আইডি চুরি রিং আক্রমণকারী একাধিক স্তরে খুচরা বিক্রেতা আক্রমণ

সনাক্তকরণ চোরের একটি আংটি যেটি যুক্তরাষ্ট্রের খুচরা বিক্রেতাদের লক্ষ্য ছিল আদালতের নথি অনুযায়ী TJX, OfficeMax, বার্নস ও নোবল এবং অন্যান্য কোম্পানির 40 মিলিয়নের বেশি ক্রেডিট এবং ডেবিট কার্ড নম্বর চুরি করার জন্য অত্যাধুনিক এবং বহুবিধ হামলাগুলি ব্যবহার করা।

আক্রমণের খরচ খুচরা বিক্রেতা এবং ক্রেডিট কার্ড সংস্থা মিলিয়ন মিলিয়ন ডলার।

আইডি চুরি ষড়যন্ত্রের সদস্যরা বিক্রেতাদের কৌশলগুলি ব্যবহার করে খুচরা দোকানে দ্বারা পরিচালিত বেতার নেটওয়ার্কগুলিতে গর্ত খুজে বের করে। এক্ষেত্রে নেটওয়ার্কগুলির ভিতরে একবার, চোররা ক্রেত কার্ডের লেনদেনের তথ্য সংগ্রহ করে এবং ক্রেতাদের নেটওয়ার্কে সংরক্ষিত হয়, আদালতের নথি অনুযায়ী।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

চোরেরা যাতে ইনস্টল করেছে ক্রেডিট কার্ডের ডেটাবেস অ্যাক্সেস লাভের জন্য পাসওয়ার্ড এবং অ্যাকাউন্টের তথ্য ক্যাপচার করা স্নিফার সফটওয়্যার এবং এসটিএল ইনজেকশন আক্রমণগুলি সহ ইন্টারনেট-ভিত্তিক হামলাগুলি ব্যবহার করে।

আইডি চুরি গ্রুপ আটককৃত ক্রেডিট কার্ড নম্বর সংরক্ষণ করে আদালতের নথি অনুযায়ী, যুক্তরাষ্ট্র, লাতভিয়া এবং ইউক্রেনের মধ্যে আপোস সার্ভারে। চার্জাররা সেই সার্ভারগুলিতে ক্রেডিট কার্ডের সংখ্যা এনক্রিপ্ট করে, আইডি চুরির চক্রান্তকারী আলেফ্ট গঞ্জালেজের দায়ের দোষীকৃত দায়ের অনুযায়ী।

মিয়ামির গঞ্জালিজ, মার্কিন যুক্তরাষ্ট্রে ম্যাসাচুসেট্স জেলার জেলা আদালতের কাছে মঙ্গলবার দোষী সাব্যস্ত হয়। কম্পিউটার জালিয়াতির অভিযোগ, ওয়্যার জালিয়াতি, অ্যাক্সেস ডিভাইসের জালিয়াতি, বর্ধিত পরিচয় চুরি এবং ষড়যন্ত্র। মার্কিন যুক্তরাষ্ট্রে বিচার বিভাগের ইতিহাসে সবচেয়ে বড় আইডি চুরি এবং কম্পিউটার হ্যাকিং তদন্ত বলে গণ্য হওয়া অপরাধীর বিরুদ্ধে আরো দশজন প্রতিবাদীকে অভিযুক্ত করা হয়েছে বা অভিযোগ করা হয়েছে, DOJ মঙ্গলবার ঘোষণা করেছে।

গঞ্জালিজের জন্য দোষী প্রমাণপত্র, যিনি কাজ করছিলেন ইউএস সিক্রেট সার্ভিসের একটি তথ্যপ্রযুক্তি হিসাবে এই পরিকল্পনায় জড়িত থাকার সময় আইডি চুরি অপারেশনটির কিছুটা আলো ছড়িয়ে পড়ে। চোরেরা কলের কার্ডগুলিতে ক্রেডিট কার্ডের তথ্য এনকোড করতে সক্ষম হয়েছিল যা একক ভিজিটে নগদ মেশিন থেকে হাজার হাজার ডলারের জন্য ব্যবহার করা হতো, কোর্ট নথিতে বলা হয়েছে।

কোর্ট নথিতে বিস্তারিত বিবরণ রয়েছে:

- - প্রায় ২003 সালে, গঞ্জালোজ এবং অন্যরা বি.জে. এর পাইকারি ক্লাবের দোকানের একটি আননেক্রিপ্টেড ওয়্যারলেস অ্যাকসেস পয়েন্ট খুঁজে পেয়েছিল। ২004 এর শুরুতে বিজি এর কম্পিউটার নেটওয়ার্কের একটি লঙ্ঘন রিপোর্ট করেছে।

- 2004 সালে, আইডি চুরির অন্যান্য সদস্যরা মিয়ামির একটি অফিসে ম্যাক্স ওয়্যারলেস এক্সেস পয়েন্টের সাথে আপোস করেছিল এবং তারা ক্রেডিট কার্ডের তথ্য চুরি করতে সক্ষম হয়েছিল। 2006 সালে আইন প্রয়োগকারী কর্মকর্তাদের একটি ডেটা লঙ্ঘনের শিকার হিসাবে OfficeMax চিহ্নিত করার পরে, কোম্পানী একটি তদন্ত পরিচালনার জন্য একটি বাইরের অডিটর ভাড়া এবং একটি নিরাপত্তা লঙ্ঘন কোন প্রমাণ পাওয়া যায় বলে বলেন। একটি OfficeMax মুখপাত্র অবিলম্বে একটি মন্তব্য চাওয়া বার্তা ফেরত না।

- জুলাই, সেপ্টেম্বর এবং নভেম্বর 2005 সালে, অভিযুক্ত আইডি চুরি রিং সদস্য ক্রিস্টোফার স্কট মিয়ামি মধ্যে Marshalls ডিপার্টমেন্ট গল্প এ TJX দ্বারা পরিচালিত দুটি ওয়্যারলেস অ্যাক্সেস পয়েন্ট আপোস। স্কট ফ্রিকিংহ্যাম, ম্যাসাচুসেটসে ক্রেডিট কার্ডের তথ্য সংরক্ষণের TJX এর সার্ভারগুলিতে বার বার কম্পিউটারের প্রেরণ করার জন্য স্কট ব্যবহার করেন। TJX, যা TJ Maxx, HomeGoods এবং অন্যান্য খুচরো কারেন্টের মালিকানাধীন, জানুয়ারী 2007 সালে ডেটা ভঙ্গের রিপোর্ট করেছে।

সাইবারসিকিউটিভ বিশেষজ্ঞরা বলছেন যে এইসব হামলার শিকাররা শিকারের বিষয়ে উদ্বিগ্ন হতে পারে। ব্যক্তিগত তথ্য সংরক্ষণকারী সংস্থার তথ্য নিরাপত্তা সংক্রান্ত একটি সমন্বিত পদ্ধতির প্রয়োজন, যেমন ক্রেডিট কার্ডের ডেটাবেস এনক্রিপশন, তাদের নেটওয়ার্কে সন্দেহজনক আচরণের বিজ্ঞপ্তি এবং ডেটা অ্যাক্সেস করতে পারে এমন সীমাবদ্ধতাগুলি সহ নিরাপত্তা বিশেষজ্ঞরা বলেন।

কোম্পানিগুলি সফ্টওয়্যার প্যাচগুলি ইনস্টল করতে হবে দ্রুত এবং নিশ্চিত করুন যে তারা সংবেদনশীল তথ্য তাদের নেটওয়ার্কের উপর অবস্থিত হয়, টেড জুলিয়ান, কম্পিউটার নিরাপত্তা বিক্রেতা অ্যাপ্লিকেশন নিরাপত্তা জন্য কৌশল এবং মার্কেটিং এর ভাইস প্রেসিডেন্ট যোগ যোগ আইটি কর্মী টনিওভার এবং অন্যান্য কারণের কারণে অনেক কোম্পানি তাদের সব সংবেদনশীল তথ্য সংরক্ষণ করে না জানি।

কোম্পানিগুলি তাদের ঝুঁকি বিশ্লেষণ করতে এবং সমস্যা সমাধানের জন্য একটি লক্ষ্যপূর্ণ পদক্ষেপ নিতে হবে, বলেন স্যাম কারি, সাইবার সিকিউরিটি বিক্রেতার RSA এ পণ্য পরিচালনার সহসভাপতি।

সাম্প্রতিক বছরগুলিতে আরো সংগঠিত, লক্ষ্যযুক্ত অভিযানের সাথে পরিবর্তন ঘটেছে, জুলিয়ান বলেন। "হ্যাকাররা আরো বেশি মনোযোগী, এবং তারা 38 দরজা চেষ্টা করবে, তারা 100 দরজা চেষ্টা করবো," তিনি বলেন। "যত তাড়াতাড়ি তারা আনলক যে খুঁজে পাওয়া যায়, তারা ডাটাবেস তাদের পথে করছি। আমি জানি না যে [আইটি] অনেক মানুষ তাদের বাজেটে নতুন নিরাপত্তা ব্যবস্থা একটি গুচ্ছ প্রবর্তন করতে $ 10 মিলিয়ন হচ্ছে "

" আরেকটি সাইবারসিকিউরিটি বিক্রেতার সোফোসের জ্যেষ্ঠ প্রযুক্তি পরামর্শক গ্রাহাম ক্লুলি বলেন, "যেসব তথ্য তারা সঞ্চয় করে, তাদের তথ্য দরকার এবং কতক্ষণ তারা তথ্য রাখে" কোম্পানিগুলি পরীক্ষা করতে হবে।

কোম্পানিগুলি দীর্ঘস্থায়ী ঘাঁটিগুলির উপর নজর রাখে এবং না তাদের নেটওয়ার্কের ভিতরে তথ্য রক্ষা করার জন্য, কারি বলেন। খুচরা বিক্রেতাদের এবং অন্যান্য কোম্পানিকে "জেগে ওঠা এবং এই হুমকিগুলি গুরুত্ব সহকারে নিতে" দরকার। "খারাপ লোকের জন্য খরচ করা তাদের জন্য এটি অত্যন্ত উচ্চ।"

অভিযুক্তদের মঙ্গলবার ঘোষণা করা হয়েছে সাইবার সিকিউরিটি সম্পর্কে সচেতনতা বাড়াতে পারে, কার যোগ করা হয়েছে। এবং কিছু উচ্চ প্রফাইল অভিযুক্ত অপরাধীদের একটি প্রতিবন্ধক হিসেবে কাজ করতে পারে।

কিন্তু কারি এবং ক্ল্লি খুচরো বিক্রেতাদের সিস্টেমের সাথে আপোস ছিল এ আঙ্গুলের পয়েন্ট প্রত্যাখ্যান। ক্লুলে বলেন, "কোম্পানিগুলির গ্রাহকদের নিরাপত্তা প্রথা উন্নত করার জন্য তাদের উপর চাপ প্রয়োগ করার প্রয়োজন হয়, কোম্পানিগুলোও ক্ষতিগ্রস্ত হয়, ক্লুলে বলেন।

" কোম্পানিগুলিকে আরও বেশি মারধোর করা ভুল হবে, "ক্লুলে বলেন। "প্রতিযোগিতামূলক সংস্থাগুলোকে খুব হাস্যোজ্জ্বল বোধ করা উচিত নয়, কারণ তাদের মধ্যে কতজন তাদের হৃদয়কে হাত দিচ্ছে এবং বলবে, 'এটা আমাদের প্রতিষ্ঠানের ভিতর কখনো ঘটতে পারে না?'"

মার্কিন ফেডারেল ট্রেড কমিশন যদিও অভিযোগ দায়ের করেছে টিজেক্স, বিজে'র পাইকারি ও ডিএসডব্লিউ, আইডি চুরির রিং দ্বারা চিহ্নিত একটি জুতা খুচরা শৃঙ্খলের বিরুদ্ধে, যা ২005 সালের মার্চ মাসে একটি ডেটা লঙ্ঘনের রিপোর্ট করেছিল। ডিএসডব্লিউ রিপোর্ট করেছে যে 1.4 মিলিয়নের বেশি ক্রেডিট কার্ডের সংখ্যা আপোস করা হয়েছে এবং $ 6.5 মিলিয়ন থেকে 9.5 মিলিয়ন মার্কিন ডলার ।

২005 সালের মাঝামাঝি হিসাবে, বি.জে. ডেটা লঙ্ঘনের সাথে জড়িত 13 মিলিয়ন ডলারের অসামান্য দাবি জানায়। এফটিসি জানায়, প্রায় 455,000 ক্রেডিট কার্ড নম্বর টিজেক্স ভঙ্গের মধ্যে নেওয়া হয়েছিল।

এফটিসি অভিযোগ করে যে তিনটি খুচরো বিক্রেতা এই হামলার বিরুদ্ধে সুরক্ষার জন্য যথাযথ নিরাপত্তা ব্যবস্থা গ্রহণ করেনি।

এফটিসি বিজি এর সাথে একটি নিষ্পত্তি ২005 সালের জুন মাসে কোম্পানিকে একটি সর্বমোট তথ্য-নিরাপত্তা প্রোগ্রাম বাস্তবায়ন এবং ২0 বছরের জন্য একটি স্বাধীন তৃতীয় পক্ষের নিরাপত্তা পেশাদার দ্বারা অডিট করার জন্য প্রতি বছর প্রয়োজন। ২005 সালের ডিসেম্বরে এবং এই বছরের মার্চে টিজেএক্সের সাথে DSW এর সাথে একটি অনুরূপ বসতি ঘোষণা করে।

ডিটিজে দ্বারা ডেটা লঙ্ঘনের শিকার হিসাবে চিহ্নিত ছয় অন্যান্য সংস্থার বিরুদ্ধে FTC অভিযোগ দায়ের করেনি। যারা কোম্পানিগুলি ডেভ এবং বাস্টার, অফিস ম্যাক্স, বার্নস অ্যান্ড নোবল, বস্টন মার্কেট, স্পোর্টস অথরিটি এবং চিরকালের জন্য 21. একজন এফটিসি কর্মকর্তা বলেছেন যে তিনি তাদের বিরুদ্ধে সম্ভাব্য অভিযোগের বিষয়ে মন্তব্য করতে পারেননি কারণ FTC চলমান অনুসন্ধানের উপর মন্তব্য করে না।