Le conseguenze della violazione dei dati di Wawa del 2019: i dati privati di milioni vengono venduti sul Web oscuro

La scorsa settimana, i ricercatori della società di intelligence sulle minacce Gemini Advisory hanno notato che c'era una nuova offerta su Joker's Stash, uno dei mercati più famosi del Dark Web per i dettagli delle carte di credito rubate. È stato pubblicato dal moderatore del sito (con il soprannome piuttosto privo di fantasia di JokerStash), ed è stato chiamato BIGBADABOOM-III. I ricercatori di Gemini hanno deciso di dare un'occhiata più da vicino a ciò che i criminali informatici avevano da offrire.

Il 27 gennaio, JokerStash ha caricato i primi quattro database. L'annuncio afferma che l'intera collezione comprende oltre 30 milioni di record, ma il lotto della scorsa settimana ne contiene solo 100 mila. I ricercatori hanno trovato un sacco di dati di geolocalizzazione falsificati all'interno dei database, ma hanno anche visto molte informazioni reali e non ci è voluto molto per capire da dove provenissero.

I criminali informatici stanno cercando di monetizzare la violazione dei dati Wawa di dicembre

A dicembre, il minimarket e la catena di distributori di benzina Wawa hanno annunciato che il suo sistema di pagamento era stato infettato da malware Point-of-Sale (PoS). La scoperta è stata fatta il 10 dicembre ed entro 48 ore il malware è stato rimosso. Ulteriori indagini hanno rivelato, tuttavia, che il compromesso iniziale è avvenuto nove mesi prima, il 4 marzo.

All'epoca, Chris Gheysens, CEO di Wawa, non era del tutto sicuro di quale fosse la portata della violazione, ma ha notato che tra l'infezione iniziale e il 22 aprile, il malware è riuscito a compromettere i sistemi di pagamento "al massimo" di Wawa posizioni. Apparentemente, l'intensità dell'attacco è diminuita dopo, ma l'avviso di violazione dei dati ha implicato che il malware ha continuato ad essere attivo in alcuni negozi fino a quando non è stato completamente contenuto il 12 dicembre.

Il nome esatto del malware rimane sconosciuto per ora, ma sappiamo che ha agito praticamente come ogni altra minaccia di questo tipo. Una volta che il sistema di pagamento di un negozio è stato infettato, il malware è progettato per copiare tutti i dati memorizzati sulle strisce magnetiche delle carte di credito e di debito quando vengono trascinati ai terminali PoS. Questi dati includono il numero della carta, il nome del titolare della carta e la data di scadenza. Come ha sottolineato Chris Gheysens nell'avviso, il malware PoS non può rubare codici PIN e CVV.

Se ciò che dice JokerStash è vero, l'attacco a Wawa ha provocato il compromesso di 30 milioni di carte, il che significherebbe che questa è una delle più grandi violazioni della storia di questo tipo. Abbinalo al fatto che, secondo Gemini, il prezzo medio delle carte emesse dagli Stati Uniti si aggira intorno ai $ 17 al pop mentre i dischi non statunitensi vendono al dettaglio per circa $ 210, e vedrai quanti soldi gli hacker dovranno fare, almeno in teoria.

Dal punto di vista dei criminali, tutto sembra troppo bello per essere vero

Gli esperti di Gemini hanno notato nel loro rapporto che JokerStash è felice di sapere da dove provengono i dati. Apparentemente, l'amministratore del marketplace spesso cerca di aumentare la loro credibilità offrendo carte di credito rubate durante violazioni che sono già state rese pubbliche. Questa potrebbe anche essere una buona notizia per coloro che hanno compromesso le loro carte bancarie.

Il fatto che la violazione abbia già fatto notizia significa che è più probabile che le persone abbiano già preso alcune misure per proteggersi. Quando Wawa ha parlato dell'incidente per la prima volta, ad esempio, ha offerto servizi gratuiti di furto di identità e monitoraggio del credito per un anno a tutti i soggetti coinvolti, e siamo sicuri che almeno alcune delle vittime ne hanno approfittato. La catena di distributori di benzina ha anche promesso di lavorare con persone che hanno visto pagamenti fraudolenti sulle loro carte di credito a causa della violazione ma non hanno ricevuto alcun rimborso.

In altre parole, le vittime della violazione di Wawa dovrebbero essere meglio preparate ad affrontare i rischi, e questo significa che il dump di dati che JokerStash sta cercando di spingere non è così attraente come sembra all'inizio.