ID Pencurian Cincin Menyerang Pengecer di Berbagai Tingkat

Sebuah cincin pencuri identitas yang menargetkan pengecer AS menggunakan serangan canggih dan multifaset untuk mencuri lebih dari 40 juta nomor kartu kredit dan debit dari TJX, OfficeMax, Barnes & Noble, dan perusahaan lain, menurut dokumen pengadilan.

Serangan biaya pengecer dan perusahaan kartu kredit puluhan juta dolar.

Anggota konspirasi pencurian identitas menggunakan apa yang disebut teknik wardriving untuk menemukan lubang di jaringan nirkabel yang dioperasikan oleh toko ritel. Begitu berada di dalam jaringan, para pencuri berada dan mencuri informasi transaksi kartu kredit yang tersimpan di jaringan pengecer, menurut dokumen pengadilan.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Pencuri juga memasangnya perangkat lunak sniffer yang dipanggil untuk menangkap kata sandi dan data akun di jaringan toko, dan mereka menggunakan serangan berbasis Internet, termasuk serangan injeksi SQL, untuk mendapatkan akses ke basis data kartu kredit.

Kelompok pencurian ID menyimpan nomor kartu kredit yang ditangkap pada server yang dikompromikan di AS, Latvia, dan Ukraina, menurut dokumen pengadilan. Para pencuri kemudian mengenkripsi nomor kartu kredit pada server-server itu, menurut dokumen dakwaan Albert Gonzalez, yang diduga sebagai biang keladi dari skema pencurian ID.

Gonzalez, dari Miami, didakwa Selasa di Pengadilan Distrik AS untuk Distrik Massachusetts. atas tuduhan penipuan komputer, penipuan kawat, penipuan akses perangkat, pencurian identitas dan konspirasi yang diperburuk. Sepuluh terdakwa lainnya telah didakwa atau dituduh melakukan kejahatan dalam apa yang diyakini sebagai pencurian ID terbesar dan investigasi peretasan komputer dalam sejarah Departemen Kehakiman AS, DOJ mengumumkan Selasa.

Dokumen dakwaan untuk Gonzalez, yang bekerja sebagai informan untuk Dinas Rahasia AS sementara diduga terlibat dalam skema itu, memberi petunjuk tentang operasi pencurian ID. Para pencuri mampu menyandikan informasi kartu kredit pada kartu kosong yang digunakan untuk memperoleh puluhan ribu dolar dari mesin uang tunai dalam kunjungan tunggal, dokumen pengadilan mengatakan.

Di antara serangan yang diperinci dalam dokumen pengadilan:

- - Pada sekitar tahun 2003, Gonzalez dan lainnya menemukan titik akses nirkabel yang tidak terenkripsi di toko Grosir Club BJ. BJ melaporkan pelanggaran jaringan komputernya pada awal 2004.

- Pada tahun 2004, anggota lain dari cincin pencurian ID mengkompromikan jalur akses nirkabel OfficeMax di Miami, dan mereka dapat mencuri data kartu kredit. Setelah aparat penegak hukum pada tahun 2006 mengidentifikasi OfficeMax sebagai korban pelanggaran data, perusahaan mengatakan pihaknya menyewa auditor luar untuk melakukan penyelidikan dan tidak menemukan bukti adanya pelanggaran keamanan. Seorang juru bicara OfficeMax tidak segera mengembalikan pesan yang meminta komentar.

- Pada bulan Juli, September dan November 2005, diduga anggota pencuri ID pencurian Christopher Scott mengkompromikan dua titik akses nirkabel yang dioperasikan oleh TJX di departemen departemen Marshalls di Miami. Scott menggunakan aksesnya untuk mengirim perintah komputer berulang kali ke server TJX yang menyimpan informasi kartu kredit di Framingham, Massachusetts. TJX, yang juga memiliki TJ Maxx, HomeGoods dan gerai ritel lainnya, melaporkan pelanggaran data pada Januari 2007.

Para ahli keamanan cyber mengatakan perusahaan khawatir menjadi korban dapat belajar dari serangan itu. Perusahaan yang menyimpan informasi pribadi perlu mengambil pendekatan komprehensif untuk keamanan data, termasuk enkripsi basis data kartu kredit, pemberitahuan perilaku mencurigakan di dalam jaringan mereka dan batasan pada siapa yang dapat mengakses data, kata pakar keamanan.

Perusahaan juga harus menginstal tambalan perangkat lunak cepat dan pastikan mereka tahu bahwa data sensitif terletak di jaringan mereka, tambah Ted Julian, wakil presiden strategi dan pemasaran untuk vendor keamanan keamanan Aplikasi Komputer. Banyak perusahaan tidak tahu di mana semua data sensitif mereka disimpan, karena pergantian pekerja IT dan faktor lainnya, katanya.

Perusahaan juga perlu menganalisis risiko mereka dan mengambil pendekatan yang ditargetkan untuk memperbaiki masalah, kata Sam Curry, wakil presiden manajemen produk di vendor cyececurity RSA.

Serangan telah berubah dalam beberapa tahun terakhir, dengan lebih terorganisir, kampanye yang ditargetkan, kata Julian. "Para peretas jauh lebih fokus, dan mereka akan mencoba 38 pintu, mereka akan mencoba 100 pintu," katanya. "Segera setelah mereka menemukan yang tidak terkunci, mereka sedang menuju ke basis data. Saya tidak tahu bahwa banyak orang [IT] yang mendapatkan $ 10 juta dalam anggaran mereka untuk menggulirkan banyak tindakan keamanan baru. "

Perusahaan juga harus memeriksa apakah data yang mereka simpan diperlukan dan berapa lama mereka menyimpan data, kata Graham Cluley, konsultan teknologi senior di Sophos, vendor cybersecurity lain.

Perusahaan telah terlalu lama fokus pada pertahanan perimeter dan tidak untuk melindungi data di dalam jaringan mereka, kata Curry. Pengecer dan perusahaan lain perlu "bangun dan menanggapi ancaman ini dengan serius," kata Curry. "Hasilkan biaya kepada orang-orang jahat yang terlalu tinggi bagi mereka untuk melakukannya."

Dakwaan yang diumumkan Selasa dapat meningkatkan kesadaran tentang keamanan dunia maya, tambah Curry. Dan beberapa keyakinan profil tinggi bisa berfungsi sebagai alat pencegah bagi penjahat.

Tapi Curry dan Cluley menolak untuk menuding pengecer yang sistemnya dikompromikan. Sementara para pelanggan dari perusahaan-perusahaan itu perlu memberi tekanan pada mereka untuk meningkatkan praktik keamanan, perusahaan-perusahaan juga menjadi korban, kata Cluley.

"Akan salah jika memukul perusahaan terlalu banyak," kata Cluley. "Perusahaan pesaing seharusnya tidak merasa terlalu puas, karena berapa banyak dari mereka yang dapat meletakkan tangan mereka di hati mereka dan berkata, 'ini tidak akan pernah terjadi di dalam organisasi kami?'"

Komisi Perdagangan Federal AS, bagaimanapun, mengajukan keluhan terhadap TJX, BJ's Wholesale dan DSW, sebuah rantai ritel sepatu yang ditargetkan oleh cincin pencurian ID yang melaporkan pelanggaran data pada Maret 2005. DSW melaporkan bahwa lebih dari 1,4 juta nomor kartu kredit dikompromikan, dan kerugian berkisar antara US $ 6,5 juta hingga $ 9,5 juta.

Pada pertengahan 2005, BJ melaporkan klaim luar biasa sebesar $ 13 juta terkait dengan pelanggaran data. Sekitar 455.000 nomor kartu kredit diambil dalam pelanggaran TJX, menurut FTC.

FTC menuduh bahwa tiga pengecer tidak mengambil tindakan pengamanan yang sesuai untuk melindungi dari serangan.

FTC mengumumkan penyelesaian dengan BJ di Juni 2005 mengharuskan perusahaan untuk menerapkan program keamanan informasi yang komprehensif dan memperoleh audit oleh profesional keamanan pihak ketiga yang independen setiap tahun selama 20 tahun. Badan ini mengumumkan permukiman serupa dengan DSW pada bulan Desember 2005 dan TJX pada bulan Maret tahun ini.

FTC belum mengajukan komplain terhadap enam perusahaan lain yang diidentifikasi sebagai korban pelanggaran data oleh DOJ. Perusahaan-perusahaan itu adalah Dave dan Buster, OfficeMax, Barnes & Noble, Pasar Boston, Otoritas Olahraga, dan Selamanya 21. Seorang pejabat FTC mengatakan bahwa dia tidak dapat mengomentari kemungkinan pengaduan terhadap perusahaan-perusahaan itu karena FTC tidak berkomentar mengenai investigasi yang sedang berlangsung.