地下數(shù)據(jù)交易網(wǎng)站Rescator被黑，疑似Target報(bào)復(fù)

【編者按】Brian Krebs于2013年12月首次公開(kāi)了Target公司遭受黑客入侵、數(shù)據(jù)丟失的消息，而近日網(wǎng)絡(luò)黑市Rescator遭匿名黑客破壞，該黑客在氣憤地咒罵Rescator同時(shí)，還譴責(zé)了Brian Krebs，讓人不禁懷疑這是Target的報(bào)復(fù)行為。在Sally Beauty公司同樣發(fā)生數(shù)據(jù)失竊事件，經(jīng)調(diào)查，該盜竊者和盜竊Target公司數(shù)據(jù)的黑客很有可能是同一個(gè)人，幾件事聯(lián)系起來(lái)，使整個(gè)案件變得撲朔迷離。下文InformationWeek的Mathew J. Schwartz為我們帶來(lái)了詳細(xì)報(bào)道。

以下為譯文：

日前，在黑市論壇上，黑客大肆出售從Target及其他公司盜走的信用卡數(shù)據(jù)。

有兩個(gè)網(wǎng)站專門出售被盜的信用卡和借記卡信息――其中就有Target公司被盜的部分信息，然而這兩個(gè)網(wǎng)站在遭到匿名黑客的攻擊后曾一度處于關(guān)閉狀態(tài)。

“Hi subhumans and miscreants, your fraud site is gone now. Go away ”――據(jù)華爾街日?qǐng)?bào)報(bào)道，這是黑客在rescator.so和rescator.cm兩個(gè)網(wǎng)站上的留言，Rescator兩個(gè)站點(diǎn)的頂級(jí)域名so、cm分別代表索馬里和喀麥隆。

匿名黑客指責(zé)這兩個(gè)網(wǎng)站的用戶和管理員（黑客稱之為“regular fraudsters”），同時(shí)他還指責(zé)記者Brian Krebs，Brian Krebs于2013年12月首次公開(kāi)了Target公司遭受黑客入侵、數(shù)據(jù)丟失的消息。黑客還在網(wǎng)站中嵌入YouTube的音樂(lè)視頻――《黑衣人》主題曲，該電影由威爾-史密斯（Will Smith）和湯米-李-瓊斯（Tommy Lee Jones）主演，描述一個(gè)管理外星移民的秘密機(jī)構(gòu)對(duì)抗邪惡外星人的故事。

匿名黑客攻擊網(wǎng)站的第二天，兩個(gè)網(wǎng)站似乎又正常運(yùn)營(yíng)了起來(lái)，與此同時(shí)，同一網(wǎng)絡(luò)的其他三個(gè)站點(diǎn)octavian.su、rescator.cc和rescator.co也一直在正常運(yùn)營(yíng)，似乎沒(méi)有受到干擾，這三個(gè)站點(diǎn)的頂級(jí)域名分別代表前蘇聯(lián)、科科斯群島和哥倫比亞。

Krebs報(bào)道：“該匿名黑客在攻擊Rescator之后，將其客戶數(shù)據(jù)庫(kù)中的信息盜走并公布到了網(wǎng)上。”

Rescator一直從事網(wǎng)上銷售被盜信用卡數(shù)據(jù)的活動(dòng)，其中不僅有Target失竊的數(shù)據(jù)，還有Neiman Marcus、Sally Beauty?Supply等許多公司被盜走的數(shù)據(jù)，這些數(shù)據(jù)被以“海貍籠”、“沙漠風(fēng)暴”、“鷹爪”這樣的名稱批量出售。最新一批在Rescator網(wǎng)站上出售的信用卡數(shù)據(jù)被稱為“偉大的龐貝城”，在3月11號(hào)出售。該網(wǎng)站接受Western Union和MoneyGram（單筆交易量比較大）的電匯付款，也接受Perfect Money的電子貨幣付款，還接受Bitcoin和Litecoin的加密貨幣付款。

批量出售是為了防止黑市上出售的信用卡數(shù)據(jù)泛濫，銷售價(jià)格被壓低，損害數(shù)據(jù)出售人的利益，這真是一種諷刺。真正的受害者不是出售數(shù)據(jù)的人，也不是丟失數(shù)據(jù)的那些公司，而是持卡人――消費(fèi)者，這些消費(fèi)者可能在公司數(shù)據(jù)丟失幾個(gè)月后才發(fā)現(xiàn)自己的ID被盜，還可能會(huì)遭遇相關(guān)的欺詐。根據(jù)防欺詐公司Easy Solutions透露，數(shù)據(jù)丟失到發(fā)現(xiàn)會(huì)經(jīng)歷比較長(zhǎng)的時(shí)間，比如，Target公司于2013年12月被盜的信用卡數(shù)據(jù)可能要到2015年才會(huì)在黑市上公開(kāi)出售。

據(jù)說(shuō)“Rescator”這個(gè)名字在其他的地下論壇也出現(xiàn)過(guò)，Rescator的擁有者絕不會(huì)簡(jiǎn)單地創(chuàng)建個(gè)eBay賬戶來(lái)交易偷來(lái)的信用卡數(shù)據(jù)，在一些地下論壇出現(xiàn)也理所當(dāng)然。Rescator在IntelCrawler的報(bào)告中被提到過(guò)，而且還被列入了BlackPOS惡意軟件的賣家行列，BlackPOS被設(shè)計(jì)用來(lái)感染銷售點(diǎn)（POS）系統(tǒng)，事實(shí)上，用于侵入Target系統(tǒng)的工具就是BlackPOS。

1月份，McAfee實(shí)驗(yàn)室報(bào)告表明用來(lái)入侵Target的BlackPOS自定義版本的上傳者留下的信息中包含以下字符串：“z:ProjectsRescatoruploaderDebugscheck.pdb。”McAfee的信息安全研究人員認(rèn)為這是調(diào)查Target信息盜竊案的一條有力線索。

Sally Beauty是一家市值36億美元的專業(yè)美容用品零售商和分銷商，近期Sally Beauty公布了其用戶信用卡和借記卡信息被盜的消息，由Verizon的調(diào)查人員鑒定與最近的網(wǎng)絡(luò)入侵事件有關(guān)。聯(lián)系到Target信用卡信息被盜事件（記者Brian Krebs報(bào)道了此事），Brian Krebs暗示多達(dá)282,000張卡的信息可能被盜，盜竊者和入侵Target的黑客應(yīng)該是同一個(gè)人。

在Rescator網(wǎng)站上出售的Target信用卡信息被以Target商店的ZIP編碼建立索引，Krebs在Twitter上表示，盜竊者和竊取Sally Beauty數(shù)據(jù)的黑客也很有可能是一個(gè)人。

到目前為止，Sally Beauty已確認(rèn)黑客只偷走了一些在其零售商店購(gòu)物所用的信用卡和借記卡數(shù)據(jù)。Sally Beauty在周一發(fā)表的一份聲明中聲稱：“我們現(xiàn)在發(fā)現(xiàn)了一些證據(jù)，我們的系統(tǒng)被非法訪問(wèn)過(guò)，而系統(tǒng)的支付卡記錄（Track-2）只剩下不到25,000條，我們懷疑有人將數(shù)據(jù)刪除了。”

Track-2數(shù)據(jù)是指隱藏編輯在卡磁條中的信息，提供給用戶授權(quán)碼，可以用來(lái)驗(yàn)證該卡是否真實(shí)存在。相應(yīng)的Track-1數(shù)據(jù)則包括持卡人姓名、賬戶號(hào)碼、到期日期和CVV碼，有了Track-1和Track-2兩種數(shù)據(jù)，罪犯就可以用偷來(lái)的信息偽造信用卡。

在最近的Q&A中，Sally Beauty建議所有客戶都檢查他們的信用卡和借記卡，以及時(shí)發(fā)現(xiàn)是否存在欺詐行為。

Sally Beauty還承諾和Verizon、US Secret Service一起對(duì)其系統(tǒng)進(jìn)行漏洞修補(bǔ)。到目前為止，它并沒(méi)有對(duì)Krebs的報(bào)告做出回應(yīng)，Krebs指出Sally Beauty客戶中有282,000信用卡和借記卡可能已經(jīng)被盜用。

該公司還表示：“就像過(guò)去出現(xiàn)在其他公司的數(shù)據(jù)安全事件一樣，要想在數(shù)據(jù)法醫(yī)調(diào)查前確定失竊數(shù)據(jù)的范圍是很難的，因此，我們也無(wú)法判斷數(shù)據(jù)安全事件的性質(zhì)和范圍。”

生活不易，碼農(nóng)辛苦
如果您覺(jué)得本網(wǎng)站對(duì)您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈(zèng)