هذه التهديدات على محمل الجد". وأضاف كاري: "جعل التكلفة للأشرار عالية للغاية بالنسبة لهم للقيام بذلك."

لوائح الاتهام التي أعلن عنها يوم الثلاثاء يمكن أن تثير الوعي حول الأمن السيبراني. ويمكن لبعض الإدانات البارزة أن تكون بمثابة رادع للمجرمين.

لكن كاري و Cluley رفضا توجيه أصابع الاتهام إلى تجار التجزئة الذين تم اختراق أنظمةهم. وفي حين يحتاج عملاء الشركات إلى ممارسة ضغوط عليهم لتحسين الممارسات الأمنية ، فإن الشركات ضحية أيضاً ، كما تقول كلولي.

"من الخطأ أن تضرب الشركات أكثر من اللازم" ، قال كلولي. "لا ينبغي أن تكون الشركات المتنافسة تشعر بالوضوح الشديد ، لأن عددًا منهم يمكنهم وضع أيديهم على قلوبهم ويقولون:" هذا لا يمكن أن يحدث داخل مؤسستنا؟ ""

ولكن لجنة التجارة الفيدرالية الأمريكية تقدمت بشكاوى ضد TJX ، BJ's Wholesale و DSW ، وهي سلسلة تجزئة أحذية استهدفتها حلقة سرقة الهوية التي أبلغت عن خرق للبيانات في مارس 2005. وذكرت DSW أنه تم اختراق أكثر من 1.4 مليون رقم بطاقة ائتمان ، وتراوحت الخسائر من 6.5 مليون دولار إلى 9.5 مليون دولار.

اعتبارا من منتصف عام 2005 ، ذكرت BJ's مطالبات معلقة من 13 مليون دولار تتعلق خرق البيانات. تم أخذ حوالي 455000 رقم بطاقة ائتمان في خرق TJX ، وفقا ل FTC.

وزعمت لجنة التجارة الفيدرالية أن تجار التجزئة الثلاثة لم تتخذ تدابير أمنية مناسبة للحماية من الهجمات.

أعلنت FTC تسوية مع BJ في يونيو 2005 التي تتطلب من الشركة تنفيذ برنامج شامل لأمن المعلومات والحصول على عمليات تدقيق من قبل متخصص أمني مستقل من طرف ثالث كل عامين لمدة 20 عامًا. أعلنت الوكالة مستوطنات مماثلة مع DSW في ديسمبر 2005 و TJX في مارس من هذا العام.

لم تقدم FTC شكوى ضد ست شركات أخرى تم تحديدها على أنها ضحايا خرق البيانات من قبل وزارة العدل. هذه الشركات هي ديف وبوستر ، و OfficeMax ، و Barnes & Noble ، و Boston Market ، و Sports Authority و Forever 21. وقال مسؤول في FTC أنها لا تستطيع التعليق على الشكاوى المحتملة ضد تلك الشركات لأن FTC لا تعلق على التحقيقات الجارية.