Резюме
Инсайдер цифрового черного рынка, Брайан Кребс обнаруживает серьезные взломы кредитных карт до того, как крупные розничные торговцы узнают, что их поразило. Он берет с собой читателей в свою книгу «Нация спама».
С новым киберпреступным разоблачением "Нация спама" Брайана Кребса, готовящегося к печати, произошла забавная вещь: его издатель был взломан.
Подобные иронии - обычное дело для Кребса, давнего репортера о киберпреступлениях Washington Post, ставшего расследователем спама, чей ежедневный блог KrebsOnSecurity.com раскрывает серьезные взломы кредитных карт до того, как Targets и Home Depots всего мира даже узнают, что их поразило.
В своей книге «Нация спама» инсайдер, занимающийся киберпреступностью, и бывший репортер Washington Post Брайан Кребс показывает, как финансовый крах может быть всего одним щелчком мыши. Как сказано в подзаголовке книги: «В сети скрывается угроза, способная разрушить ваши финансы, украсть ваши личные данные и поставить под угрозу вашу жизнь». Книга вышла 18 ноября 2014 года.
В «Нации спама» Кребс следует по денежному следу - потрясающие 40 миллиардов долларов, ежегодно выплачиваемых американцами, - обратно к российским кибер-лордам, чьи роботизированные сети (или «ботнеты») ежедневно забрасывают наши почтовые ящики нежелательными электронными письмами, которые охотятся на ничего не подозревающих. .
Один щелчок по этой невинно выглядящей вложенной ссылке вредоносного ПО может позволить спамерам получить контроль над вашим компьютером, заблокировать вас от электронной почты и социальных сетей, украсть ваши имена пользователей, пароли и учетные данные онлайн-банкинга и продать их на цифровом черном рынке - 2 доллара за штуку ваш логин на Overstock.com или Walmart.com, 8 долларов за каждую учетную запись iTunes и т. д.
В то время как нарушения розничных карт по-прежнему остаются в заголовках, Кребс говорит, что забудьте о том, что находится в вашем кошельке, и вместо этого сосредоточьтесь на том, что находится в вашей электронной почте, если вы действительно хотите защитить свои финансовые данные.
В: «Нация спама» может удивить тех, кто не установил связь между нежелательной почтой, которую они удаляют каждое утро, и утечками больших ящиков, которые они видят в ночных новостях. Тем не менее, спам по-прежнему является хлебом с маслом киберпреступности, верно?
О: Верно; спам остается самой большой причиной серьезных нарушений. Те же сети киберпреступности, которые используются для рассылки спама в виде таблеток (фармацевтических препаратов), также используются для рассылки вредоносных программ. Если мы посмотрим на некоторые из самых серьезных утечек данных за последнее время - на ум приходят JPMorgan, Target, RSA Security - все они начались с отравленной электронной почты.
В: Как вы обнаруживаете утечки и сообщаете новости раньше, чем это сделают корпоративные жертвы?
О: Когда вы видите, что один-единственный [черный рынок] кардинг магазин начинает продавать на рынок миллионы карточек, происходит что-то важное, и пора приступать к работе. За последний год, особенно после взлома Target, я стал своего рода ISAC [центром обмена и анализа информации] в небольшой банковской отрасли. Более крупные банки, в силу того, что они участвуют в таком большом количестве финансовых пирогов, обычно очень быстро понимают, когда происходит серьезное нарушение, связанное с карточками одного ритейлера или торговца. Более мелким банкам обычно нужно сравнивать банкноты с другими банками, и я здесь своего рода. Я обращаюсь к банкам, с которыми у меня есть отношения, и говорю: «Эй, похоже, целая куча ваших карт выставлена на продажу. в этой огромной партии, которая только что вышла в Интернет. Вот как вы можете их получить. Просто к вашему сведению.
В: Они скоро появятся? Они тебе доверяют?
О: Конечно. Никто из них не стал бы со мной разговаривать, если бы в моих рассказах упоминались названия их банков. Я просто говорю, что рад поделиться с вами информацией о том, что я вижу, если вы можете делать то же самое.
В: мошенничество «Replay» кредитной карты вы обнаружили, из Бразилии, в котором небольшие американские банки получают обвинения карты чип-и-пин несмотря на отсутствие еще эмитированных EMV (Europay, MasterCard и Visa) карты, должен выиграть какую-то награду наглость .
О: Да, это подчеркивает тот факт, что переход на EMV - это не переключение переключателя; это будет процесс для многих финансовых организаций, особенно тех, которые не имеют международного присутствия. Если вы один из крупных банков, вы уже сталкивались с этим в ряде других стран, так что вы знаете, что искать, но в Соединенных Штатах более 14000 финансовых учреждений, которые собираются подсчитать это впервые. Каждый раз, когда у вас появляется что-то новое, вам придется учиться, и воры видят в этом возможность. Я думаю, что это большая угроза для банков, которые занимаются выпуском карт EMV. Им просто нужно научиться отличать одно от другого.
Вся эта информация о кредитных картах вызывает раздражение, потому что у всех есть кредитная карта. Но у каждого есть личность онлайн и в реальном мире, и большинству людей не нужно беспокоиться о том, чтобы выделить две секунды своего дня, чтобы сделать это более безопасным.
В: Финансовые учреждения приложили все усилия, чтобы покрыть спам всю стоимость. Оглядываясь назад, можно ли сказать, что нулевая ответственность потребителей имела неприятные последствия, подпитывая черный рынок?
О: Чем больше я узнаю и понимаю индустрию кредитных карт в Соединенных Штатах, тем яснее мне становится, что все это было разработано таким образом, чтобы каждый мог указывать друг на друга, когда что-то идет не так, в то время как кредит карточные ассоциации - они «дом» - просто продолжайте зарабатывать деньги. Долгое время просто не было большого стимула менять систему.
Банки и розничные торговцы годами говорили: «Пожалуйста, предотвратите эту боль, которую мы будем испытывать, когда нам придется перейти на EMV», и Visa и MasterCard были слишком счастливы, чтобы отказаться от этой проблемы. Банки говорят: «Послушайте, если бы эти глупые розничные торговцы просто заставили бы свои системы принимать эти чип-карты, возможно, у нас был бы стимул тратить деньги на доставку этих чип-карт». А розничные торговцы говорят: «Ну, если бы эти жадные банки просто начали выпускать чиповые карты, мы бы модернизировали наши терминалы, но никто ими не пользуется, так зачем нам?» Это провал по замыслу.
В: Но он достигает своей цели - максимизировать расходы на карты, верно?
О: Хорошо, но это не значит, что люди не очень расстраиваются, когда происходят серьезные нарушения, связанные с данными их карт. Это было для меня как-то горько-сладко за последний год. Очевидно, что то, что я сломал так много историй о нарушениях со стороны продавцов за последний год, было очень положительным с точки зрения моей работы и карьеры, но я с нетерпением жду того дня, когда больше потребителей станут более грамотными и начнут говорить о вещах, которые действительно имеют значение. . Из-за кредитной карты все раздражаются, потому что у всех есть кредитная карта. Но у каждого есть личность онлайн и в реальном мире, и большинству людей не стоит беспокоиться о том, чтобы выделить две секунды своего дня, чтобы сделать это более безопасным.
В каждой стране, которая перешла на чип и PIN ... они видели одно и то же: мошенничество не исчезает, оно просто уходит в другое место, и это где-то еще всегда в сети.[/TD]
В: "Нация спама" предлагает простой трехэтапный план защиты компьютера: если вы не искали программу, не устанавливайте ее. Если вы его установили, обновите. Если вы больше не используете его, удалите его. Почему это кажется таким большим трудом для многих?
О: Раньше было так, что, когда их компьютер был заражен, люди звонили своему внуку, своему сыну или другу-ботанику, и они приходили, запускали какие-то программы и, возможно, возвращали ваш компьютер туда, где он был. Но в наши дни гораздо проще уберечь компьютер от захвата, чем пытаться починить его постфактум. В наши дни все чаще происходит то, что система человека загружается в «программу-вымогатель» (вредоносное ПО, которое выдает себя за правоохранительные органы), и, если вы действительно не умеете делать резервные копии своих данных, вы либо будете платить, чтобы получить свои данные. назад, или ты собираешься поцеловать его на прощание навсегда. К сожалению, многим людям приходится на собственном горьком опыте узнавать хоть унцию профилактики. И дело не только в принятии корректирующих мер, но и в том, чтобы чего-то не делать; говоря: «Подожди секунду. Мне действительно нужно это делать? Кто говорит?"
В: Считаете ли вы, что чиповые карты решат проблему карточного мошенничества?
О: Нет, потому что, если розничные торговцы не занимаются другими вещами, такими как сквозное шифрование, все, что они на самом деле делают с этим, - это продвигает больше угроз в Интернете. В каждой стране, которая перешла на чип-и-PIN, а мы последние из стран Большой двадцатки, они видели одно и то же: мошенничество не исчезает, оно просто уходит в другое место всегда в сети. Причина этого проста: если вы взломаете крупный розничный магазин, и он будет использовать чип и PIN-код, ну ура. Но если они также не зашифруют эти данные, воры все равно могут украсть номер карты и дату истечения срока действия, которые все еще можно использовать в Интернете. Так обычно и происходит; мы увидим довольно большой всплеск мошенничества без предъявления карты.
В: Ваш издатель, Sourcebooks, сообщил в прошлом месяце, что с середины апреля до середины июня он стал объектом взлома кредитной карты. Была ли какая-то связь с ожидающейся публикацией "Нация спама"?
О: Нет. Любой, кто обрабатывает данные кредитной карты и не передает их на аутсорсинг кому-либо еще и не шифрует данные в своей среде, в тот или иной момент будет скомпрометирован. У них на спине слишком много мишени, а данные стоят слишком дорого. Это удваивается для онлайн-продавцов, и вот что было. Они в основном использовали программное обеспечение корзины покупок для обработки карточек через свой сайт. Таким образом, все, что нужно было сделать злоумышленникам, - это найти уязвимость в программном обеспечении корзины покупок, а затем они могли поразить все сайты, на которых запущено это программное обеспечение.
Мне все равно, если украдут мою кредитную карту; и так бывает три раза в год. Меня это не особо беспокоит. Я трачу больше времени на размышления о способах защиты своей личности.
В: После 19 лет работы в этом ритме вы используете карты иначе, чем раньше?
О: Я никогда не пользовался дебетовой картой. Я до сих пор повсюду пользуюсь кредитными картами. Мне все равно, украсть мою кредитную карту; и так бывает три раза в год. Меня это не особо беспокоит. Я трачу больше времени на размышления о способах защиты своей личности. Вся моя личная информация размещалась в Интернете больше раз, чем я могу сосчитать. Я заставлял людей подавать на меня мошенничество с налоговой декларацией, пытаюсь получить новый кредит. На такие вещи лучше тратить свое время, чем на кредитные карты.
В: Вы пишете о некоторых довольно крутых людях. Вы когда-нибудь беспокоились о своей физической безопасности?
О: Я бы сказал, что это дало мне повышенное чувство осознания, и на этом я почти не пойду.
Инсайдер цифрового черного рынка, Брайан Кребс обнаруживает серьезные взломы кредитных карт до того, как крупные розничные торговцы узнают, что их поразило. Он берет с собой читателей в свою книгу «Нация спама».
С новым киберпреступным разоблачением "Нация спама" Брайана Кребса, готовящегося к печати, произошла забавная вещь: его издатель был взломан.
Подобные иронии - обычное дело для Кребса, давнего репортера о киберпреступлениях Washington Post, ставшего расследователем спама, чей ежедневный блог KrebsOnSecurity.com раскрывает серьезные взломы кредитных карт до того, как Targets и Home Depots всего мира даже узнают, что их поразило.
В своей книге «Нация спама» инсайдер, занимающийся киберпреступностью, и бывший репортер Washington Post Брайан Кребс показывает, как финансовый крах может быть всего одним щелчком мыши. Как сказано в подзаголовке книги: «В сети скрывается угроза, способная разрушить ваши финансы, украсть ваши личные данные и поставить под угрозу вашу жизнь». Книга вышла 18 ноября 2014 года.
В «Нации спама» Кребс следует по денежному следу - потрясающие 40 миллиардов долларов, ежегодно выплачиваемых американцами, - обратно к российским кибер-лордам, чьи роботизированные сети (или «ботнеты») ежедневно забрасывают наши почтовые ящики нежелательными электронными письмами, которые охотятся на ничего не подозревающих. .
Один щелчок по этой невинно выглядящей вложенной ссылке вредоносного ПО может позволить спамерам получить контроль над вашим компьютером, заблокировать вас от электронной почты и социальных сетей, украсть ваши имена пользователей, пароли и учетные данные онлайн-банкинга и продать их на цифровом черном рынке - 2 доллара за штуку ваш логин на Overstock.com или Walmart.com, 8 долларов за каждую учетную запись iTunes и т. д.
В то время как нарушения розничных карт по-прежнему остаются в заголовках, Кребс говорит, что забудьте о том, что находится в вашем кошельке, и вместо этого сосредоточьтесь на том, что находится в вашей электронной почте, если вы действительно хотите защитить свои финансовые данные.
В: «Нация спама» может удивить тех, кто не установил связь между нежелательной почтой, которую они удаляют каждое утро, и утечками больших ящиков, которые они видят в ночных новостях. Тем не менее, спам по-прежнему является хлебом с маслом киберпреступности, верно?
О: Верно; спам остается самой большой причиной серьезных нарушений. Те же сети киберпреступности, которые используются для рассылки спама в виде таблеток (фармацевтических препаратов), также используются для рассылки вредоносных программ. Если мы посмотрим на некоторые из самых серьезных утечек данных за последнее время - на ум приходят JPMorgan, Target, RSA Security - все они начались с отравленной электронной почты.
В: Как вы обнаруживаете утечки и сообщаете новости раньше, чем это сделают корпоративные жертвы?
О: Когда вы видите, что один-единственный [черный рынок] кардинг магазин начинает продавать на рынок миллионы карточек, происходит что-то важное, и пора приступать к работе. За последний год, особенно после взлома Target, я стал своего рода ISAC [центром обмена и анализа информации] в небольшой банковской отрасли. Более крупные банки, в силу того, что они участвуют в таком большом количестве финансовых пирогов, обычно очень быстро понимают, когда происходит серьезное нарушение, связанное с карточками одного ритейлера или торговца. Более мелким банкам обычно нужно сравнивать банкноты с другими банками, и я здесь своего рода. Я обращаюсь к банкам, с которыми у меня есть отношения, и говорю: «Эй, похоже, целая куча ваших карт выставлена на продажу. в этой огромной партии, которая только что вышла в Интернет. Вот как вы можете их получить. Просто к вашему сведению.
В: Они скоро появятся? Они тебе доверяют?
О: Конечно. Никто из них не стал бы со мной разговаривать, если бы в моих рассказах упоминались названия их банков. Я просто говорю, что рад поделиться с вами информацией о том, что я вижу, если вы можете делать то же самое.
В: мошенничество «Replay» кредитной карты вы обнаружили, из Бразилии, в котором небольшие американские банки получают обвинения карты чип-и-пин несмотря на отсутствие еще эмитированных EMV (Europay, MasterCard и Visa) карты, должен выиграть какую-то награду наглость .
О: Да, это подчеркивает тот факт, что переход на EMV - это не переключение переключателя; это будет процесс для многих финансовых организаций, особенно тех, которые не имеют международного присутствия. Если вы один из крупных банков, вы уже сталкивались с этим в ряде других стран, так что вы знаете, что искать, но в Соединенных Штатах более 14000 финансовых учреждений, которые собираются подсчитать это впервые. Каждый раз, когда у вас появляется что-то новое, вам придется учиться, и воры видят в этом возможность. Я думаю, что это большая угроза для банков, которые занимаются выпуском карт EMV. Им просто нужно научиться отличать одно от другого.
Вся эта информация о кредитных картах вызывает раздражение, потому что у всех есть кредитная карта. Но у каждого есть личность онлайн и в реальном мире, и большинству людей не нужно беспокоиться о том, чтобы выделить две секунды своего дня, чтобы сделать это более безопасным.
В: Финансовые учреждения приложили все усилия, чтобы покрыть спам всю стоимость. Оглядываясь назад, можно ли сказать, что нулевая ответственность потребителей имела неприятные последствия, подпитывая черный рынок?
О: Чем больше я узнаю и понимаю индустрию кредитных карт в Соединенных Штатах, тем яснее мне становится, что все это было разработано таким образом, чтобы каждый мог указывать друг на друга, когда что-то идет не так, в то время как кредит карточные ассоциации - они «дом» - просто продолжайте зарабатывать деньги. Долгое время просто не было большого стимула менять систему.
Банки и розничные торговцы годами говорили: «Пожалуйста, предотвратите эту боль, которую мы будем испытывать, когда нам придется перейти на EMV», и Visa и MasterCard были слишком счастливы, чтобы отказаться от этой проблемы. Банки говорят: «Послушайте, если бы эти глупые розничные торговцы просто заставили бы свои системы принимать эти чип-карты, возможно, у нас был бы стимул тратить деньги на доставку этих чип-карт». А розничные торговцы говорят: «Ну, если бы эти жадные банки просто начали выпускать чиповые карты, мы бы модернизировали наши терминалы, но никто ими не пользуется, так зачем нам?» Это провал по замыслу.
В: Но он достигает своей цели - максимизировать расходы на карты, верно?
О: Хорошо, но это не значит, что люди не очень расстраиваются, когда происходят серьезные нарушения, связанные с данными их карт. Это было для меня как-то горько-сладко за последний год. Очевидно, что то, что я сломал так много историй о нарушениях со стороны продавцов за последний год, было очень положительным с точки зрения моей работы и карьеры, но я с нетерпением жду того дня, когда больше потребителей станут более грамотными и начнут говорить о вещах, которые действительно имеют значение. . Из-за кредитной карты все раздражаются, потому что у всех есть кредитная карта. Но у каждого есть личность онлайн и в реальном мире, и большинству людей не стоит беспокоиться о том, чтобы выделить две секунды своего дня, чтобы сделать это более безопасным.
В каждой стране, которая перешла на чип и PIN ... они видели одно и то же: мошенничество не исчезает, оно просто уходит в другое место, и это где-то еще всегда в сети.[/TD]
В: "Нация спама" предлагает простой трехэтапный план защиты компьютера: если вы не искали программу, не устанавливайте ее. Если вы его установили, обновите. Если вы больше не используете его, удалите его. Почему это кажется таким большим трудом для многих?
О: Раньше было так, что, когда их компьютер был заражен, люди звонили своему внуку, своему сыну или другу-ботанику, и они приходили, запускали какие-то программы и, возможно, возвращали ваш компьютер туда, где он был. Но в наши дни гораздо проще уберечь компьютер от захвата, чем пытаться починить его постфактум. В наши дни все чаще происходит то, что система человека загружается в «программу-вымогатель» (вредоносное ПО, которое выдает себя за правоохранительные органы), и, если вы действительно не умеете делать резервные копии своих данных, вы либо будете платить, чтобы получить свои данные. назад, или ты собираешься поцеловать его на прощание навсегда. К сожалению, многим людям приходится на собственном горьком опыте узнавать хоть унцию профилактики. И дело не только в принятии корректирующих мер, но и в том, чтобы чего-то не делать; говоря: «Подожди секунду. Мне действительно нужно это делать? Кто говорит?"
В: Считаете ли вы, что чиповые карты решат проблему карточного мошенничества?
О: Нет, потому что, если розничные торговцы не занимаются другими вещами, такими как сквозное шифрование, все, что они на самом деле делают с этим, - это продвигает больше угроз в Интернете. В каждой стране, которая перешла на чип-и-PIN, а мы последние из стран Большой двадцатки, они видели одно и то же: мошенничество не исчезает, оно просто уходит в другое место всегда в сети. Причина этого проста: если вы взломаете крупный розничный магазин, и он будет использовать чип и PIN-код, ну ура. Но если они также не зашифруют эти данные, воры все равно могут украсть номер карты и дату истечения срока действия, которые все еще можно использовать в Интернете. Так обычно и происходит; мы увидим довольно большой всплеск мошенничества без предъявления карты.
В: Ваш издатель, Sourcebooks, сообщил в прошлом месяце, что с середины апреля до середины июня он стал объектом взлома кредитной карты. Была ли какая-то связь с ожидающейся публикацией "Нация спама"?
О: Нет. Любой, кто обрабатывает данные кредитной карты и не передает их на аутсорсинг кому-либо еще и не шифрует данные в своей среде, в тот или иной момент будет скомпрометирован. У них на спине слишком много мишени, а данные стоят слишком дорого. Это удваивается для онлайн-продавцов, и вот что было. Они в основном использовали программное обеспечение корзины покупок для обработки карточек через свой сайт. Таким образом, все, что нужно было сделать злоумышленникам, - это найти уязвимость в программном обеспечении корзины покупок, а затем они могли поразить все сайты, на которых запущено это программное обеспечение.
Мне все равно, если украдут мою кредитную карту; и так бывает три раза в год. Меня это не особо беспокоит. Я трачу больше времени на размышления о способах защиты своей личности.
В: После 19 лет работы в этом ритме вы используете карты иначе, чем раньше?
О: Я никогда не пользовался дебетовой картой. Я до сих пор повсюду пользуюсь кредитными картами. Мне все равно, украсть мою кредитную карту; и так бывает три раза в год. Меня это не особо беспокоит. Я трачу больше времени на размышления о способах защиты своей личности. Вся моя личная информация размещалась в Интернете больше раз, чем я могу сосчитать. Я заставлял людей подавать на меня мошенничество с налоговой декларацией, пытаюсь получить новый кредит. На такие вещи лучше тратить свое время, чем на кредитные карты.
В: Вы пишете о некоторых довольно крутых людях. Вы когда-нибудь беспокоились о своей физической безопасности?
О: Я бы сказал, что это дало мне повышенное чувство осознания, и на этом я почти не пойду.
