0
0
No final de dezembro de 2019, a rede de lojas de combustível e conveniência Wawa Inc. disse que uma violação de nove meses de seus sistemas de processamento de cartões de pagamento pode ter levado ao roubo de dados de cartões de clientes que visitaram qualquer um de seus 850 locais em todo o país. Agora, especialistas em fraude dizem que o primeiro lote de dados de cartões roubados de clientes wawa está sendo vendido em uma das lojas de crime mais populares do metrô, que afirma ter 30 milhões de registros para vender de uma nova violação nacional.
Na noite desta segunda-feira, 27 de janeiro, um popular bazar de fraudeconhecido como Joker’s Stash começou a vender dados de cartões de “uma nova enorme violação nacional” que supostamente inclui mais de 30 milhões de contas de cartões emitidas por milhares de instituições financeiras em mais de 40 estados americanos.
O bazar de fraudes Joker’s Stash começou na segunda-feira a vender cerca de 30 milhões de contas roubadas de cartão de pagamento que especialistas dizem ter sido ligada a uma brecha em Wawa em 2019.
Duas fontes que trabalham em estreita colaboração com instituições financeiras em todo o país dizem à KrebsOnSecurity o novo lote de cartões que foram colocados à venda na segunda-feira à noite — apelidado de “BIGBADABOOM-III” pelo Joker’s Stash — mapeiam diretamente de volta às compras de titulares de cartão na Wawa.
Em 19 de dezembro de 2019, wawa enviou um aviso aos clientes dizendo que a empresa havia descoberto malware de roubo de cartão instalado em sistemas de processamento de pagamento na loja e distribuidores de combustível em potencialmente todos os locais wawa.
Wawa, com sede na Pensilvânia, diz que descobriu a intrusão em 10 de dezembro e conteve a violação até 12 de dezembro, mas que o malware foi instalado mais de nove meses antes, por volta de 4 de março. As informações expostas incluem números de cartão de débito e crédito, datas de validade e nomes de titulares de cartão. Wawa disse que a violação não expôs os números de identificação pessoal (PINs) ou registros do CVV (o código de segurança de três dígitos impresso na parte de trás de um cartão de pagamento).
Um porta-voz da Wawa confirmou que a empresa hoje tomou conhecimento de relatos de tentativas criminais de vender algumas informações de cartão de pagamento de clientes potencialmente envolvidas no incidente de segurança de dados anunciado pela Wawa em 19 de dezembro de 2019.
“Alertamos nosso processador de cartão de pagamento, marcas de cartão de pagamento e emissores de cartões para aumentar as atividades de monitoramento de fraudes para ajudar a proteger ainda mais qualquer informação do cliente”, disse Wawa em um comunicado divulgado à KrebsOnSecurity. “Continuamos trabalhando em estreita colaboração com a polícia federal em conexão com sua investigação em andamento para determinar o escopo da divulgação dos dados específicos do cartão de pagamento do cliente da Wawa.”
“Continuamos incentivando nossos clientes a permanecerem vigilantes na revisão de encargos em seus extratos de cartão de pagamento e a relatar prontamente qualquer uso não autorizado ao banco ou instituição financeira que emitiu seu cartão de pagamento ligando para o número na parte de trás do cartão”, continua o comunicado. “De acordo com as regras da lei federal e da empresa de cartões, os clientes que notificarem seu emissor de cartão de pagamento em tempo hábil de encargos fraudulentos não serão responsáveis por esses encargos. No caso improvável de qualquer cliente individual que tenha notificado prontamente seu emissor de cartões de encargos fraudulentos relacionados a este incidente não for reembolsado, wawa trabalhará com eles para reembolsá-los por essas taxas.”
A Gemini Advisory, uma empresa de inteligência de fraude com sede em Nova York, disse que as maiores concentrações de cartões roubados à venda no mapa lote BIGBADABOOM-III de volta ao uso de cartões de clientes wawa na Flórida e Pensilvânia, os dois estados mais populosos onde wawa opera. Wawa também tem localizações em Delaware, Maryland, Nova Jersey, Virgínia e no Distrito de Columbia.
De acordo com Gemini, O Esconderijo de Coringa lançou até agora apenas uma pequena parte dos 30 milhões reivindicados. No entanto, esta não é uma prática incomum: liberar muitos cartões roubados para venda ao mesmo tempo tende a ter o efeito de deprimir o preço global dos cartões roubados em todo o mercado subterrâneo.
“Com base na análise de Gemini, o conjunto inicial de bases ligadas ao “BIGBADABOOM-III” consistia em quase 100.000 registros”, observouGemini . “Embora a maioria desses registros fosse de bancos dos EUA e estivesse ligada aos titulares de cartões com sede nos EUA, alguns registros também ligados a titulares de cartões da América Latina, Europa e vários países asiáticos. Os titulares de cartões não-americanos provavelmente foram vítimas dessa brecha ao viajar para os Estados Unidos e utilizar postos de gasolina wawa durante o período de exposição.”
O diretor de pesquisa de Gemini, Stas Alforov, ressaltou que alguns dos 30 milhões de cartões anunciados à venda como parte deste lote BIGBADABOOM podem de fato ser originados de violações em outros varejistas, algo que o Joker’s Stash é conhecido por fazer em grandes lotes anteriores.
Gemini monitora vários sites de cartões como O Esconderijo do Coringa. A empresa descobriu que o preço médio dos registros emitidos pelos EUA no novo lote stash do Coringa é atualmente de US$ 17, com alguns dos recordes internacionais custando até US$ 210 por cartão.
“Além dos bancos com presença nacional, apenas instituições financeiras ao longo da Costa Leste tiveram exposição significativa”, concluiu Gemini.
Representantes da MasterCard não responderam aos pedidos de comentário. A Visa se recusou a comentar esta história, mas apontou para uma série de alertas emitidos em novembro e dezembro de 2019 sobre grupos de crimes cibernéticos cada vez mais direcionados aos comerciantes de distribuidores de combustível.
Uma série de recentes violações de cartões nacionais de alto perfil nos principais comerciantes de rua foram ligados a um grande número de cartões à venda no Joker’s Stash, incluindo violações na rede de supermercados Hy-Vee,redes de restaurantes Sonic, Buca di Beppo, Krystal, Moe’s, McAlister’s Deli, e Stzchlosky’s, varejistas como Bebe Stores, e marcas de hospitalidade como Hilton Hotels.
A maioria das violações de cartões em restaurantes e outras lojas de tijolos e argamassa ocorrem quando os cibercriminosos conseguem instalar remotamente softwaremalicioso nos sistemas de processamento de cartões do varejista. Esse tipo de malware de ponto de venda é capaz de copiar dados armazenados na faixa magnética de um cartão de crédito ou débito quando esses cartões são roubados em terminais de pagamento comprometidos, e esses dados podem ser usados para criar cópias falsificadas dos cartões.
Os Estados Unidos são os últimos países do G20 a fazer a mudança para cartões mais seguros baseados em chips, que são muito mais caros e difíceis para os criminosos falsificarem. Infelizmente, muitos comerciantes ainda não mudaram para usar leitores de cartões baseados em chips e ainda roubam os cartões de seus clientes.
De acordo com estatísticas divulgadas em novembro pela Visa,mais de 3,7 milhões de locais mercantes estão aceitando cartões de chip. Visa diz que para os comerciantes que completaram a atualização do chip, os dólares de fraude falsificados caíram 81% em junho de 2019 em comparação com setembro de 2015. Isso pode ajudar a explicar por que os ladrões de cartões estão cada vez mais mudando sua atenção para os comerciantes comprometedoresde comércio eletrônico , uma tendência vista em praticamente todos os países que já fizeram a mudança para cartões baseados em chips.
Muitas estações de enchimento estão atualizando suas bombas para incluir mais segurança cibernética e física — como criptografia completa de dados de cartões, fechaduras personalizadas e câmeras de segurança. Além disso, bombas mais novas podem acomodar cartões de pagamento mais seguros baseados em chips que já estão em uso e, em alguns casos, exigidos por outras nações do G20.
Mas esses upgrades são disruptivos e caros, e muitos proprietários de postos de combustível estão adiando-os até que seja absolutamente necessário. Antes do final de 2016, os proprietários de postos de combustível nos Estados Unidos tinham até 1º de outubro de 2017 para instalar leitores capazes de chips em suas bombas. Os proprietários de estações que não tinham leitores prontos para chips até lá estariam no gancho para absorver 100% dos custos de fraude associados a transações nas quais o cliente apresentava um cartão baseado em chips ainda não foi solicitado ou capaz de mergulhar o chip.
No entanto, em dezembro de 2016, a Visa — de longe a maior rede de cartões de crédito dos Estados Unidos — adiou os requisitos, dizendo que os proprietários de postos de combustível seriam dados até 1º de outubro de 2020 para cumprir o prazo de mudança de responsabilidade.
De qualquer forma, a Wawa pode estar enfrentando multas íngremes por não proteger os dados do cartão de cliente que atravessam suas redes internas de cartão de pagamento. Além disso, pelo menos uma ação coletiva já foi movida contra a empresa.
Finalmente, é importante notar que mesmo que todos os 30 milhões de cartas que o Joker’s Stash esteja vendendo como parte deste lote de fato mapeiem de fato de volta para locais wawa, é altamente improvável que mais de uma pequena porcentagem desses cartões será realmente comprado e usado por fraudadores. Na megabrecha de 2013 na Target Corp., por exemplo, os fraudadores roubaram cerca de 40 milhões de cartões, mas só acabaram vendendo entre um a três milhões desses cartões.
FONTE: KREBS ON SECURITY