5月16日,中银长城信用卡用户林先生突然接到中银驻港机构电话,称其信用卡出现异学交易,有人远在约旦盗用其信用卡进行了消费。谁也没有想到林先生只是4000万受害者中的一员。
美国当地时间6月17日,万事达公司公布一条震惊全球的消息:4000万信用卡用户的信息可能被窃。共涉及1390万名万事达卡客户、2200万维萨卡用户以及数量不详的美国运通Visa客户和Discover卡用户。
通过侵入一家结算处理公司的计算机,黑客显然偷走了20万张信用卡和借记卡账户的数据,并可能访问了4000万名信用卡的信息。万事达信用卡国际公司发言人Jessica Antle证实,此次安全违规事件的根源是CardSystems公司,一家为数家信用卡处理交易的第三方公司。
Antle说,黑客可能利用了该公司系统的漏洞,进入了该公司的网络并获取了客户的信息。
各国的评估和欺诈性交易报告显示,此次用户信息被窃已导致了欺诈性交易:一些用户信用卡出现了高档产品消费交易。
林先生致电本报称:有人在约旦盗用其信用卡消费了200美元。这一异常消费被中银机构监测到,并通知了他。
泄漏发生在数周前
据《New York Times》报道,这次安全违规事件可以追溯到4月中旬,当时万事达国际公司注意到异常的欺诈消费。《New York Times》援引CardSystems CEO John Perry的话说,被偷窃的数据因“研究目的”被不当地保存在CardSystems公司的一个计算机文件中,而不是在交换完成后删除。
《New York Times》援引他的话说:“我们不应当这样做。” 使用保存记录的研究涉及确定一些交易为什么未经过授权或不完整。
万事达公司在透露这次事件时说,此次安全违规事件发生在CardSystems设在亚利桑纳州Tuscon市的运营中心。据CardSystems发表的声明说,FBI是在5月23日被告知此事的。
CardSystems每年为10.5万多家中小企业处理交易,并且每年为MasterCard、Visa、Discover和American Express处理150亿美元的交易。
安全厂商Secure Computing公司在这次安全事件透露后发现了第一起在主题行中借用万事达名义警告电子邮件用户的网页钩鱼欺诈。最初的欺诈似乎是仓促上阵,因为它没有提到这次安全事件,可能是改头换面的老骗局。Secure Computing预测未来几天欺诈骗局将继续出现,可能还会变得更加狡滑,尤其在主题行或内容中提到最新的重大安全事件新闻时。
Secure Computing公司公关经理David Burt说:“消费者肯定应当了解实情。”这次涉及众多信用卡公司的引起广泛关注的最新安全违规事件,无疑将成为美国国会未来辩论的主题。
Forrester公司分析师Paul Stamp说,公开披露CardSystems安全违规事件(尽管是在事件发生的数周后披露的)可能在某种程度上是对加州参议院有关隐私与个人信息的1386法案的反应。
他说:“这类事件肯定会发生。它们可能过去一直在发生。”这次不同的是公众要求有人承担责任。CardSystems无疑有很多问题需要回答。《New York Times》报道说,被盗的数据没有被加密,并且信用卡公司发表声明说CardSystems没有遵守他们的安全要求。
黑客能量越来越大
此次事件影响巨大,但这并没有使实现偷窃所需的技术变得不同寻常。
公开透露的有关对CardSystems Solutions公司的攻击情况的信息没有多少。FBI和这家公司都对这次黑客行动的细节缄口不言。当被问及公司115名雇员中是否有人与此案有关时,CardSystems公司高级营销副总裁Bill Reeves告诉美联社说,公司“目前不能排除任何情况”。当记者逼迫他详细说明时,他说,由于正在进行的调查,他不能发表评论。
即使如此,目前了解的情况足以使计算机安全专家做出有根据的推测。
安全研究人员说,信用卡盗贼在线社区在利用金融网络弱点上越来越精明。甚至常常被嘲笑为“脚本小子”的恶作剧者,都可以从一大堆容易得到的工具中,剪切、粘贴发动攻击所需的编程代码——甚至不必理解它们的工作原理。
TraceSecurity公司首席技术官Jim Stickley说:“脚本小子就可以干这件事。我不认为这有多难。”在公布这次泄密事件时,MasterCard说有人在CardSystems的网络中植入了一种类似于病毒的程序。CardSystems随后承认泄露的数据因“研究目的”被不当地保存,而不是在交换完成后删除。
如果这种“研究”涉及将数据转移到CardSystems网络不太安全的部分,使用常规探测系统寻找软肋的外部人员可能发现了这些文件。IBM公司金融服务实践风险与遵从性解决方案主管Jonathan Rosenoer说:“现在你每一次Internet连接都会遭到数百次攻击。”
TraceSecurity公司首席技术官Jim Stickley给出了一种简单的情景:黑客向一位CardSystems雇员发送一封内有假在线贺卡链接的电子邮件。这个链接将带来预期的跳舞小狗或其他欢快的场面,而在背后,“特洛伊木马”程序已在计算机上扎下根,准备向外部人员转发信息。
旧金山计算机安全协会主任Robert Richardson说,目前出现了越来越多释放特洛伊木马的自动工具以及其他入侵复杂系统的工具。“他们非常快地沿食物链升级。”Postal Service and Citigroup公司前信用卡欺诈调查员Tom Kelly说,CardSystems黑客活动似乎是老练团伙的杰作。这个团伙准确地知道要拿哪类文件。
黑客背后的黑市
黑客盗窃信用卡信息的背后是利润可观的黑市。
据报道,一些信用卡账号已经在俄罗斯的网站上出售,一些消费者已在对账单中发现了欺诈性交易。“我们看到在俄罗斯的一些聊天室,很多人在谈论电子犯罪集团的此次重大胜利。”iDefence公司的技术人员称。
实际上,出售这些信用卡信息可以让黑客赚得巨款。据网上欺诈分析师估计,每个万事达卡基本账号售价为42美元。金卡,比如上限较高的白金或黄金卡则售价会高达70美元。
链接
常识措施防范信用卡盗用
黑消费者组织和信用卡公司说,消费者可以采取常识性防范措施避免威胁:从经常上网检查账目到直接给信用卡公司打电话。
◆计算机取证与技术公司下属部门Stroz Friedberg Investigations高级调查员Tom Kelly说,一定要让您的信用卡公司掌握您目前的电话号码,这样当他们看到信用卡上出现可疑的交易时,可以给您打电话。
◆美国公众利益研究组织消费者权益鼓吹者Ed Mierzwinski说,不要在Internet上使用借记卡。借记卡欺诈行为会用光您活期账户中的资金。
※ Mierzwinski说,如果您收到有关账户可疑活动的电话或电子邮件,不要通过电话或上网提供信息。相反,记下信用卡代表的名字,然后按照信用卡背面上所列的电话号码给他们回电话。
◆Consumers Union政策分析师Susanna Montezemolo说,跟踪记录您的交易。您应当能够告诉信用卡公司代表最后5笔交易的情况。
◆消费者金融教育协会执行主管Paul Richard说,少使用信用卡。他的组织销售的信用卡套子上写着:“如果您可以吃饭、喝水、穿衣,这就不是急事。”
◆如果信用卡的每月对账单没有邮寄来,请通知您的信用卡公司。一旦检查确认账目正确后,撕掉这些账单。
◆Montezemolo说,要保存好收据,并对照这些收据检查信用卡账目。如果您可以上网查看账目,每周检查它们一次。
◆将您账户号码、失效日期以及信用卡公司的电话号码的记录保存在安全的地方。
◆不要将信用卡付款单留在家庭邮箱中。相反,要通过邮局或安全的邮箱邮寄它们。
◆当您外出旅行时,请谨慎在网吧或提供无线连接的场所使用信用卡。
◆ 每年至少一次检查信用报告。
部分受波及亚太国家
中国 4万以上用户
据中国工商银行牡丹卡中心宣布,万事达卡已经通知该行,大约5560名中国持卡用户,包括近500名牡丹卡用户会受到影响。维萨还没有提供受影响的中国信用卡用户数量。中国人民银行已要求所有信用卡组织妥善处理此事,并要求国内信用卡机构保持警惕,采用措施防范此类事件。
据报道,大约1.6万名中国台湾信用卡用户、大约两万保中国香港信用卡用户将会受到此事影响。
日本 6.7万用户
日本政府6月22日称,美国的信用卡数据泄漏事件可能会影响日本的6.7万名持卡用户。最新的报道则称,可能有8万日本信用卡用户信息被窃。
日本经济产业省的官员称,大约4.6万名维萨卡和2.1万名万事达卡日本用户的信息可能已经被泄漏。还有大约31名日本信息卡公司JCB的持卡者信息被窃。
澳大利亚 12.7万用户
高达12.7万个澳大利亚信用卡用户可能因美国发生的信用卡信息被窃而受到影响。大约5万名万事达卡澳洲使用者,7.7万名维萨卡澳洲用户可能面临欺诈消费的风险。
新西兰 1.3万用户
大约1.3万名新西兰持卡用户的信息被窃。维萨卡机构称,1.2万名持卡用户受到影响,其中650人处于高风险中。
万事达机构称,5560张持卡人可能受到影响。已有数家银行承诺将重新发放信用卡,以保护用户免受侵害。
近期美国金融信息泄漏事件
◆2005年2月,存有美洲银行120万联邦政府雇员的社会保险号码和其他信用卡资料的电脑磁盘丢失。其中包括美国国会参议员的数据资料。
◆5月,美国4家大银行的约50万客户的电子账户记录被不法分子窃取,并被转手卖给了债务公司。这4家大银行分别是总部设在北卡罗莱纳州的美国银行公司和瓦霍维亚银行公司,新泽西州的切尔希里商业银行和匹兹堡国民商业银行公司。
◆6月,世界最大银行美国花旗集团丢失了一批记录着390万客户账户及个人信息的电脑记录数据带,而直接导致这一丢失事件发生的竟然是美国快递业三大巨头之一的联合包裹运送服务公司(UPS)。
