ID 도용 링은 여러 단계로 소매업 자들을 공격했습니다

소매업 자 및 신용 카드 회사에 수천만 달러의 손실을 입혔습니다.

ID 도용 음모의 일원은 소매점에서 운영하는 무선 네트워크에서 구멍을 찾기 위해 소위 말하는 wardriving 기법을 사용했습니다. 일단 네트워크에 들어가면, 도둑들은 법원 문서에 따라 소매점 네트워크에 저장된 신용 카드 거래 정보를 찾아서 훔쳤다.

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

상점의 네트워크에서 암호 및 계정 데이터를 캡처하기 위해 호출 된 스니퍼 소프트웨어로, SQL 주입 공격을 포함한 인터넷 기반 공격을 사용하여 신용 카드 데이터베이스에 액세스했습니다.

ID 도용 그룹은 캡처 된 신용 카드 번호 법원 문서에 따르면 미국, 라트비아 및 우크라이나의 손상된 서버에 대해 도둑들은 ID 도용 계획의 주창자 인 앨버트 곤잘레스 (Albert Gonzalez)의 기소 문서에 따라 해당 서버의 신용 카드 번호를 암호화했다.

마이애미의 곤잘레스 (Gonzalez)는 화요일 메사추세츠 연방 지방 법원에서 기소되었다 유선 사기, 액세스 장치 사기, 악의적 인 신원 도용 및 음모 혐의로 미 법무부 역사상 가장 큰 ID 도용 및 컴퓨터 해킹 수사로 의심되는 10 명의 다른 피고인들이 기소되었거나 범죄 혐의로 기소되었다고 DOJ가 화요일 발표했다.

곤잘레스의 기소 문서 혐의로이 계획에 종사하면서 US Secret Service의 정보 제공자로서 ID 도난 조작에 대해 밝히고있다. 이 도둑들은 한 번의 방문으로 현금 기계로 수천 달러를 모으기 위해 사용 된 빈 카드에 신용 카드 정보를 암호화 할 수 있다고 법원 문서는 말합니다.

법원 문서에 상세히 기술 된 공격들 중

- - 2003 년 곤잘레스 (Gonzalez)와 다른 사람들은 BJ의 도매 클럽 매장에서 암호화되지 않은 무선 액세스 포인트를 발견했습니다. BJ는 2004 년 초에 컴퓨터 네트워크 위반을 신고했습니다. 2004 년에 ID 도난 링의 다른 회원이 마이애미의 OfficeMax 무선 액세스 포인트를 손상시키고 신용 카드 데이터를 도용 할 수있었습니다. 2006 년 법 집행 공무원이 OfficeMax를 데이터 유출의 피해자로 밝힌 후 회사는 외부 감사원을 고용하여 조사를 실시했으며 보안 침해의 증거는 발견하지 못했다고 밝혔습니다. OfficeMax 대변인은 즉시 메시지를 찾는 메시지를 반환하지 않았다. - 2005 년 7 월, 9 월, 11 월에 ID 도난 링 멤버 인 Christopher Scott은 마이애미에있는 Marshalls 부서의 이야기에서 TJX가 운영하는 두 개의 무선 액세스 포인트를 손상시켰다. Scott은 매사추세츠의 Framingham에 신용 카드 정보를 저장하는 TJX의 서버에 컴퓨터 명령을 반복적으로 전송하기 위해 그의 액세스를 사용했습니다. TJ Maxx, HomeGoods 및 기타 소매점을 소유하고있는 TJX는 2007 년 1 월에 데이터 유출 사건을 신고했습니다.

사이버 보안 전문가는 피해자가 걱정하는 회사는 공격으로부터 배울 수 있다고 전했다. 개인 정보를 저장하는 회사는 신용 카드 데이터베이스의 암호화, 네트워크 내부의 의심스러운 행동에 대한 알림 및 데이터에 액세스 할 수있는 사람에 대한 제한 등 데이터 보안에 대한 포괄적 인 접근 방식을 취해야한다고 보안 전문가는 말했습니다.

기업은 소프트웨어 패치 Ted Julian 컴퓨터 보안 공급 업체 응용 프로그램 보안 (Application Security)의 전략 및 마케팅 담당 부사장 인 Ted Julian은 자신의 네트워크에 민감한 데이터가 있는지를 신속하게 파악하고 있는지 확인합니다. 많은 회사들은 IT 직원의 이직률 및 기타 요소로 인해 민감한 데이터가 어디에 저장되어 있는지 모릅니다.

줄리안은 또한 기업들이 위험을 분석하고 문제를 해결하기 위해 목표를 정한 방법을 취할 필요가 있다고 전했다. 그는 "해커들은 훨씬 집중력이 좋으며 38 개의 문을 열어 100 개의 문을 열어 볼 것"이라고 말했다. "잠금 해제 된 것을 찾자 마자 데이터베이스로가는 중이다. 많은 IT 직원들이 새로운 보안 조치를 취하기 위해 천만 달러를 예산으로 모으고 있는지 모른다. "

기업들은 소포스의 선임 기술 컨설턴트 인 그레이엄 클루 리 (Graham Cluley)에 따르면, 기업들이 저장하는 데이터가 필요한지, 얼마나 오랫동안 데이터를 보관해야 하는지를 조사해야한다고 덧붙였다. 카레 (Curry)는 네트워크 내에서 데이터를 보호한다고 밝혔다. 소매업 자와 다른 회사는 "깨어서 이러한 위협을 진지하게 받아 들여야합니다."라고 Curry는 말했습니다. "나쁜 놈들에게 너무 많은 비용을들이도록하십시오."화요일에 발표 된 기소는 사이버 보안에 대한 인식을 높일 수 있다고 카레리는 덧붙였다. 일부 유명 인사들의 신념은 범죄자를 저지하는 역할을 할 수 있습니다.

그러나 카레 (Curry)와 클루 리 (Cluley)는 시스템이 손상된 소매점의 손가락을 가리기를 거부했습니다. 클루 리는 보안 관행 개선을 위해 기업 고객들이 보안 조치를 강요 할 필요가 있지만 희생자들이라고 덧붙였다.

"경쟁 회사는 얼마나 많은 사람들이 자신의 마음에 손을 얹고 '이것은 우리 조직 내부에서 결코 일어날 수 없기 때문에'너무 기분이 좋지 않아야한다"고 말했다. 그러나 미국 연방 통상위원회 (US Federal Trade Commission)는 불만을 제기했다. DSJ는 2005 년 3 월 데이터 유출 사건을 신고 한 ID 도난 링을 겨냥한 신발 소매 체인 인 TJX, BJ 's Wholesale 및 DSW를 상대로 DSW에보고했습니다. DSW는 140 만 개 이상의 신용 카드 번호가 손상되었으며 손실은 650 만 달러에서 950 만 달러

2005 년 중반 현재 BJ는 데이터 유출과 관련하여 미화 1 천 3 백만 달러의 미 청구액을보고했다. FTC에 따르면, TJX 위반으로 약 455,000 개의 신용 카드 번호가 찍혔다.

FTC는 3 개의 소매 업체가 공격으로부터 보호하기 위해 적절한 보안 조치를 취하지 않았다고 주장했다.

FTC는 BJ와의 합의를 발표했다. 2005 년 6 월이 회사는 포괄적 인 정보 보안 프로그램을 구현하고 20 년 동안 독립적으로 제 3 자 보안 전문가가 감사를 받도록 요구했습니다. 에이전시는 2005 년 12 월 DSW와 올해 3 월에 TJX와 유사한 합의를 발표했다.

FTC는 법무부에 의해 데이터 유출 피해자로 확인 된 6 개의 다른 회사에 대해 불만을 제기하지 않았다. FTC 관계자는 Dave and Buster 's, OfficeMax, Barnes & Noble, Boston Market, Sports Authority 및 Forever 21. FTC 관계자는 FTC가 진행중인 조사에 대해 언급하지 않기 때문에 해당 회사에 대한 가능한 불만 사항에 대해서는 언급 할 수 없다고 말했다.