Хакерская группа JokerStash, также известная как Fin7, объявила в даркнете о продаже данных свыше пяти миллионов платежных карт, похищенных с мая 2017 года по март 2018 года у старейшей североамериканской торговой компании Hudson`s Bay Company.
Инцидент обнаружила компания Gemini Advisory. Это одна из крупнейших атак на розничную торговлю, ущерб от нее может стать рекордным, поскольку жертвами стали, в частности, состоятельные клиенты "дочки" HBC Saks Fifth Avenue, торгующей люксовыми брендами. Пострадали в основном жители Нью-Йорка и Нью-Джерси.
Преступники получили доступ к данным POS-терминалов, уверены эксперты. Это наиболее частый способ хищения данных карт: злоумышленник размещает вредонос в операционной системе платежных терминалов (проще всего это сделать, если их сеть не отделена от гостевого Wi-Fi-магазина), который либо вытаскивает из памяти устройств хэши карт, либо просто копирует данные очередной карты, когда покупатель расплачивается, объясняет старший тренер лаборатории компьютерной криминалистики Group-IB Никита Панов.
JokerStash начала с продажи 125 тысяч записей, остальной массив, по прогнозу Gemini Advisory, будет выложен в ближайшие месяцы. Самый опасный момент для преступников - это обналичивание с использованием украденных данных, поэтому похитители часто не занимаются этим сами, а продают информацию. "Такое разделение труда - кто-то умеет взламывать ретейл, кто-то обналичивать", - говорит старший антивирусный аналитик "Лаборатории Касперского" Денис Легезо.
Данные, за которыми охотятся хакеры, представлены в двух форматах: текстовая информация (номер, срок действия, имя владельца, CVV) и "дампы" (содержимое магнитной полосы, которое позволяет сделать копию карты и воспользоваться ею офлайн). Дампы в среднем в 10 раз дороже текстовой информации, но и предложение дампов существенно меньше, рассказывает тренер лаборатории компьютерной криминалистики Group-IB Анастасия Баринова. Данные продаются в кардшопах - это полноценные торговые платформы оптовой и розничной продажи сведений о картах. Смысл у всех "слепков" с карт общий - их достаточно для перевода/снятия денег/покупки, добавляет Легезо.
Скомпрометированная карта подлежит перевыпуску, по-хорошему за этим должны следить банки. "У меня были случаи, когда банк сам звонил, предлагал перевыпустить потенциально скомпрометированную карту (я даже не знал, о каком инциденте шла речь), - рассказывает Легезо. - Но, думаю, в большинстве случаев быстрее начать общение с банком и перевыпуск самому".
Минимизировать ущерб от возможной кражи данных карты можно, включив подтверждение любых платежных операций через PUSH-уведомления в банковском мобильном приложении, советует Никита Панов. Пока пользователь не подтвердит факт оплаты, транзакция не будет исполнена. Также можно запросить у банка создание дубликата основной карты, но с установленным лимитом на покупку, либо задать суточный лимит операций.