As conseqüências da violação de dados da Wawa em 2019: dados privados de milhões são vendidos na teia escura

Na semana passada, pesquisadores da empresa de inteligência contra ameaças Gemini Advisory notaram que havia uma nova oferta no Joker's Stash, um dos mercados mais populares da Dark Web para detalhes de cartões de crédito roubados. Foi postado pelo moderador do site (com o apelido pouco imaginativo de JokerStash) e foi nomeado BIGBADABOOM-III. Os pesquisadores de Gemini decidiram dar uma olhada no que os cibercriminosos tinham a oferecer.

Em 27 de janeiro, o JokerStash carregou os quatro primeiros bancos de dados. O anúncio afirma que toda a coleção é composta por mais de 30 milhões de registros, mas o lote da última semana possui apenas 100 mil. Os pesquisadores encontraram muitos dados falsificados de geolocalização dentro dos bancos de dados, mas também viram muitas informações reais, e não demoraram muito para perceber de onde tinham vindo.

Cibercriminosos estão tentando monetizar a violação de dados do Wawa em dezembro

Em dezembro, a Wawa, rede de lojas de conveniência e posto de gasolina, anunciou que seu sistema de pagamento havia sido infectado por malware no ponto de venda (PoS). A descoberta foi feita em 10 de dezembro e, em 48 horas, o malware foi removido. Investigações posteriores revelaram, no entanto, que o compromisso inicial ocorreu nove meses antes, em 4 de março.

Na época, Chris Gheysens, CEO da Wawa, não tinha muita certeza de qual era o escopo da violação, mas observou que entre a infecção inicial e 22 de abril, o malware conseguiu comprometer os sistemas de pagamento "no máximo" da Wawa. Localizações. Aparentemente, a intensidade do ataque diminuiu depois disso, mas o aviso de violação de dados implicava que o malware continuava ativo em algumas lojas até ser completamente contido em 12 de dezembro.

O nome exato do malware permanece desconhecido por enquanto, mas sabemos que ele agia como todas as outras ameaças desse tipo. Depois que o sistema de pagamento de uma loja é infectado, o malware é projetado para copiar todos os dados armazenados nas faixas magnéticas dos cartões de crédito e débito quando eles são passados nos terminais PoS. Esses dados incluem o número do cartão, o nome do titular do cartão e a data de validade. Como Chris Gheysens apontou no aviso, o malware PoS não pode roubar códigos PIN e CVV.

Se o que o JokerStash diz for verdade, o ataque a Wawa resultou no comprometimento de 30 milhões de cartões, o que significaria que essa é uma das maiores violações da história desse tipo. Junte isso ao fato de que, de acordo com Gemini, o preço médio dos cartões emitidos nos Estados Unidos gira em torno de US $ 17 por pop, enquanto os registros fora dos EUA são vendidos por cerca de US $ 210, e você verá quanto dinheiro os hackers ganham, pelo menos em teoria.

Do ponto de vista dos bandidos, tudo parece bom demais para ser verdade

Os especialistas de Gemini observaram em seu relatório que o JokerStash está feliz por sabermos de onde vêm os dados. Aparentemente, o administrador do mercado geralmente tenta aumentar sua credibilidade oferecendo cartões de crédito roubados durante violações que já foram tornadas públicas. Isso também pode ser uma boa notícia para aqueles que tiveram seus cartões bancários comprometidos.

O fato de a violação já ter divulgado a notícia significa que é mais provável que as pessoas já tenham tomado algumas medidas para se proteger. Quando Wawa falou sobre o incidente pela primeira vez, por exemplo, ofereceu serviços gratuitos de roubo de identidade e monitoramento de crédito por um ano a todos os envolvidos, e temos certeza de que pelo menos algumas das vítimas se aproveitaram disso. A rede de postos de gasolina também prometeu trabalhar com pessoas que viram pagamentos fraudulentos em seus cartões de crédito por causa da violação, mas não receberam reembolso.

Em outras palavras, as vítimas da violação Wawa devem estar melhor preparadas para enfrentar os riscos, e isso significa que o despejo de dados que o JokerStash está tentando enviar não é tão atraente quanto parece à primeira vista.