KnigaRead.com/
KnigaRead.com » Компьютеры и Интернет » Прочая околокомпьтерная литература » Коллектив Авторов - Цифровой журнал «Компьютерра» № 205

Коллектив Авторов - Цифровой журнал «Компьютерра» № 205

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Коллектив Авторов, "Цифровой журнал «Компьютерра» № 205" бесплатно, без регистрации.
Перейти на страницу:

Поэтому, по мнению Symantec, следующий год будет ознаменован большим количеством кибератак в отношение самых новых сфер «интернета вещей». Да, к защите атомных электростанций и систем управления воздушным движением внимание было приковано давно (хотя проблемы, похоже, есть и здесь…) Но сегодня надо защищать и системы управления дорожным движением (Symantec считает правдой взлом систем тоннеля в Израиле), и медицинское оборудование, и энергетическую инфраструктуру…


А есть и ещё одна, очень массовая и очень уязвимая сфера. Мы уже рассказывали о прогнозах, согласно которым к 2017 году смартфоны могут оказаться умнее своих хозяев («Смартфон становится смышлёней владельца»). Но смартфон, повсюду сопутствующий человеку, может оказаться и источником очень серьёзной уязвимости. Symantec говорит о ней игриво: мол, люди доверяют тем, с кем спят, а 48% пользователей спят в компании своих смартфонов… И не предполагают, что близкие сердцу гаджеты коварно собирают о них массу сведений.

Да и сами люди ведут себя поразительно легкомысленно. Например, очень успешно «поработало» мобильное приложение, которое позволяло заполучить вожделенные дополнительные лайки в Instagram. Для этого требовалась сущая ерунда: любознательной программульке следовало лишь сообщить свой логин и пароль… И что же? На столь тупую «разводку» клюнуло более 100 тысяч человек информационной эры!.. Так что главные проблемы, как всегда, не в технологиях!


К оглавлению

Кто и как увёл у Target сорок миллионов пластиковых карт?

Евгений Золотов

Опубликовано 23 декабря 2013

Кража номеров пластиковых карт — одно из самых распространённых преступлений современности. Крадут из баз, крадут из банкоматов, крадут в точках продаж, переделывая кардридеры... Но гремящая сейчас история с кражей сразу сорока миллионов (!) номеров у американского ритейлера Target выделяется даже на таком фоне. И не только из-за масштаба случившегося: а это, получается, второе или третье в истории крупнейших ограблений в США. Произошедшее замечательно также чисто технически: как именно удалось провернуть операцию — не понятно в целом до сих пор.

Target Corp. — владелец второй по величине сети универмагов в США. Держа на балансе около двух тысяч торговых центров (в основном в Штатах, но и несколько сотен в ближнем и дальнем зарубежье), она уступает только знаменитой Walmart. Вместе с тем есть параметр, по которому Target, без сомнения, впереди любого другого ритейлера на планете: речь о сборе, анализе и применении информации о покупателях. Вот уже десятилетие, начав ещё когда термин Big Data не был модным, Target всеми правдами и неправдами стяжает сведения о людях, посетивших её магазины. Коллекционируются не только списки покупок, не только адреса проживания, но даже траектории движения индивидов по торговым залам (через их мобильники), номера автомобилей на парковке и активность в социальных сетях (последнее покупают на стороне). Затем всё это используется для обнаружения полезных корреляций и стимулирования продаж отдельных товаров и товарных категорий (см. «Как и для чего ритейлеры следят за покупателями?»). Хорошо это или плохо, не так важно, важнее другое: Target привыкла и, вероятно, умеет обращаться с ценными персональными данными.

И тем сильней шок от вскрывшегося на прошлой неделе. 18 декабря мелькнуло первое, ещё неофициальное известие о том, что Target стала жертвой электронного ограбления и расследует масштабную утечку номеров пластиковых карт и сопутствующей информации. Сутки спустя компания подтвердила это сообщение, уточнив, что злоумышленники вломились в её компьютерные системы 27 ноября и орудовали до 15 декабря. В результате было унесено до 40 млн номеров, имён покупателей, дат экспирации карт и CVV-кодов (к счастью, только тех, что записаны на магнитном стрипе; коды CVV2, печатаемые на обороте карты, скомпрометированы не были), а также почтовых индексов магазинов, в которых конкретной картой производилась оплата (знание этого помогает красть с неё деньги). Украденных сведений достаточно, чтобы изготовить дубликаты карт, но недостаточно, чтобы получить по этим дубликатам деньги в банкомате или совершить интернет-покупку; такими дубликатами злоумышленники смогут расплачиваться только офлайн.


«Target» в переводе с английского означает «цель». Не лучшее имя для компании, ставшей жертвой кибератаки...

Разразившийся скандал получился беспрецедентным. Мало того что жертвами ограбления оказались столь многие, так ещё и случилось это в самый разгар предпраздничного шопинг-сезона, включающий «чёрную пятницу». Сделанное компанией уточнение, что проблема затронула лишь офлайновые магазины в США (интернет-покупатели могут не беспокоиться), не только не остудило страстей, но даже вызвало новый всплеск: быстро стало понятно, что Target не знает, как именно злоумышленники собрали и вынесли свой опасный груз. Судя по всему, ритейлер вообще пребывал в счастливом неведении, пока его не известили сторонние спецы по безопасности. В середине декабря сотрудники одного или нескольких американских банков, занимающиеся мониторингом кардерской активности, приобрели на чёрном рынке сотню–другую номеров карт, выпущенных их банками, — и установили, что все карты «засветились» в магазинах Target. Это и положило начало расследованию. Но вот как именно ворам удалось собрать сорок миллионов карт по всей стране, точно не известно и сейчас.

Что мы знаем? Во-первых, даже если у Target есть единая база данных, в которой хранятся номера карт и сопутствующие сведения, выкрали не её. Во-вторых, подобные кражи обычно совершаются путём «доработки» конкретного кардридера, через который покупатель проводит свою карту при оплате на кассе — но в данном случае речь идёт минимум о сорока тысячах кардридеров, что, конечно, делает физические манипуляции с ними невероятными. Вот так и сформировалась доминирующая на данный момент теория: атака была технически нетривиальной и подразумевала участие осведомлённого человека внутри компании.

Сначала злоумышленники заручились поддержкой сотрудника Target, имеющего доступ к серверу (или системе серверов), с которого распространяются прошивки для кассовых аппаратов или кардридеров компании. На втором этапе эту прошивку дизассемблировали и внесли в неё некоторые изменения. На третьем — модифицированная прошивка вернулась на сервер и была (под видом апдейта) разослана по магазинам, после чего начался собственно сбор номеров. Предполагается, что вынести накопленные сведения из корпоративного интранета помог тот же завербованный сотрудник. Возможно даже, что его личность уже установлена, но компания молчит, не желая потерять лицо: имя всплывёт лишь много месяцев спустя, когда массовая истерия уляжется.


Пока нанятая Target «лидирующая» фирма по расследованию компьютерных преступлений пытается совместно с Секретной службой США выйти на грабителей, на кардерских сайтах уже торгуют унесённым добром. Это скриншот с одной из таких торговых площадок: видно, например, что кредитные карты идут дороже дебетовых — поскольку и «выкачать» из них можно больше (фото: Krebs on Security).

Тем временем награбленное уже затопило чёрный рынок: на кардерских сайтах обнаружены гигантские, вплоть до миллиона номеров в каждом, карточные «дампы» из магазинов Target. В розницу за одну карту просят от 20 долларов (сравнительно высоко оценён, в частности, пластик, эмитированный банками за пределами США: Сингапур, ОАЭ, Южная Корея). Банки отчасти уже в курсе случившегося и намерены перевыпустить «тысячи» скомпрометированных карт до конца года. Однако, учитывая, что украдены были номера не каждой карты, отметившейся в Target в период с конца ноября по середину декабря, можно предположить, что точных сведений у банков нет. Следовательно, лучшим решением для людей, отоварившихся в Target за последний месяц, будет проявить инициативу и как можно скорее перевыпустить карту.

Даже ленивым американцам, впрочем, будет сравнительно легко выйти из этой ситуации без потерь: опротестование карточных платежей для них — рутинная операция; в худшем случае останутся на время разбирательства (месяц) без привычной кредитной линии. Хуже придётся Target. Один судебный иск против неё уже подан, компания предоставила на минувшие выходные 10-процентную скидку на всё для всех — и всё равно ожидается, что обыватель теперь дважды подумает, куда отправиться за покупками и подарками к Рождеству. Результаты расследования могут ещё усугубить её положение.

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*