Kilka tygodni temu amerykańska sieć handlowa Target przyznała się, że padła ofiarą ataku. Złodzieje zdołali pobrać dane 40 milionów kart płatniczych, którymi klienci detalisty płacili w placówkach w najgorętszym przedświątecznym okresie. Wkrótce okazało się, że łupem włamywaczy padły także zaszyfrowane numery PIN, a obrazy pasków magnetycznych kart można kupić na czarnym rynku.
W Stanach Zjednoczonych nie wdrożono dotąd standardu mikroprocesorowych kart płatniczych. Przestępcy, którym uda się zdobyć dane umieszczane na pasku magnetycznym karty, mogą stworzyć jej kopię i użyć jej do dokonywania zakupów. To jedna z głównych przyczyn, dla których USA stały się ulubionym miejscem działania oszustów. Łatwy do spieniężenia łup kusi przestępców komputerowych, a masowe wycieki danych kart stają się coraz częstsze.
Włamanie do sieci komputerowej sklepów Target nie jest wcale najgroźniejszym incydentem w historii kart płatniczych. Niechlubny rekord należy do amerykańskiego agenta rozliczeniowego Heartland, który w 2009 roku nieświadomie ujawnił dane 130 milionów plastików. Obrazy pasków magnetycznych kart szybko trafiają do specjalistycznych „sklepów internetowych”, gdzie paserzy rozprowadzają je wśród zainteresowanych klientów.
Banki kupują skradzione karty
Dane klientów sieci Target znalazły się w internecie już w kilka dni po włamaniu, jeszcze zanim detalista zdołał się zorientować, że padł ofiarą przestępstwa. Serwis rescator.la, jeden z czarnorynkowych targowisk danych kart płatniczych, stał się głównym punktem dystrybucji skradzionych danych. Sklep internetowy z obrazami pasków magnetycznych kart płatniczych zaopatrzony był nawet w zaawansowaną wyszukiwarkę, która pozwalała segregować dane według typu karty, organizacji płatniczej, marki (standardowa, złota, platynowa), wydawcy i kraju wydania. Za „zakupy” w takim sklepie płaci się za pomocą wirtualnych walut (bitcoin, litecoin) lub przekazów pieniężnych na okaziciela Western Union i MoneyGram.
Ceniony specjalista od bezpieczeństwa w sieci i bloger, Brian Krebs, na zlecenie jednego z banków dokonał zakupu u internetowego pasera. Cena jednej karty wahała się od ok. 20 dolarów do ponad 40. Bank kupił próbkę dwudziestu wydanych przez siebie kart, by sprawdzić, skąd wyciekły dane. Analiza skradzionych informacji nabytych na czarnym rynku pozwoliła zidentyfikować wspólny punkt – wszystkie z zakupionych kart zostały użyte w placówkach Target.
Paserzy coraz bardziej zaawansowani
W kolejnych tygodniach po włamaniu do sieci Target na czarny rynek zaczęły trafiać następne partie obrazów pasków magnetycznych kart płatniczych. Paserzy najwyżej wycenili prestiżowe plastiki (np. platynowe), które posiadają wysokie limity kredytowe oraz karty wydawane poza USA.
Co ciekawe, wśród danych towarzyszących paczkom danych wystawionych na sprzedaż pojawiły się także kody pocztowe sklepów, z których pochodziły skopiowane dane. Może to pozwolić złodziejom na użycie skopiowanej karty w okolicy miejsca zamieszkania ofiary. W ten sposób łatwiej będzie oszukać monitoring prowadzony przez banki-wydawców.
Sklep, w którym pojawiły się skradzione dane kart płatniczych został prawdopodobnie stworzony przez dwudziestokilkulatka zamieszkałego w Odessie. Serwis nie jest już dostępny w sieci, ale czarny rynek kart płatniczych kwitnie, a zdolni hakerzy zadbają zapewne o to, żeby nie zabrakło na nim w przyszłości świeżego „towaru”.