Konsekvenserne af Wawa-dataovertrædelsen i 2019: Millioner af private data sælges på det mørke web

I sidste uge bemærkede forskere fra trusselsinformationsfirmaet Gemini Advisory, at der var et nyt tilbud på Joker's Stash, en af Dark Web's mest populære markedspladser for stjålne kreditkortoplysninger. Det blev sendt af stedets moderator (efter det temmelig fantasifulde kaldenavn JokerStash), og det blev navngivet BIGBADABOOM-III. Gemini's forskere besluttede at se nærmere på, hvad cyberkriminelle havde at tilbyde.

Den 27. januar uploadede JokerStash de første fire databaser. Det fremgår af annoncen, at hele samlingen består af mere end 30 millioner poster, men den sidste uges batch rummer kun 100 tusind. Forskerne fandt en hel del forfalskede geolokationsdata inde i databaserne, men de så også masser af reel information, og det tog dem ikke lang tid at indse, hvor det var kommet fra.

Cyberkriminelle forsøger at tjene penge på december's Wawa-dataovertrædelse

I december annoncerede nærbutik og tankstationskæde Wawa, at dens betalingssystem var blevet inficeret med Point-of-Sale (PoS) malware. Opdagelsen blev foretaget den 10. december, og inden for 48 timer blev malware fjernet. Yderligere undersøgelse afslørede imidlertid, at det indledende kompromis skete ni måneder tidligere, den 4. marts.

På det tidspunkt var Chris Gheysens, Wawas administrerende direktør, ikke helt sikker på, hvad omfanget af overtrædelsen var, men han bemærkede, at mellem den indledende infektion og den 22. april lykkedes det malware at kompromittere betalingssystemerne på "det meste" af Wawa's placeringer. Tilsyneladende faldt angrebets intensitet efter dette, men meddelelsen om brud på data indebar, at malware fortsatte med at være aktiv i nogle butikker, indtil den var fuldstændigt indeholdt den 12. december.

Det nøjagtige navn på malware'en er stadig ukendt i øjeblikket, men vi ved, at det handlede stort set som enhver anden trussel af denne type. Når en butiks betalingssystem er inficeret, er malware designet til at kopiere alle de data, der er gemt på de magnetiske striber af kredit- og betalingskort, når de vippes ved PoS-terminaler. Disse data inkluderer kortets nummer, kortholderens navn og udløbsdato. Som Chris Gheysens påpegede i meddelelsen, kan PoS-malware ikke stjæle PIN- og CVV-koder.

Hvis det, som JokerStash siger, er sandt, resulterede angrebet på Wawa i kompromiset med 30 millioner kort, hvilket ville betyde, at dette er et af historiens største krænkelser af denne art. Par det sammen med det faktum, at ifølge Gemini, den gennemsnitlige pris på amerikansk-udstedte kort svæver omkring $ 17 pr. Pop, mens ikke-amerikanske plader detailhandler for omkring $ 210, og du vil se, hvor mange penge hackerne står for at tjene, i det mindste i teorien.

Fra skurkenes perspektiv lyder det hele for godt til at være sandt

Gemini's eksperter bemærkede i deres rapport, at JokerStash er glad for, at vi ved, hvor dataene kommer fra. Tilsyneladende forsøger markedets administrator ofte at øge deres troværdighed ved at tilbyde kreditkort, der er stjålet under overtrædelser, der allerede er blevet offentliggjort. Dette kan dog også være gode nyheder for dem, der fik deres bankkort kompromitteret.

Den kendsgerning, at overtrædelsen allerede har gjort nyheden, betyder, at det er mere sandsynligt, at folk allerede har taget nogle skridt for at beskytte sig selv. Da Wawa for eksempel for første gang talte om hændelsen, tilbød den gratis identitetstyveri og kreditovervågningstjenester i et år til alle involverede, og vi er sikre på, at mindst nogle af ofrene har draget fordel af dette. Tankstationskæden lovede også at arbejde sammen med folk, der har set svigagtige betalinger på deres kreditkort på grund af overtrædelsen, men ikke har modtaget nogen restitutioner.

Med andre ord bør ofre for Wawa-bruddet være bedre forberedt på at imødegå risiciene, og det betyder, at datadumpen JokerStash forsøger at skubbe ikke er så tiltalende som det ser ud til i starten.