Посвятив последние два поста в блоге мошенничеству с кредитными картами с помощью скиммеров, мы посвящаем этот пост изучению роли хакеров в краже личных данных и создании поддельных кредитных карт от своего имени. Мы начинаем с ареста Альберта Гонсалеса, жителя Майами, которому вместе с двумя российскими сообщниками удалось украсть 130 миллионов счетов кредитных карт. Речь идет не о мошеннических транзакциях на сумму 130 миллионов долларов, а о 130 миллионах уникальных номеров индивидуальных счетов. На момент ареста, в конце лета 2009 года, это была крупнейшая зафиксированная утечка данных, превзойдя предыдущий рекорд в 45 миллионов учетных записей, о взломе которых сообщалось от TJX Companies, Inc., материнской компании Marshalls и магазинов TJ Maxx.
Как Гонсалесу и его сообщникам по преступлению удалось совершить такой поразительный подвиг? Умело воспользовавшись узловой точкой платежных систем кредитных карт: процессорами. Эти процессоры действуют как посредники между бизнесом и компаниями, выпускающими кредитные карты. Heartland Payment Systems, процессор, на который была нацелена атака Гонсалеса, обрабатывал около 100 миллионов транзакций по кредитным картам в месяц, 40% из них приходились на небольшие и средние рестораны. Скрытое программное обеспечение на компьютерах Heartland перехватило номера карт и имя владельца; этого достаточно для создания поддельной кредитной карты.
Аналогичный метод атаки использовался при утечке данных TJX. Хакеры использовали незащищенные корпоративные беспроводные сети для доступа к частям, обрабатывающим и передающим номера кредитных карт клиентов. Как и в случае с Heartland, TJX, как сообщается, узнала о вторжении только через несколько месяцев после того, как оно произошло.
Если вы начинаете видеть развивающуюся закономерность, вы совершенно правы. Технологии развиваются быстрее, чем это может сделать большинство руководителей, и печальный результат клиентских транзакций иногда остается весьма уязвимым для киберворов. Изощренные взломы, подобные тому, что затронул Heartland, представляют двойную опасность: они могут месяцами работать без подключения к интернету и украсть миллионы учетных записей, прежде чем их обнаружат. Если не произойдет серьезных изменений в поведении потребителей или стандартах индустрии платежных карт, эта тенденция вряд ли обратится вспять в ближайшее время. Ожидайте новых утечек данных, как крупных, так и мелких, и новых случаев подделки кредитных карт.
Как Гонсалесу и его сообщникам по преступлению удалось совершить такой поразительный подвиг? Умело воспользовавшись узловой точкой платежных систем кредитных карт: процессорами. Эти процессоры действуют как посредники между бизнесом и компаниями, выпускающими кредитные карты. Heartland Payment Systems, процессор, на который была нацелена атака Гонсалеса, обрабатывал около 100 миллионов транзакций по кредитным картам в месяц, 40% из них приходились на небольшие и средние рестораны. Скрытое программное обеспечение на компьютерах Heartland перехватило номера карт и имя владельца; этого достаточно для создания поддельной кредитной карты.
Аналогичный метод атаки использовался при утечке данных TJX. Хакеры использовали незащищенные корпоративные беспроводные сети для доступа к частям, обрабатывающим и передающим номера кредитных карт клиентов. Как и в случае с Heartland, TJX, как сообщается, узнала о вторжении только через несколько месяцев после того, как оно произошло.
Если вы начинаете видеть развивающуюся закономерность, вы совершенно правы. Технологии развиваются быстрее, чем это может сделать большинство руководителей, и печальный результат клиентских транзакций иногда остается весьма уязвимым для киберворов. Изощренные взломы, подобные тому, что затронул Heartland, представляют двойную опасность: они могут месяцами работать без подключения к интернету и украсть миллионы учетных записей, прежде чем их обнаружат. Если не произойдет серьезных изменений в поведении потребителей или стандартах индустрии платежных карт, эта тенденция вряд ли обратится вспять в ближайшее время. Ожидайте новых утечек данных, как крупных, так и мелких, и новых случаев подделки кредитных карт.
