Kilder i den finansielle industri siger, at de ser tegn på, at Dairy Queen kan være den seneste detailkæde, der kan blive offer for cyberkriminelle, der er opsat på at stjæle kredit- og betalingskortdata. Dairy Queen siger, at der ikke er noget, der tyder på, at der skulle være sket et kortbrud på nogen af de tusindvis af forretninger, men virksomheden erkender også, at næsten alle forretninger er franchisebutikker, og at der ikke er nogen etableret virksomhedsproces eller krav om, at franchisetagere meddeler sikkerhedsproblemer eller kortbrud til Dairy Queens hovedkvarter.
OPDATERING, 28. august kl. 12:08 ET: En talsmand for Dairy Queen har bekræftet, at virksomheden for nylig hørte fra U.S. Secret Service om “mistænkelig aktivitet” i forbindelse med en stamme af malware, der stjæler kort, og som er fundet i hundredvis af andre indbrud i detailhandlen. Dairy Queen siger, at selskabet stadig undersøger sagen og samarbejder med myndighederne og endnu ikke ved, hvor mange butikker der kan være berørt.
Original story:
Jeg begyndte først at høre rapporter om et muligt kortbrud hos Dairy Queen for mindst to uger siden, men kunne ikke finde nogen bekræftende tegn på det – hverken ved at lure i skumle online-“kortbutikker” eller ved at tale med kilder i banksektoren. I løbet af de sidste par dage har jeg imidlertid hørt fra flere finansielle institutioner, som siger, at de har at gøre med et mønster af svindel med kort, som alle for nylig blev brugt på forskellige Dairy Queen-butikker i flere stater. Der er også tegn på, at de samme kort bliver solgt i den underjordiske cyberkriminalitet.
Den seneste rapport i skyttegravene kom fra en kreditforening i det midtvestlige USA. Den ansvarlige for forebyggelse af svig i denne kreditforening henvendte sig for at høre, om jeg havde hørt om et brud på Dairy Queen og oplyste, at pengeinstituttet havde opdaget svig på kort, der alle for nylig var blevet brugt på et halvt dusin Dairy Queen-butikker i og omkring dets hjemstat.
Ifølge kreditforeningen var mere end 50 kunder blevet ofre for en snestorm af kortsvindel alene i de seneste par dage efter at have brugt deres kredit- og betalingskort på Dairy Queen-butikker – nogle så langt væk som Florida – og mønsteret af svindel tyder på, at DQ-butikkerne blev kompromitteret mindst så langt tilbage som i begyndelsen af juni 2014.
“Vi bliver smadret i dag,” sagde bedragerichefen tirsdag morgen om bedrageriaktivitet, der kan spores tilbage til medlemskort, der er brugt på forskellige Dairy Queen-lokationer i de seneste tre uger. “Vi får bare alle slags bedragerisager ind fra medlemmer, der har forfalskede kopier af deres kort, som bruges i dollarbutikker og dagligvarebutikker.”
Andre finansielle institutioner, som denne reporter har kontaktet, har set nylige svindelnumre på kort, der alle blev brugt på Dairy Queen-steder i Florida og flere andre stater, herunder Alabama, Indiana, Illinois, Kentucky, Ohio, Tennessee og Texas.
Fredag den 22. august talte KrebsOnSecurity med Dean Peters, kommunikationschef for den Minneapolis-baserede fastfoodkæde. Peters sagde, at virksomheden ikke havde hørt nogen rapporter om kortsvindel på de enkelte DQ-lokationer, men han understregede, at næsten alle Dairy Queen-butikker var uafhængigt ejede og drevne. Da han blev spurgt, om DQ havde nogen form for krav om, at franchisetagere skulle underrette virksomheden i tilfælde af sikkerhedsbrud eller problemer med deres kortbehandlingssystemer, svarede Peters nej.
“På nuværende tidspunkt er der ikke nogen sådan politik,” sagde Peters. “Vi ville hjælpe dem, hvis de henvendte sig til os om et brud, men indtil videre har vi ikke hørt fra nogen af vores franchisetagere, at de har haft nogen form for brud.”
Julie Conroy, forskningsdirektør hos rådgivningsfirmaet Aite Group, sagde, at landsdækkende virksomheder som Dairy Queen absolut bør have politikker for anmeldelse af brud for franchisetagere, om ikke andet så for at beskytte integriteten af virksomhedens brand og offentlige image.
“Det er uden tvivl et spørgsmål om brandbeskyttelse,” sagde Conroy. “Dette går tilbage til den evige udfordring med alle små købmænd. Selv med virksomheder som Dairy Queen, hvor moderskibet er enormt, er hver af de enkelte forretninger i bund og grund mom-and-pop-butikker, og mange af disse butikker tror stadig ikke, at de er et mål for denne form for svindel. I forlængelse heraf er moderskibet fokuseret på at vogte en flok katte i form af tusindvis af franchisetagere, og de tænker ikke på, at alle disse butikker er mål for cyberkriminelle, og at de bør have en eller anden form for virksomhedsdækkende politik på dette område. Faktisk er franchisetagere, der har en sådan politik, langt mere undtagelsen end reglen.”
DEJA VU ALL OVER AGAIN?
Den situation, der tilsyneladende udvikler sig med Dairy Queen, minder om lignende rapporter i sidste måned fra flere banker om kortsvindel, der kan spores tilbage til snesevis af steder hos Jimmy John’s, en landsdækkende sandwichkæde, der også næsten udelukkende er franchiseejet. Jimmy John’s har sagt, at det undersøger påstandene om bruddet, men indtil videre har det ikke bekræftet rapporter om kortbrud i nogen af dets mere end 1.900 butikker i hele landet.
DHS/Secret Service advisory.
Rygter om et kortbrud, der involverer i det mindste en brøkdel af Dairy Queens 4.500 indenlandske, uafhængigt drevne butikker, kommer midt i stadig mere højlydte advarsler fra USA’s myndigheder om, at der skulle være sket et kortbrud. Department of Homeland Security og Secret Service, som i sidste uge sagde, at mere end 1.000 amerikanske virksomheder var blevet ramt af skadelig software, der er designet til at stjæle kreditkortdata fra kassesystemer.
I denne advarsel advarede myndighederne om, at hackere har scannet netværk for point-of-sale-systemer med fjernadgangsmuligheder (tænk LogMeIn og pcAnywhere) og derefter installeret malware på POS-enheder, der er beskyttet af svage og let gættelige adgangskoder. I advarslen blev det bemærket, at mindst syv leverandører/udbydere af salgssteder bekræftede, at flere kunder er blevet berørt.
Omkring det tidspunkt, hvor Secret Service udsendte sin advarsel, sagde UPS Stores, et datterselskab af United Parcel Service, at det scannede sine systemer for tegn på den malware, der er beskrevet i advarslen, og fandt sikkerhedsbrud, der kan have ført til tyveri af kundekredit- og debitdata i 51 UPS-franchisebutikker i USA (ca. 1 procent af de 4.470 franchisebutikker i USA). I øvrigt bør den måde, hvorpå UPS håndterede offentliggørelsen af bruddet – med tydelig angivelse af de enkelte berørte butikker – være et forbillede for andre virksomheder, der kæmper med lignende brud. Fortsæt læsning →