Хакеры против скрепок: американская Staples подверглась атаке

B2BSecurity Маркет
Хакеры скомпрометировали банковские карты более 1 млн покупателей одной из самых крупных в США сетей по продаже товаров для офиса. PoS-терминалы 115 магазинов Staples оказались инфицированы, а злоумышленники не только получили доступ к клиентским реквизитам, но и успели ими воспользоваться.

Хакеры инфицировали платежную систему 115 из более чем 1400 магазинов Staples. В результате PoS-терминалы оказались зараженными вредоносным ПО, предназначенным для хищения имен клиентов, номеров банковских карт, их кодов и сроков действия. В руках хакеров оказались данные о покупках, сделанных в период с 20 июля по 16 сентября 2014 г. По данным компании, всего преступники могли скомпрометировать 1,16 млн платежных карт клиентов организации. Расследование инцидента началось в октябре 2014 г., сразу же после того, как партнерские банки зафиксировали нетипичное поведение клиентских счетов и сообщили Staples о возможном нападении на ее компьютерные сети.

По словам заместителя директора центра информационной безопасности компании «Инфосистемы Джет» Валентина Крохина, обеспечение стандартов безопасности платежных систем — требование базового уровня для любой системы. Однако даже полное соблюдение стандартов не дает 100% гарантии защиты от киберугроз. «На практике многие положения стандартов запаздывают по отношению к появлению новых угроз. Эти требования полезны в качестве основы, первого шага, но одновременно с их реализацией необходимо и двигаться дальше — строить систему ИБ исходя из актуальных угроз», — говорит эксперт.

«При любом онлайн-платеже необходимо проверять банк или платежный шлюз: насколько он надежен, какой имидж у него сложился. Ну и, конечно же, ни в коем случае не стоит хранить свои данные онлайн», — добавляет Валентин Крохин.

«Платежные стандарты типа PCI DSS регламентируют системы защиты и политики, проводимые в отношении платежных систем ритейлерами, на достаточно высоком уровне. Но киберпреступники постоянно развиваются и используют все более сложные вектора атаки и версии вредоносного ПО для проникновения в торговые сети, POS-терминалы, банкоматы», — комментирует антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин. Хакеры часто используют методики социальной инженерии и недобросовестное исполнение пунктов внедренных стандартов, добавляет он. Если заражена торговая сеть и POS-терминалы в ней, то единственным «экстренным» решением и способом защиты для пользователя будет хранить на карте для покупок не все деньги, а только ограниченную сумму.

«Единственный способ не потерять деньги с кредитной карты — их там не хранить, — комментирует руководитель проектов по информационной безопасности компании «АйТи» Дмитрий Дудко. — Рекомендация тут одна: совершать покупки со специальной карты, привязанной к счету без денег. Класть деньги на карту каждый раз (например, через личный кабинет или банкомат), когда необходимо совершить покупку. Это не так быстро и удобно, но и не позволит злоумышленникам украсть более нескольких рублей у владельцев карт».

Короткая ссылка на материал: //cnews.ru/link/n218898
ИСТОРИЯ УСПЕХА
Контроль и защита всей IT-инфраструктуры
Защита СХД: варианты и реальные примеры решений
Подробнее
ИНТЕРВЬЮ С ЭКСПЕРТОМ
Матвей Войтов
менеджер по продуктам «Лаборатории Касперского»

ИБ должна присутствовать среди расходов на виртуализацию.

читать далее
Все интервью
MНЕНИЕ Константин Воронков Руководитель отдела Endpoint «Лаборатории Касперского» Клиенты могут получать необходимые лицензии практически мгновенно Ожидается, что на общественное обсуждение в Госдуме будет вынесен законопроект, согласно которому обеспечение безопасного доступа пользователей в сеть ляжет на плечи интернет-провайдеров, операторов связи, хостинг-провайдеров и владельцев интернет-сайтов. Ранее же данное условие не носило обязательный характер для частных компаний, а теперь от сервис-провайдеров потребуются принять дополнительные меры в рамках установки антивирусного ПО — вопрос с покупкой лицензий становится для него как никогда актуальным.