0
0
Uma das lojas mais populares do underground digital por vender informações de cartão de crédito roubados começou a vender um lote de mais de três milhões de novos registros de cartões esta semana. A KrebsOnSecurity descobriu que os dados foram roubados em uma longa violação de dados em mais de 100 locais do Restaurante Dickey’s BBQ em todo o país.
Um anúncio no popular site de cartões Joker’s Stash para “BlazingSun”, que especialistas em fraudes remontam a uma violação de cartão no churrasco de Dickey.
Na segunda-feira, o bazar de cartões Joker’s Stash estreou “BlazingSun“, um novo lote de mais de três milhões de registros de cartões roubados, anunciando “taxas válidas” entre 90-100%. Este é tipicamente um indicador de que o comerciante violado ou não está ciente do compromisso ou apenas começou a responder a ele.
Várias empresas que acompanham a venda em dados de cartão de pagamento roubados dizem ter confirmado com instituições financeiras emissoras de cartões que as contas à venda no lote BlazingSun têm um tema comum: todas foram usadas em vários locais de Dickey’s BBQ nos últimos 13-15 meses.
KrebsOnSecurity entrou em contato com a Dickey’s, com sede em Dallas, em 13 de outubro. Hoje, a empresa compartilhou um comunicado dizendo que estava ciente de um possível incidente de segurança do cartão de pagamento em alguns de seus restaurantes:
“Recebemos um relatório indicando que um incidente de segurança do cartão de pagamento pode ter ocorrido. Estamos levando este incidente muito a sério e imediatamente iniciamos nosso protocolo de resposta e uma investigação está em andamento. No momento, estamos focados em determinar os locais afetados e os prazos envolvidos. Estamos utilizando a experiência de terceiros que ajudaram outros restaurantes a resolver questões semelhantes e também trabalhando com o FBI e redes de cartões de pagamento. Entendemos que as regras de rede de cartão de pagamento geralmente fornecem que indivíduos que em tempo há tempo reportam cobranças não autorizadas ao banco que emitiram seu cartão não são responsáveis por essas cobranças.”
As confirmações vieram do Q6 Cyber and Gemini Advisory, com sede em Miami, em Nova York.
O CEO da Q6Cyber, Eli Dominitz, disse que a violação parece se estender de maio de 2019 a setembro de 2020.
“As instituições financeiras com as qual trabalhamos já viram uma quantidade significativa de fraudes relacionadas a esses cartões”, disse Dominitz.
Gemini diz que seus dados indicaram que cerca de 156 locais de Dickey em 30 estados provavelmente tiveram sistemas de pagamento comprometidos por malware de roubo de cartão, com a maior exposição na Califórnia e arizona. Gêmeos coloca a janela de exposição entre julho de 2019 e agosto de 2020.
“Baixo e lento” descreve adequadamente a quebra de cartão no Dickie’s, que persistiu por pelo menos 13 meses.
Com a ameaça de ataques de ransomware agarrando todas as manchetes, pode ser tentador assumir que ladrões de cartões de crédito simples e antigos passaram para esforços mais lucrativos. Infelizmente, bazares de crimes cibernéticos como o Joker’s Stash continuaram a fazer seu comércio, impassível por um empurrão das associações de cartões de crédito para incentivar mais comerciantes a instalar leitores de cartão de crédito que exigem cartões de pagamento mais seguros baseados em chips.
Isso porque existem inúmeros locais de restaurantes — geralmente locais de franquia de uma cadeia de restaurantes estabelecida — que são deixados para decidir por si mesmos se e quão rapidamente eles devem fazer os upgrades necessários para mergulhar o chip versus deslizar a listra.
“A Dickey’s opera em um modelo de franquia, que muitas vezes permite que cada local dite o tipo de dispositivo e processadores de ponto de venda (POS) que eles utilizam”, escreveu Gemini em um post no blog sobre o incidente. “No entanto, dada a natureza generalizada da violação, a exposição pode estar ligada a uma violação do processador central único, que foi alavancado por mais de um quarto de todas as localizações de Dickey.”
Embora tenha havido relatos esporádicos sobre criminosos comprometendo sistemas de pagamento baseados em chips usados por comerciantes nos EUA, a grande maioria dos dados do cartão de pagamento para venda no subsolo de crimes cibernéticos é roubada de comerciantes que ainda estão roubando cartões baseados em chips.
Isso não é conjectura; dados relativamente recentes das próprias lojas de cartões roubados suportam isso. Em julho, a KrebsOnSecurity escreveu sobre uma análise feita por pesquisadores da Universidade de Nova York, que analisou padrões em torno de mais de 19 milhões de cartões de pagamento roubados que foram expostos após o hackeamento do BriansClub, um dos principais concorrentes da loja de cartões Joker’s Stash.
Os pesquisadores da NYU descobriram que o BriansClub obteve cerca de US$ 104 milhões em receita bruta de 2015 até o início de 2019, e listou mais de 19 milhões de números de cartões exclusivos para venda. Cerca de 97% do inventário foi roubado dados de tarja magnética, comumente usados para produzir cartões falsificados para pagamentos presenciais.
Visa e MasterCard instituíram novas regras em outubro de 2015 que colocam os varejistas no gancho por todas as perdas associadas a fraudes de cartões falsificados ligadas a violações se não tiverem implementado leitores de cartões baseados em chips e reforçado a imersão do chip quando um cliente apresenta um cartão baseado em chips.
Dominitz disse que nunca imaginou em 2015, quando fundou a Q6Cyber, que ainda veríamos tantos comerciantes lidando com violações de dados baseadas em magstripe.
“Cinco anos atrás, eu não esperava que estaríamos nessa posição hoje com fraude de cartão”, disse ele. “Você pensaria que a indústria em geral teria feito um maior amassado nesta economia subterrânea há algum tempo.”
Cansado de ter seu cartão de crédito reemitido e atualizar seus registros de pagamento em inúmeros sites de comércio eletrônico toda vez que algum restaurante que você frequenta tem uma brecha? Aqui está uma ideia radical: Da próxima vez que você visitar um restaurante (ok, se isso acontecer novamente pós-COVID, etc), pergunte-lhes se eles usam leitores de cartões baseados em chips. Se não, considere levar seu negócio para outro lugar.
FONTE: KREBS ON SECURITY