editorial
 z domova
 ze světa
 karty v číslech
 technologie
 bezpečnost
 marketing
 rozhovor
 ze společnosti
 profil země
 card academy
 pci dss
 profil společnosti
 exkluzívně
 podporujeme
 kalendář akcí
 téma
 film
 foto
 názor
 galerie reklamy
 23

 private


Bezpečnost

Případová studie zcizení dat u zpracovatele Heartland
Pokračování z čísla cardmag#4 / 2009

Před rokem, 20. ledna 2009, těsně před inauguračním projevem prezidenta Obamy, společnost Heartland Payment Services oznámila, že u ní došlo ke zcizení údajů o kartách. Následující vyšetřování ukázalo, že došlo k dosud největšímu zcizení dat, kdy instalací malware bylo kompromitováno na 130 mil. karet ve 673 institucích. Jak vypadá situace u postižených bank, kartových společností, zadrženého obviněného a náprava škod po roce? Došlo k posílení bezpečnosti? Zatím se řeší otázky náhrad škod finančním isntitucím a postiženým klientům na podkladě skutečně vzniklých a prokázaných škod. Skryté škody v poškození jména bank a platebních společností se budou odstraňovat dlouho.

Z podaných žalob bankovními institucemi na odškodnění proti společnosti Heartland vyplývá, že se ke krádeži dat podvodníci chystali již po určitou dobu. Ale podívejme se na průběh podrobněji.


2006: Listina práv obchodníků

Heartland vytvořil „Listinu práv obchodníků“, jako odvětvový standard pro poctivost, čestnost, a transparentnost zpracování platebních karet. Zdůrazňoval potřebu mít takového poskytovatele služeb, který nabízí odpovídající míru bezpečnosti. Žaloba tvrdí, že Heartland chtěl nejen získávat obchodníky, ale zejména ujistit nejširší veřejnost, že Heartland má nasazena příslušná bezpečnostní opatření.


2007, duben: Certifikace Heartlandu na shodu s PCI DSS standardem

Heartland ujišťoval finanční instituce, že jejich procesor je zabezpečen.

2007, prosinec: Počátek narušení
Již 26.12.2007 se neautorizované osoby pokusily napojit na počítačovou síť Heartlandu a získat přístup k důvěrným finančním datům ohledně asi 130 miliónům karet. VISA vydala varování ohledně „podezřelé aktivity týkající se účtů držitelů karet“ ponejprve v říjnu 2008, až téměř po roce. IT tým Heartlandu pak pracoval s forenzními experty z VISA, MC, American Express a Discover na propojení podezřelých transakcí se zpracovatelskou činností Heartlandu.


2008, listopad: „Nedostatečný“ standard PCI

Žaloba dále uvádí, že vedení Heartlandu dobře vědělo, že „pouhé minimum standardu PCI není dostatečnou ochranou před útokem důmyslných hackerů“. Vedení totiž uvedlo, že „jsme přesvědčeni, že je nanejvýš nutné se posunout na vyšší standard pro zpracování transakcí, který může být implementován bez čekání na změnu platební infrastruktury“.

2009, leden : Nález podezřelých souborů
Průnik byl proveden do aplikace „Passport“, která se používá na zpracování kreditních a debetních transakcí a odesílání plateb obchodníkům. Dne 12.1.2009 byly objeveny podezřelé soubory a 13.1.2009 byl odhalen malware, program, který ony soubory vytvořil. Po týdnu, dne 20.1.2009 byl celý problém zveřejněn s tím, že Heartland spolupracuje s tajnou službou.

2009, březen: Heartland byl vyňat ze seznamu prověřených zpracovatelů VISA

2009, duben : Heartland se znovu prostřednictví auditora certifikoval na shodu s PCI standardem

2009, květen : MasterCard uložil pokutu sponzorujícím bankám Heartlandu

K 30. červnu 2009 Heartland uvedl, že jej narušení dat stálo 32 mil. USD, z toho pokuta MC převýšila 6 mil USD.

2009, srpen : End-to-end šifrování
Heartland oznámil, že v současné době implementuje u svých obchodníků proces šifrování end-to-end (citlivé údaje se přenášejí šifrovány od terminálu až ke zpracovateli transakcí a dále do platební společnosti). Tento přístup by měl obchodníkům nabídnout „nejvyšší úroveň beta bezpečnosti na trhu“ (beta úroveň znamená úroveň danou systémem v ověřování).

2009, srpen: Hackeři obviněni
Ministerstvo spravedlnosti v New Jersey obžalovalo 3 jednotlivce, spojené s průnikem do databáze Heartlandu. Jedním z nich je Alber Gonzales, který se také podílel na případu krádeže dat u obchodního řetězce TJX. Další dvě osoby žijí v Rusku. Žaloba uvádí, že obvinění v období říjen 2006 až květen 2008 osnovali spiknutí za účelem proniknout do systému Heartlandu a zcizit čísla platebních karet. Jakmile čísla získali, rozdělili je do dávek vhodných k „velkoobchodní“ distribuci po internetu a nabídli je k prodeji.

Po proniknutí do systému typem útoku „SQL Injection“ (vložení instrukcí do dotazovacího jazyka), spiklenci instalovali program zachycující čísla karet v reálném čase tak jak byla zpracovávána v síti. Také umístili do narušeného systému malware, nazývané „zadní vrátka“, které jim umožňovalo pozdější opětovný přístup do sítě. Spiklenci dále zakryli narušení systému naprogramováním malware způsobem, který vylučoval jeho odhalení anti-virovým programem, a vymazáním počítačových souborů, které by jinak prozradily jejich neautorizovanou přítomnost v systému.

Následné kroky Heartlandu: „Kavalírský“ přístup
Heartland k tomu, co bylo později označeno jako „dosud největší krádeží dat“, zaujal kavalírský postoj, alespoň podle v tisku uveřejněných prohlášení: „Povaha narušení je taková, že pro podvodníky je zcela nemožné provádět transakce bez přítomnosti karty neboť víme zcela jistě, že nezískali jednu potřebnou informaci, a tou je adresa. V důsledku toho nelze očekávat, že by zloději provedli masivní podvodný útok na internetové obchodníky.“

Jako obecné varování plynoucí ze žaloby lze uvést jeden problém, který je Heartlandu vyčítán. Mnoho států má uzákoněno, že v případě krádeže dat musí bezprostředně informovat ohrožené spotřebitele, pokud jsou jejich finanční data kompromitována v důsledku napadení. Žaloba viní Heartland, že neučinil nic, aby individuelně informoval zákazníky (kromě informace na webových stránkách a v tisku) a přesunul tuto povinnost (a návazné podstatné výdaje) na finanční instituce, které musely absorbovat miliónové dolarové náklady na neautorizované platby, výdaje a ztráty.


Viník

Hecker Albet Gonzales, přiznal vinu na prolomení se do systémů Heartlandu, řetězce obchodů Hannahfor Brothers, řetězce 7-Eleven a dalších dvou národních obchodníků. Gonzales a další dva neidentifikovaní Rusové byli obviněni z krádeže dat o 130 miliónech držitelích karet od zpracovatele transakcí a dalších společností. Již dříve byli Gonzales a 10 dalších spolupachatelů obviněni z prolomení systému u zpracovatele TJX (45 mil. zcizených karet). Oba případy byly u soudu spojeny a Gonzales čelí trestu ve výši 15 až 25 let. Připomeňme, že Gonzales, 28 let, je potomek kubánských přistěhovalců, první počítač dostal v 8 letech, v 9 letech aktivně odstraňoval počítačové viry. Byl znám pod přezdívkami "segvec", "soupnazi" a "j4guar17". Na střední škole patřil k nepřizpůsobivým počítačovým maniakům. S přáteli se pomocí školního počítače naboural do vládního počítače v Indii, kde zanechali zprávu o své kultuře. Indie pak údajně musela zrušit vydání vládních šeků.

V případě zcizených dat u Heartlandu Gonzales kontroloval několik serverů tvořící hackerské platformy, a zpřístupňoval tyto servery dalším hackerům s vědomím, že je použijí pro vložení zlovolných programů („malicious“ software) a spuštění útoků proti firmám. Malware použité proti několika společnostem bylo nalezeno také na serveru, který kontroloval Gonzales. Gonzales malware testoval oproti více antivirovým programům, aby zjistil, zda nejsou jeho programy odhalitelné anti-virovými programy.

Oběti

Dosud Heartland zaplatil společnosti American Experess náhradu ve výši 3,6 mil. USD a nesl náklady na pokuty vyměřené sponzorujícím bankám společnostmi VISA a MasterCard ve výši 12,5 miliónů USD. V lednu 2010 Heartland oznámil, že na základě dohody s VISA Inc. zaplatí bankám vydávající debetní a kreditní VISA karty částku 60 mil. USD k úhradě ztrát. To je dosud největší náhrada za škodu způsobenou kompromitací dat, neboť za dřívější škodu v listopadu 2007 u obchodníka TJX (ve společnosti vlastnící diskontní řetězce včetně TJ Maxx and Marshalls) byla vyplacena náhrada 40,9 mil. USD. Výplata bude provedena za podmínky spoluúčasti vydavatelů VISA, neboť okamžitá náhrada napomůže snížit ztráty vydavatelům. Na druhé straně se vydavatelé i VISA mají zříci právní a finanční odpovědnosti a nároku na další odškodnění. Pro Heartland to je skutečně velmi dobrý výsledek, protože dohoda jej chrání před nekonečnými právními spory a náhradou skutečné škody (která v menším případě TJX dosáhla více než 139 mil. USD). Dohoda naznačuje, že se všichni poučili z případu TJX, jsou zkušenější a uvědomují si, že je lepší přátelská rychlá dohoda než vleklé právní spory. Na druhou stranu podvodníci získali více než 50 mil. USD, což je závratná suma na to, že byla získána pomocí jednoduchých chytrých prográmků.

Případ však není uzavřen, banky musí s odškodněním vyjádřit souhlas; VISA odhaduje, že skutečná škoda by mohla dosáhnout 140 mil. USD, i když skutečnou škodu nemusí znát ani VISA. Experti radí bankám, aby dohodu pečlivě zvážili, neboť:

-         
nabízí poškozeným bankám nízkou náhradu
-         
dává jim málo času na rozhodnutí (15 dní)
-         
zbavuje Heartland a další společnosti odpovědnosti.

Zlepšení ochrany - PCI standard

Na jeden důležitý aspekt celého příběhu upozornil auditor Matt Davies, vedoucí auditu a shody společnosti Secure State, vyhodnocující rizika firem. Mezi zpracovateli zavládlo zjištění, že „se to mohlo stát i nám“, a jiní se začali ptát, kde se vlastně stala chyba. Pracovníci Heartlandu se pokoušeli svá pochybení zdůvodnit odkazy na to, co udělali ostatní, namísto přiznání toho, co neučinili oni sami. Odvedli diskuzi na problematiku PCI DSS (Payment Card Industry data Security Standard), a nikoli na vlastní narušení shody (Heartland byl certifikován na shodu s PCI), resp. na potřebu její pravidelné kontroly.

V důsledku tohoto případu acquieři a zpracovatelé nyní nabízejí obchodníkům lepší ochranné techniky pro jejich data, které napomohou vyjmout jejich zpracování z rozsahu standardu PCI. Nemusí se zabránit zcizení dat, ale více se ochrání obchodníci. Je také v běhu zavádění programu QSA Quality Assurance (zajištění kvality kvalifikovaným hodnotitelem bezpečnosti) a noví kvalifikovaní hodnotitelé bezpečnosti (QSA) musí podstoupit mnohem přísnější proces, než jim Rada PCI udělí oprávnění. Dalším správným krokem pro napadené entity bude vedle obnovy vydání karet také zavedení automatického monitoringu kreditu (zůstatku) na kartě, nebo ochrana spotřebitelů postižených násilným vniknutím.

Další kroky se musí týkat malých obchodníků. Velké řetězce, vydávající a přijímající banky a zpracovatelé činí pokroky v přibližování se požadavkům shody s PCI, ale u malých obchodníků jsou problémy, které je ponechávají mimo oblast spolehlivé bezpečnosti. Podle jiného bezpečnostního experta na PCI (Anton Chuvakin), platební infrastruktura zůstává stále nezabezpečena; možná se skrytě připravují změny uvnitř kartových společností, ale zatím se mnoho nemění.  Existují sice iniciativy týkající se back-office tokenizace a end-to-end šifrování, ale k dosažení bezpečnostního statutu je velmi důležitá standardizace. Techniky musí být implementovány do standardu PCI; pokud se vyskytují jen u některých zpracovatelů, kriminálníci si rychle vyhledají jiné, nezabezpečené zpracovatele. Ovšem „rychle standardizovat“ je protimluv, takže můžeme očekávat předstírání a hašteření po několik dalších let, než budou implementována opatření ke snížení útoků na data napříč odvětvím platebních karet. Pozornost se také obrací k odolným terminálům (tamper resistant terminals). Vyvíjí se dynamická autentizace dat (dynamic data authentication) s digitálním otiskem karty, která by měla vyloučit přenášení čísla karty k obchodníkovi.

Nutnou doufat, že naznačená opatření se dostatečně rychle uplatní v praxi.


card
mag
| ft | internetové zdroje


Vishing - krádež identity účtu nebo karty

Po léta známe spamové (nevyžádané) e-maily, které se snaží z adresátů vylákat důvěrné údaje o jejich platební kartě (číslo karty a PIN) pod záminkou, že na karty klientovy instituce byly učiněny pdezřelé transakce a všechny karty musely být zablokovány. Alternativně se může jednat o číslo účtu nebo přístup do internetového bankovnictví, s odvoláním na pokusy o neoprávněné přístupy. Naléhavý pokyn k okamžitému řešení je doplněno odkazem na podvodné internetové stránky. Sdělení údajů má napomoci rychlému obnovení funkčnosti karty (účtu). Tento modus operandi nazýváme phishing (lovení údajů) a mohou mu podlehnout i zkušení a poučení držitelé karet, dostanou-li se pod časový tlak, a zejména napodobí-li podvodníci dokonale stránku dotyčné banky, jak se stalo i v České republice. Psali jsme o tom již v cardmag#3/
2006 s doporučením, aby místo odpovědi na mail nebo vytočení uvedeného čísla raději dvakrát zkontrolovali stav svého účtu. 

S rozvojem zákaznických center, které jsou vybaveny automatizovanou hlasovou službou, a s tím, jak si klienti zvykli na jejich automatické telefonické odpovídače, se i podvodníci posunuli na vyšší technologickou platformu. Snaží se vylákat důvěrné informace po telefonu, hlasem, proto novému způsobu se dostalo označení vishing (= voice + fishing). První zprávy o této metodě se objevují již od června 2006, ale v loňském i letošním roce jsou zaznamenávány další a další případy v anglicky mluvících zemích (v USA se v roce 2009 výskyt těchto podvodů zvýšil 6x). Je jen otázka času, kdy bude útok veden i v češtině.

Vishing je tedy forma phishingu (rybaření), kdy jedinec obdrží místo e-mailu, cíleného na vylákání osobních informací, telefonní hovor zaměřený na získání kritických informací od klienta banky nebo úvěrové instituce; typicky jde o čísla platebních karet nebo jiných informací (krádež identity). Z hlediska prosazování práva je velmi komplikované vishing monitorovat nebo sledovat, i když existují technologie, které mohou identifikovat pokusy o vishing sledováním anomálií v telefonním provozu. Jedním takovým příkladem jsou vícenásobná volání z určitého skype-čísla na zákaznická centra. Zpětně vysledovat hovory není pro policii obtížní, zúčtovací informace jsou dostupné o každém hovoru, ale podvodníci používají bílé koně a to pátrání ztěžuje a prodražuje.

Spotřebitelům lze jen doporučit, aby při podezřelém telefonátu doporučujícím někam zatelefonovat a sdělit číslo karty nebo účtu, byli nanejvýš opatrní. Nejlépe je zavěsit a po té informovat svou banku na čísle, které je uvedeno v jejích oficiálních dokumentech.

Hovor je veden automatem obvykle tímto modus operandi: „Vaše karta byla dočasně zablokována, neboť se stala terčem útoku třetí strany. Stiskněte nyní „1“, a budete přesměrování na bezpečnostní oddělení. Toto varování nepodceňujte.“ Klienti, kteří uposlechnou, jsou požádání o natypování svého čísla karty a PINu.

Na straně podvodníka tomu předchází získání telefonních čísel metodou wardialing, která využívá modemu k automatickému prohledávání seznamu telefonních čísel v místním okruhu telefonní ústředny (nebo mobilního operátora) k vyhledání osobních čísel účastníků; čísel počítačů a faxů, které obvykle odpovídají na první zazvonění. V tom případě modem zavěsí. Pokud dotyčný na hovor odpoví, ozve se mu automatický záznam (velmi často syntetizátor řeči podle napsaného textu) např. s výše uvedeným obsahem. Současně se na displeji telefonu jako ID volajícího zobrazí podvodníkem podsunuté číslo, což přispívá k posílení přesvědčení, že jde o skutečné číslo instituce.

Vishing není ilegální činnost, ale v některých státech (např. v USA) připravují legislativu, která postaví mimo zákon manipulaci s telefonním číslem, aby předstíralo volání někoho jiného. Na druhou stranu manipulace s číslem (a zejména skrývání čísla) může být zcela legitimní, např. lékař volající svému pacientovi, nebo advokát klientovi, nemusí zveřejňovat svoji domácí linku, policie telefonuje zásadně se skrytým telefonním číslem apod.


SmiShing


Dalším vývojovým krokem v obalamutění spotřebitelů je využívání mobilních telefonů k zasílání textových zpráv (SMS) s obdobným varováním a výzvou, aby klient zavolal na určené telefonní číslo. Název je odvozen z „sms phishing“. Lze použít jak k vylákání čísla karty, tak čísla účtu, spolu s doplňujícími informacemi, jako je PIN, adresa, rodné číslo nebo číslo sociálního pojištění, apod. Záminka ke zpětnému telefonátu může být různá: pokus o zneužití čísla účtu/karty nebo přijetí refundace na dříve provedenou transakci.

Tyto podvodné pokusy se tváří velmi realisticky, protože často obsahují varování před vyzrazením osobních informací, což u napadené osoby vyvolá přesvědčení, že jej skutečně volá jeho banka/finanční instituce. U libovolné záminky je navíc je zdůrazněna naléhavost zpětného volání upozorněním na poplatek, např. 2 USD za den, pokud nebude záležitost vyřešena.


card
mag
| ft


Wincor Nixdorf - Snaha o zvýšení bezpečnosti u bankomatů

Společnost Wincor Nixdorf AG pořádala v lednu 2010 svou pravidelnou třídenní akci „Wincor World 2010“ v Paderborn v Německu. Její tiskové ohlasy jsou více než pozitivní. Společnost zde představila inovativní produkty na ochranu bankomatů, které brání neoprávněné manipulaci s kartou, nabízí portfolio řešení pro minimalizaci risku a komponenty pro monitorování poboček a systémů.

Wincor Nixdorf představil své první anti-skimovací zařízení již v roce 2003, a od té doby je jen vylepšoval. Letošní modul Anti-Skimming II detekuje skimovací zařízení a spouští tichý poplach a současně zahajuje další akce, např. monitorování okolí videokamerou. Také vysílá sílné interferujíící magnetické pole, které zabraňuje přečtení citlivých dat z karty. Výhodou tohoto řešení je, že při současném zabránění skimovacího útoku může činnost bankomatu dále pokračovat a zákazniíci jím nejsou dále ovlivněni.

Další technologie ochraňující bankomaty před zlovolnou manipulací (jako jsou libanonské smyčky na zadržení karty nebo falešné PIN klávesnice) je tzv. Optical Security Guard, který díky moderní analytickému software pro rozpoznávání objektů může detekovat změny provedené na operačním panelu bankomatu. Tato funkčnost je využita u systémů CINEO a bankomatů série Procash 8000.

Po zvýšenou úroveň autentizace byly vyvinuty doplňující biometrické metody pro kontrolu identity a kontrolu přístupu a uplatněny u různých zařízení, včetně biometrických sensorů na skenování žilek a senzory na otisky prstů, které mohou určit, zda použitý prst je reálný a živý. 

U bankomatů série ProCash 4000 jsou instalovány kazety na bankovky se zařízením na jejich poničení speciálním inkoustem. Zařízení je spuštěno při vyjmutí kazet pro provedené autorizace, když je s kazetou třeseno nebo je změněna její poloha. U trezorovaých zařízeních byla zesílena ochrana před poničením výbušným plynem.

Wincor nabízí třípilířový přístup k řešení problematik bezpečnostních systémů. První pilíř spočívá v analýze rizika, kdy je experty vyhodnoceno potencionální riziko hrozící ba
nce. Vyhodnocují se obchodní procesy, informační a komunikační struktury a pracovní prostředí. Klasifikují se požadavky na ochranu a formulují se koncepty řešení s přihlédnutím k existujícím pravidlům a omezením.

Druhý políř sestává z implementace přizpůsobených bezpečnostních opatřeních, řešeních a technologií výše popsaných. Třetí pilíř sestává z nabídky kontrol a monitorování rizika. Příkladem je propojení signalizace útoku s videosystémem k zajištění rychlé detekce trestních útoků a tak ochránit systém a budovy. V celku tyto kroky dokumentují trvalou snahu jednoho z dodavatelů bankomatů pro český trh o jejich zlepšování a zabezpečování bankomatového prostředí.

cardmag | ft | internetové zdroje

 

 nahoru

 


 

 

 

 

 
   
 

Webdesign by P.F.K. Service Praha ©  2008-2010 

 

 

Aktualizováno:
15-04-2010

.