Varejistas atacados em vários níveis

Um grupo de ladrões de identidade voltados para os varejistas norte-americanos usou ataques sofisticados e multifacetados para roubar mais de 40 milhões de cartões de crédito e débito da TJX, OfficeMax, Barnes & Noble e outras empresas, segundo documentos judiciais. varejistas e empresas de cartão de crédito, dezenas de milhões de dólares

Os membros da conspiração contra roubo de identidade usaram as chamadas técnicas de proteção para encontrar buracos em redes sem fio operadas por lojas de varejo. Uma vez dentro das redes, os ladrões localizaram e roubaram informações de transações de cartão de crédito armazenadas nas redes dos varejistas, de acordo com documentos judiciais.

[Leia mais: Como remover malware do seu PC Windows]

Os ladrões também instalaram O software de sniffer chamado para capturar dados de senhas e contas nas redes das lojas, e eles usaram ataques baseados na Internet, incluindo ataques de injeção SQL, para obter acesso a bancos de dados de cartão de crédito.

O grupo de roubo ID armazenou os números de cartão de crédito capturados em servidores comprometidos nos EUA, na Letônia e na Ucrânia, de acordo com documentos judiciais. Os ladrões então criptografaram os números de cartão de crédito nesses servidores, segundo o documento de acusação de Albert Gonzalez, o suposto líder do esquema de roubo de identidade. Gonzalo, de Miami, foi indiciado na terça-feira no Tribunal Distrital do Distrito de Massachusetts. sob acusação de fraude de computador, fraude eletrônica, fraude de dispositivo de acesso, roubo de identidade agravado e conspiração. Dez outros réus foram indiciados ou acusados ​​de crimes no que se acredita ser o maior roubo de identidade e investigação de hackers na história do Departamento de Justiça dos EUA, anunciou o DOJ na terça-feira.

O documento de acusação para Gonzalez, que estava trabalhando como um informante do Serviço Secreto dos EUA, enquanto supostamente envolvido no esquema, lança alguma luz sobre a operação de roubo de identidade. Os ladrões conseguiram codificar informações de cartão de crédito em cartões em branco que foram usados ​​para obter dezenas de milhares de dólares em caixas eletrônicos em visitas únicas, segundo o documento do tribunal.

Entre os ataques detalhados no documento judicial:

- - Em 2003, Gonzalez e outros encontraram um ponto de acesso sem fio não criptografado na loja do BJ Wholesale Club. A BJ's relatou uma violação de suas redes de computadores no início de 2004.

- Em 2004, outros membros do anel de roubo de identidade comprometeram um ponto de acesso sem fio OfficeMax em Miami e conseguiram roubar dados de cartão de crédito. Depois que as autoridades policiais em 2006 identificaram o OfficeMax como vítima de uma violação de dados, a empresa informou que contratou um auditor externo para conduzir uma investigação e não encontrou provas de violação de segurança. Um porta-voz da OfficeMax não retornou imediatamente uma mensagem pedindo comentários

- Em julho, setembro e novembro de 2005, Christopher Scott, membro do anel de roubo de identidade, comprometeu dois pontos de acesso sem fio operados pela TJX nas reportagens do departamento Marshall em Miami. Scott usou seu acesso para transmitir repetidamente comandos de computador para os servidores da TJX, armazenando informações de cartão de crédito em Framingham, Massachusetts. A TJX, que também é dona da TJ Maxx, da HomeGoods e de outros pontos de venda, registrou violações de dados em janeiro de 2007.

Especialistas em segurança cibernética disseram que as empresas preocupadas com a possibilidade de serem vítimas podem aprender com os ataques. As empresas que armazenam informações pessoais precisam adotar uma abordagem abrangente à segurança de dados, incluindo criptografia de bancos de dados de cartão de crédito, notificações de comportamento suspeito dentro de suas redes e limitações sobre quem pode acessar os dados, disseram especialistas em segurança. rapidamente e certifique-se de que eles sabem que os dados confidenciais estão localizados em suas redes, acrescentou Ted Julian, vice-presidente de estratégia e marketing da Application Security, empresa de segurança de computadores. Muitas empresas não sabem onde todos os seus dados confidenciais são armazenados, devido à rotatividade de trabalhadores de TI e outros fatores, disse ele.

As empresas também precisam analisar seus riscos e adotar uma abordagem direcionada para corrigir problemas, disse Sam Curry, vice-presidente de gerenciamento de produtos da RSA.

Os ataques mudaram nos últimos anos, com campanhas mais organizadas e direcionadas, disse Julian. "Os hackers estão muito mais focados, e eles tentarão 38 portas, eles tentarão 100 portas", disse ele. "Assim que encontram o que está desbloqueado, estão a caminho do banco de dados. Não sei se muitas pessoas de TI estão recebendo US $ 10 milhões em seu orçamento para implementar um monte de novas medidas de segurança. "As empresas também devem examinar se os dados que armazenam são necessários e por quanto tempo eles mantêm os dados", disse Graham Cluley, consultor sênior de tecnologia da Sophos, outro fornecedor de segurança cibernética. sobre a proteção de dados dentro de suas redes, disse Curry. Os varejistas e outras empresas precisam "acordar e levar essas ameaças a sério", disse Curry. "Faça o custo para os bandidos muito alto para que eles façam isso".

As acusações anunciadas na terça-feira podem aumentar a conscientização sobre a segurança cibernética, acrescentou Curry. E algumas condenações de alto nível poderiam servir como um impedimento para os criminosos.

Mas Curry e Cluley se recusaram a apontar os dedos para os varejistas cujos sistemas estavam comprometidos. Enquanto os clientes das empresas precisam pressioná-los para melhorar as práticas de segurança, as empresas também são vítimas, disse Cluley. "Seria errado bater demais nas empresas", disse Cluley. "As empresas concorrentes não deveriam se sentir presunçosas demais, porque quantas delas podem colocar suas mãos em seus corações e dizer: 'isso nunca poderia acontecer dentro de nossa organização?'"

A Comissão Federal de Comércio dos EUA, no entanto, registrou queixas contra a TJX, a BJ's Wholesale e a DSW, uma rede varejista de calçados alvo do roubo de identidade que divulgou uma violação de dados em março de 2005. A DSW informou que mais de 1,4 milhão de cartões de crédito foram comprometidos e as perdas variaram de US $ 6,5 milhões a US $ 9,5 milhões

Em meados de 2005, a BJ relatou reclamações pendentes de US $ 13 milhões relacionadas à violação de dados. Cerca de 455.000 números de cartão de crédito foram tirados nas violações da TJX, de acordo com a FTC.

A FTC alegou que os três varejistas não tomaram medidas de segurança apropriadas para proteger contra os ataques.

A FTC anunciou um acordo com a BJ em Junho de 2005 exigindo que a empresa implemente um programa abrangente de segurança das informações e obtenha auditorias por um profissional independente de segurança de terceiros a cada dois anos durante 20 anos. A agência anunciou acordos semelhantes com a DSW em dezembro de 2005 e a TJX em março deste ano.

A FTC não apresentou reclamações contra seis outras empresas identificadas como vítimas de violação de dados pelo DOJ. Essas empresas são Dave & Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority e Forever 21. Uma autoridade da FTC disse que não poderia comentar sobre possíveis reclamações contra essas empresas porque a FTC não comenta investigações em andamento.