Хакеры получили доступ к счетам миллионов

[SnoopDogg]

Американские хакеры получили доступ к 40 миллионам кредитных карт «Виза», «Мастеркард» и «Дискавери». Это крупнейший в истории взлом электронных платежных систем. Сейчас идет спешная проверка десятков тысяч счетов, объявленных в группе особого риска. Подробности сообщает корреспондент НТВ Андрей Аскоченский.

 

Нет в мире такого места, где ваши личные данные были бы в безопасности. К такому неутешительному выводу приходит Лили Кони, специалист по защите информации. Проникнув в базу данных одной-единственной фирмы «Карт систем солюшнс», обслуживающей операции по карточкам, неизвестным хакеры получили доступ к деньгам более 40 миллионов американцев. Это более одной десятой населения США.

 

Для взлома электронной системы, которая, несомненно, должна охраняться так же тщательно, как ядерные объекты, понадобился всего лишь один специальный вирус. Как стало известно в субботу, украли данные почти по 14 миллионам карточек «Мастеркард», 22 миллионам карт «Виза» и не установленному пока количеству карт системы «Дискавери».

 

Взлом был осуществлен еще в прошлом году. Но лишь в конце мая об этом узнали в «Карт систем солюшнс».

 

Линда Форд, представитель компании по обслуживанию пластиковых карт: «Мы пригласили для расследования независимых судебных экспертов. Они, кстати, тоже пользуются „Мастеркард“. Они должны здесь все проверить и установить причину утечки данных».

 

ФБР, подключившееся к расследованию, немедленно засекретило информацию о случившемся, но «Мастеркард» нарушил запрет. 68 тысяч пользователей получили указание срочно проверить состояние своих счетов. Судя по всему, начались проблемы.

 

Какого рода информацию похитили злоумышленники, неизвестно, однако одного лишь номера карты и даты окончания срока действия достаточно, чтобы разорить владельца, скажем, заказами через Интернет, сделанными от его имени.

 

Если же предположить, что хакеру стал известен ПИН-код, достаточно сделать копию карты, подойти к ближайшему банкомату и опустошить счет за несколько минут.

 

 

http://www.ntv.ru/news

[Ruler]

Реальная сказка?

[Nem Ratasaev]

да только это были русские хакеры

[mr.Faster]

слово "русский" на западе - синоним ругательства

постоянно косишь под америкосов и чехов

[mr.Faster]

вот подробно

http://lenta.ru/articles/2005/06/22/data/

Информационное ограбление века

Высокотехнологичным злоумышленникам пригодится любая личная информация

 

В конце минувшей недели известная компания MasterCard, управляющая одноименной платежной системой, сообщила о событии, которое можно назвать самым крупным преступлением в сфере информационных технологий в нынешнем недолгом пока веке. Компания распространила заявление, в котором указала, что один из ее партнеров - карточный оператор CardSystems Solutions из Атланты - стал объектом хакерского взлома, в результате которого высокотехнологичные злоумышленники получили доступ к 40 миллионам единиц данных о платежных реквизитах различных держателей банковских карт.

CardSystems Solutions занимается внедрением различного рода карточных технологий для клиентов в США, через нее также проходят некоторые платежи, совершаемые участниками платежных систем, с которыми работает эта компания. Следует отметить, что в их числе не только MasterCard, но и более популярная Visa, а также другие системы, например, American Express. Однако панику подняла именно MasterCard, которая насчитала среди искомых 40 миллионов примерно 68 тысяч держателей своих карт.

 

В CardSystems заявлению MasterCard немало удивились, ведь впервые "проблема безопасности" в информационных системах этой фирмы была официально выявлена еще в конце мая, после чего компания обратилась в ФБР, где приказали информацию огласке не предавать. По всей видимости, в курс была поставлена и Visa, и другие компании этого профиля, но все они сохраняли молчание и до сих пор не сказали ничего внятного на эту тему, а число затронутых проблемой клиентов Visa может быть побольше, чем у MasterCard.

 

Благо выбор богат - 40 миллионов реквизитов. Исполнительный директор CardSystems Джон Перри позже пояснил, что это число реквизитов, которые могли быть украдены потенциально. Однозначно украденными можно назвать примерно 200 тысяч из них, пояснил он. При этом он признался, что, вообще-то, компания не должна была хранить данную информацию - каждую запись положено стирать после завершения связанных с ней операций. Однако, как сообщил Перри, "в экспериментальных целях" (надо было выяснить причину возникновения каких-то ошибок) компания не только ее хранила, но хранила "неподобающим образом" - "в файлах". Вероятно, Перри имел в виду то, что заветные цифры и буквы были не записями в некой особой базе данных, а просто хранились в виде списков в простых файлах (например, текстовых), да еще и наверняка в незашифрованном виде. То есть хакерам, получившим над нужной компьютерной системой несанкционированный контроль, оставалось только открыть файл и прочитать, что там написано, при желании скопировав данные себе. Они и скопировали.

 

 

Графика с сайта CardSystems.com

 

 

То, что утечка является результатом действий хакеров, сомнений ни у кого не вызывает, потому что в сообщениях о происшествии фигурирует "программный модуль", который был внедрен в систему для получения доступа к содержащимся в ней данным. Проще говоря, это "троян" - "шпион", внедренный в некий компьютер и дающий возможность делать с ним что угодно руками хакера, сидящего где-то в таинственном месте и отдающего "трояну" команды. Чтобы подсадить "трояна", нужно либо каким-либо способом заставить человека, имеющего доступ к нужной машине, установить его, либо удаленно взломать операционную систему одним из многочисленных известных способов, которые не должны сработать, если администратор системы достаточно квалифицирован и знает, какие защитные меры надо принимать. Впрочем, можно и просто договриться с каким-либо сотрудником, чтобы он скопировал нужные данные и передал их злоумышленникам.

 

Сейчас в Израиле вовсю гремит громкий скандал по делу четырех местных фирм, которые при посредничестве детективных агентств внедрили "троянов" на компьютеры своих конкурентов и оказались таким образом осведомлены о многих внутренних аспектах их деятельности, в том числе о финансовых результатах. "Трояны" были подсунуты конкурентам вместе с презентационными компакт-дисками, которые сотрудники, как ни в чём не бывало, вставляли в компьютеры и запускали - им демонстрировались рекламные ролики, а "трояны" в это время тихо размещались на жестких дисках компьютеров-жертв. Какая методика была применена в случае с CardSystems, непонятно, но явно можно говорить о том, что файлы с критичными данными оказались у хакеров как на ладони.

 

 

Как снежный ком

Самое занятное в этой ситуации то, что откровение MasterCard стало очередным (и самым серьезным) из серии аналогичных. Целый ворох сообщений о "пропаже персональных данных" из американских фирм был привнесен в мировое информационное пространство за последние полгода, причем масштабы и обстоятельства происшествий в ряде случаев поистине впечатляющие. Пропадают не только банковские и платежные реквизиты, но и различного рода паспортные данные, номера социального страхования, данные о водительских правах и прочая подобная информация, огромные массы которой хранятся в базах данных уполномоченных на всякого рода юридическую и финансовую деятельность фирм. Информация эта применяется для множества разных задач, связанных с множеством форм документооборота и платежных транзакций.

 

В начале июня о пропаже персональной информации о 3,9 миллионов своих клиентов оповестила мир крупнейшая мировая банковская группа Citigroup. Причем в ее случае ситуация приняла совсем комичный оборот - бесценные данные (номера соцстрахования, история счетов, данные о займах, причем не только нынешних клиентов, но и людей, бывших клиентами в прошлом) были записаны на магнитные ленточные бобины (такие применяются для резервирования больших объемов цифровых данных, устройства для работы с ними называется "стримерами") и отправлены "на аудит" из Нью-Йорка в Техас популярной службой доставки UPS (United Parcel Service), которая эти бобины... потеряла по дороге.

 

 

Магнитные бобины для резервирования данных, фото с сайта geog.ucsb.edu

 

 

Исполнительный вице-президент Citigroup Кевин Кессинджер пообещал, что в будущем подобные сведения будут передаваться "только по сетям" и только "электронным способом в зашифрованном виде". Из чего можно сделать вывод, что конфиденциальные сведения крупнейшая и авторитетнейшая американская финансовая группа передавала не просто в виде почтовой посылки, но еще и в виде тех же никак не защищенных "файлов", что в наш век изощреннейших криптографических решений выглядит совсем несуразно.

 

Случай с Citigroup признавался самым масштабным до случая с CardSystems. Самым масштабным из богатого набора других: в феврале об утрате данных о 1,2 миллиона клиентов сообщил крупный банк Bank of America, который тоже потерял бобины; в апреле 180 тысяч реквизитов платежных карт потеряло американское отделение банка HSBC; в мае стало известно об утечке информации о 600 тысячах настоящих и бывших сотрудников небезызвестного медиахолдинга Time Warner, в который входят CNN, AOL, Warner Brothers и другие; и так далее.

 

В марте, в частности, была предана огласке информация об утечке данных о 310 тысячах американских граждан из базы данных консалтинговой компании Seisint, которая в минувшем августе была выкуплена американской юридической компанией LexisNexis, которая, в свою очередь, входит в англо-голландский издательский холдинг Reed Elsevier. Собственно, при передаче дел от старых владельцев к новым и было выявлено, что "с января 2003 года в базы данных Seisint около 60 раз проникали неизвестные лица, пользуясь идентификационными данными клиентов компании".

 

Всевозможные данные на простых американцев имелись в распоряжении Seisint согласно специфике ее деятельности - действуя по соответствующей лицензии, она может использовать их в работе, в том числе продавать уполномоченным на такие покупки структурам. В частности, компания сотрудничает с проектом правительства США "Matrix", который был создан в рамках усиленно проводимых властями страны с 2001 года антитеррористических мероприятий и располагает базой личных данных о миллионах граждан США.

 

В феврале аналогичная утечка была обнаружена также в компании ChoicePoint, которая является конкурентом Seisint. У нее были похищены личные данные около 145 тысяч жителей США, в основном, штата Калифорния. Объявлено об инциденте также было "задним числом" - компания скромно призналась, что за минувшую осень с ней успела поработать некая аккредитованная фирма, которая, согласно заключенным договорам, получала доступ к той самой информации, а теперь в полицию обращаются пострадавшие от махинаций клиенты, данные которых были как раз скопированы той фирмой, но к настоящему моменту ее следов никак не удается найти. 

Сайт ChoicePoint.com

 

 

 

Именно люди, пострадавшие в результате махинаций, совершенных с использованием их идентификационных или финансовых данных, и являются, как правило, первоисточниками сообщений о подобных инцидентах. Они обращаются в полицию, полиция начинает следствие, которое немедленно приводит ее в ту или иную консалтинговую или финансовую структуру. У которой, как на беду, как раз были подозрения, что кто-то у них что-то украл, но уверены они в этом не были. А тут как раз лишний повод для уверенности. Но придется известить о случившемся публику, тут уж никуда не деться.

 

Занятно и то, что публика поначалу удивлялась. После случая с ChoicePoint "попавших под раздачу" жителей Калифорнии через СМИ предупредили, что их персональные данные "скомпрометированы". "Какие это персональные данные? - зазвучали после этого голоса простых жителей Калифорнии, - Я вообще не знаю никакой компании ChoicePoint, и не давал ей никаких персональных данных!"

 

 

Персональные данные

Теоретически, "персональные данные" не являются страшным секретом - каждый из нас, например, некто Петров Сидор Иванович, может сообщить кому-либо серию и номер своего паспорта, и ничего особенно страшного, вроде, случиться после этого не должно. Однако существует небольшая вероятность, что в какой-то момент владельца паспорта потревожат правоохранительные органы и скажут, что месяц назад группа злоумышленников организовала некую подставную фирму, с помощью которой украла у неких структур некую крупную сумму, а зарегистрирована эта фирма была на Петрова Сидора Ивановича, паспорт серии такой-то, номер такой-то. При регистрации фирмы паспорта злоумышленники не предъявили, пообещали потом предъявить, а серия и номер с фамилией "в базе совпали", и фирму зарегистрировали.

 

Это пример гипотетический, он строится на определенном допущении, но именно на подобных допущениях, неизбежных для любой сложной системы, и строится весь огромный подпольный бизнес, связанный с информационными махинациями. Как пишет в недавнем обзоре методов такого бизнеса газета New York Times, на ряде интернет-сайтов идет бойкая торговля всякими пакетами номеров документов, юридических адресов и контактных координат. Используя эти данные можно, например, при желании совершать мошеннические действия от чужого имени. Например, регистрировать фирмы, подобный той, что втерлась в доверие к ChoicePoint. А дело, собственно, Seisint началось с того, что одному из клиентов на его домашний адрес стали приходить бумаги относительно сделок, которых он никогда не совершал. 

Изображение с сайта ssa.gov

 

 

 

Отдельный разговор - банковские реквизиты. Теоретически, механизмы транзакций защищены, снять деньги с банковской карты можно только зная ее PIN-код. Однако ряд операций, главным образом, не с простыми картами, а с кредитными, можно совершать "в кредит", когда в банк-эмитент карты отправляется запрос о наличии требуемой суммы на счете, а непосредственно платеж совершается позже. Если с помощью различных известных хакерам технологий подделать карту, "привязав" ее к чужому счету, можно попытаться совершить с ее помощью покупку и быстро скрыться, пока подлог не будет обнаружен, а "пострадавший" счет - заблокирован, что вызовет неизбежные проблемы для его владельца.

 

Мошеннические схемы подразумевают многочисленные погрешности и допущения, и чтобы практически применить те или иные реквизиты, с ними нужно долго возиться, иметь большой выбор, "отсеивать" подходящие и проверять их на пригодность, а также постоянно рисковать. Поэтому высокотехнологичные преступники делят роли между собой, благо американский рынок криминальной информации, про сообщению той же New York Times, которая ссылается на осведомленных экспертов, очень богат и обширен. Одни эту информацию крадут, продают ее, другие обрабатывают, перепродают (особо ценится, в частности, информация о счетах с прилагающимися суммами остатков), применяют на практике. Координацию своих действий мошенники осуществляют через Интернет на специальных сайтах, которые часто физически располагаются на территории бывшего СССР и, как сетуют американские эксперты, в силу этого труднодоступны для полиции.

 

Самая легкая работа у так называемых "фишеров" - они, как известно, создают сайты, сильно похожие на сайты платежных систем и заманивают на них клиентов этих систем с помощью спама (дескать, мы забыли ваш PIN, напомните нам его). Обманутый клиент пытается "войти в систему", получает сообщение с благодарностями, а злоумышленники немедленно переводят все деньги с его счета куда-нибудь себе. Подделка и программирование платежного сайта - это специальный подпольный бизнес, рассылка спама - это специальный подпольный бизнес, перепрограммирование краденых банковских карточек и изготовление фальшивых - специальный подпольный бизнес, поиск "пустых" почтовых адресов, куда могут быть доставлены купленные с помощью фальшивых транзакций товары - это тоже специальный подпольный бизнес. У экспертов нет никаких сомнений в том, что данные о пресловутых картах, украденных из CardSystems Solutions, вскоре на черном рынке будут широко представлены.

 

Главнй совет экспертов "простым клиентам" - быть бдительными. Если номер карты украли из базы данных банка и вам стали приходить извещения о чужих покупках на ваше имя, ответственность будет нести банк, но вам придется немного побегать, восстанавливая работоспособность счета после того, как факт мошенничества будет обнаружен (а это может занять произвольное количество времени). Если же вы каким-либо образом сами выдали PIN злоумышленнику, все расходы будете нести лично вы. В связи с этим необходимо помнить: платежные организации никогда не присылают клиентам по почте просьбы напомнить им PIN-коды. 

Изображение с сайта crimeprevention.rutgers.edu

 

 

 

 

Застой в умах

В целом понятно, что серия массовых пропаж персональных реквизитов, о которых стало известно лишь в последние полгода, на самом деле является следствием чрезмерного насыщения "черного рынка" - мошенники, видимо, потеряли чувство меры и стали воровать миллионами. Вероятно, преступники "копировали" информацию долгие годы, со времени массового внедрения электронных платежных и юридических систем, но это либо оставалось незамеченным из-за технической небрежности или плохой компетентности администраторов баз данных в компаниях, либо возникавшие по фактам отдельные дела в достаточно громкие события до определенного времени не выливались.

 

Вполне очевидно, что в компаниях, ответственных за хранение конфиденциальных данных, все эти годы царил бюрократический бардак: данные о клиентах со времени внедрения компьютерных технологий их обработки накапливались в базах, базы росли, с ними обращались как придется, зачастую не замечая проникающих туда хакеров, или подчас даже не думая о такой возможности. Хакеры, в соответствии с законами развития современного общества, поняли свои возможные выгоды раньше, чем полицейские и чиновники, и только сейчас выгода хакеров стала понятна им и ответственным за клиентскую информацию корпоративным сотрудникам, но дело уже приняло довольно серьезный оборот.

 

Теперь провинившиеся структуры в один голос обещают усилить контроль, принять жесткие меры и никогда более не отправлять информацию в незашифрованных бобинах почтой. Но одновременно с этой задачей перед ними теперь стоит задача "разгрести" последствия и покрыть убытки, которые могут оказаться весьма объемными.

 

Сергей Рублёв

то то у меня с карты 2 раза сумма списалась

[Iriska]

ну что сказать молодцы!!!!!!

[Ruler]

Млин, как глупо лаве крадут... обзавидовать можно

[Онотолег]

за хакеров рад! малодцы ребята! за владельцев карт - .......ну что поделаешь! Я деньгу предпочитаю налом иметь, держать и копить (что не всегда получается!)

[mr.Faster]

во истину русские - нация воров. чему вы так рады?

то что "русские" еще раз прозвучали нарицательным отрицательным смыслом?

[Iriska]

ну и что здесь такого?

[mr.Faster]

Iriska

заведи себе карт парочку - Виза и Мастер

а потом какие то уроды спишут твой заработок за полгода

твоя реакция- ?

[Онотолег]

mr.Faster

во истину русские - нация воров. чему вы так рады?

то что "русские" еще раз прозвучали нарицательным отрицательным смыслом?

а это вроде когда в Испании взяли воров в законе - ГРУЗИНЫ все как один....а в прессе кричат - РУССКАЯ МАФИЯ!!!!....даю 100%, все хакеры евреи....но живут в России....следовательно - тоже русские!!!! Вот изза вот таких грузинских и еврейских гадов и идёт слава недобрая про всю Россию и про русский народ.....а он просто работает....

[Himeras]

причём - что интересно. полгода уже в сети торгуют пинами от карт.

а кражу заметили только шта.

это как?

[mr.Faster]

пинами в сети торгуют с момента появления кредитных карт

[Leight]

это фигня, при мне подруга в банкомате 50000 получила(снимала 500 р) ни че не взламывая... я следующий в очереди был... облом

[Флэйм]

ROCK

А русские просто по мелочам дома тащат - там детальку, тут хреновинку.... Какая уж тут мафия

[Himeras]

mr.Faster, имеецца ввиду - именно теми тыренными пинами. которые потом, оказываецца "украла американская мафия", а через две недели - уже "русская мафия".

[noname]

все что крадут с карт, застраховано в банках и платежных системах, нечего тут панику поднимать, притом щаз ужесточились системы защиты, от смс оповещения, до прозвона банка и холдера банком

 

то что снимают продавцы карт с пинами и дампами, это все бывает застраховано у банка и на это уходит не более 10% от прибыли, холдеры тут вообще не страдают, если есть доказательства, что не он сам снимал деньги и заказывал что то с карты, на западе так, а у нас вот незнаю, да и насколько знаю, у русских особо не воруют, ибо нечего воровать

[люк]

Где же Вы,толковые ребята???? Что может быть приятнее,сидя дома,на одной клаве подняться!!! Жду толковых предложений! Жаль что сам лох педальный в компе! Иначе давно бы ....................

[Онотолег]

Флэйм

А русские просто по мелочам дома тащат - там детальку, тут хреновинку....

и потом из этих деталек и хреновинок ТАААКИЕ штуковины дома делают.....на хрена нам мафия?....пусть итальяшки, грузины и евреи балуются....

[Флэйм]

ROCK

Завидую Вам - во всем видеть только положительное. А нет, все положительное только у русских, все остальные - плохиши, у них все только сугубо отрицательное.

[Онотолег]

Флэйм

видеть во всём только положительное - это называется ОПТИМИЗМ, я оптимист, и мне это нравится

у всех остальных я тоже вижу положительное.....я ничего не имею против грузинского гостеприимства, шашлыка и вина, против итальянского солнца, Папы Римского и иже с ним, против евреев которые построили преуспевающую страну в пустыне и живут там несмотря на все препоны арабов...

но я просто иногда вижу и отрицательное....в том числе и у русских....

[Smile]

разорить владельца, скажем, заказами через Интернет, сделанными от его имени.

бред какой-то...

а что можно оплачивать в инете таким образом что-то? без пинов? как в постерминале штоли? =)))

Если же предположить, что хакеру стал известен ПИН-код, достаточно сделать копию карты, подойти к ближайшему банкомату и опустошить счет за несколько минут.

и это тоже бред

ну, снимут с нескольких карт, остальные заблокирует процессинг максимум в течении нескольких минут

а придурков поймают...

а вот по мелочи снимать с разных карт - это другое дело

 

другой вопрос, что той же самой компании пипец после такой рекламы

а такие массштабные кидалова врядли прокатят, а клиентам деньги вернут все равно либо добровольно, либо в судебном порядке =))

[mr.Faster]

Smile

а что можно оплачивать в инете таким образом что-то? без пинов? как в постерминале штоли? =)))

все что угодно.

код CVV2 - инетный эквивалент пина

ест-но такая карта дороже чем обычная дебетовка

[Smile]

mr.Faster

странно

где бы я не заказывал и не оплачивал эти несчастыне три цифры на обороте используются для предварительной идентификации вместе с номером карты и датой окончания срока действия

но после этого полюбому идет пин

да, у меня обыкновенная дебетовка, хоть и голдовский мастеркард

есть и простая не голдовская виза электрон

но везде одинаково

а что за карты такие???

ест-но такая карта дороже чем обычная дебетовка

типа инфинити штоли? =))))))))))))

че то сомневаюсь, что владельцы таких карт будут спокойно к такому относиться =))

я знаю, что с моих карт никуда ничего не уйдет, пока кто-то не узнает пин

мало того, я помню их номера и номер телефона процессинга, по которому я могу в любое время суток их заблокировать минимум на сутки