Źródła w branży finansowej mówią, że widzą oznaki, że Dairy Queen może być najnowsza sieć sprzedaży detalicznej, aby być ofiarą cyberprzestępców zgiętych na kradzieży danych kart kredytowych i debetowych. Dairy Queen mówi, że nie ma żadnych oznak naruszenia karty w każdym z tysięcy swoich lokalizacjach, ale firma przyznaje również, że prawie wszystkie sklepy są franczyzy i że nie ma ustalonego procesu firmy lub wymóg, że franczyzobiorcy komunikować problemy bezpieczeństwa lub naruszenia karty do centrali Dairy Queen.
Update, Aug. 28, 12:08 p.m. ET: Rzecznik Dairy Queen potwierdził, że firma niedawno usłyszała od U.S. Secret Service o „podejrzanej aktywności” związanej z odmianą złośliwego oprogramowania kradnącego karty znalezionego w setkach innych włamań do sklepów detalicznych. Dairy Queen twierdzi, że nadal prowadzi dochodzenie i współpracuje z władzami, i nie wie jeszcze, ile sklepów może być dotkniętych.
Oryginalna historia:
Po raz pierwszy zacząłem słyszeć doniesienia o możliwym naruszeniu kart w Dairy Queen co najmniej dwa tygodnie temu, ale nie mogłem znaleźć żadnych potwierdzających oznak tego – ani czając się w zacienionych internetowych „sklepach kartowych”, ani rozmawiając ze źródłami w branży bankowej. W ciągu ostatnich kilku dni dowiedziałem się jednak od wielu instytucji finansowych, które twierdzą, że mają do czynienia ze schematem oszustwa na kartach, które zostały ostatnio użyte w różnych lokalach Dairy Queen w kilku stanach. Istnieją również wskazówki, że te same karty są sprzedawane w cyberprzestępczym podziemiu.
Najnowszy raport z okopów pochodzi z unii kredytowej w środkowo-zachodniej części Stanów Zjednoczonych. Osoba odpowiedzialna za zapobieganie oszustwom w tej unii kredytowej chciała wiedzieć, czy słyszałem o naruszeniu w Dairy Queen, twierdząc, że instytucja finansowa wykryła oszustwo na kartach, które zostały ostatnio użyte w pół tuzinie lokali Dairy Queen w jej rodzimym stanie i okolicach.
Według unii kredytowej, ponad 50 klientów padło ofiarą oszustw kartowych tylko w ciągu ostatnich kilku dni po użyciu kart kredytowych i debetowych w lokalach Dairy Queen – niektórych tak odległych jak Floryda – a schemat oszustw sugeruje, że sklepy DQ zostały naruszone co najmniej od początku czerwca 2014 roku.
„We’re getting slammed today,” the fraud manager said Tuesday morning of fraud activity tracing back to member cards used at various Dairy Queen locations in the past three weeks. „Właśnie dostajemy wszystkie rodzaje spraw o oszustwa przychodzące od członków z fałszywymi kopiami ich kart używanych w sklepach z dolarami i sklepach spożywczych.”
Inne instytucje finansowe, z którymi kontaktował się reporter, widziały niedawne oszustwa na kartach, które były używane w lokalach Dairy Queen na Florydzie i w kilku innych stanach, w tym w Alabamie, Indianie, Illinois, Kentucky, Ohio, Tennessee i Teksasie.
W piątek, 22 sierpnia, KrebsOnSecurity rozmawiał z Deanem Petersem, dyrektorem ds. komunikacji sieci fast foodów z siedzibą w Minneapolis. Peters powiedział, że firma nie słyszała żadnych doniesień o oszustwach kartowych w poszczególnych lokalizacjach DQ, ale podkreślił, że prawie wszystkie sklepy Dairy Queen są niezależnymi właścicielami i operatorów. Zapytany, czy DQ miał jakiś wymóg, że jego franczyzobiorcy powiadomić firmę w przypadku naruszenia bezpieczeństwa lub problem z ich systemów przetwarzania kart, Peters powiedział no.
„W tym czasie, nie ma takiej polityki,” Peters powiedział. „Pomoglibyśmy im, gdyby dotarli do nas w sprawie naruszenia, ale jak dotąd nie słyszeliśmy od żadnego z naszych franczyzobiorców, że mieli jakiekolwiek naruszenie.”
Julie Conroy, dyrektor ds. badań w firmie doradczej Aite Group, powiedziała, że ogólnokrajowe firmy, takie jak Dairy Queen, powinny bezwzględnie mieć politykę powiadamiania franczyzobiorców o naruszeniach, choćby z innego powodu niż ochrona integralności marki firmy i jej publicznego wizerunku. „To wraca do odwiecznego wyzwania, z którym borykają się wszyscy mali handlowcy. Nawet w przypadku firm takich jak Dairy Queen, gdzie statek matka jest ogromny, każda z poszczególnych placówek to w zasadzie sklepiki typu mom-and-pop, a wiele z tych sklepów nadal nie uważa się za cel tego typu oszustw. Z drugiej strony, statek matka koncentruje się na stadzie kotów w postaci tysięcy franczyzobiorców i nie myśli o tym, że wszystkie te sklepy są celem dla cyberprzestępców i że powinny mieć jakąś ogólnofirmową politykę w tym zakresie. W rzeczywistości, marki franczyzowe, które mają tego rodzaju politykę w miejscu są o wiele bardziej wyjątkiem niż regułą.”
DEJA VU ALL OVER AGAIN?
Sytuacja najwyraźniej rozwijająca się z Dairy Queen przypomina podobne raporty w zeszłym miesiącu z wielu banków o oszustwach kartowych śledzonych w dziesiątkach lokalizacji Jimmy John’s, ogólnokrajowej sieci sklepów z kanapkami, która również jest prawie w całości własnością franczyzobiorców. Jimmy John’s powiedział, że bada roszczenia dotyczące naruszenia, ale jak dotąd nie potwierdził doniesień o naruszeniu kart w żadnym ze swoich ponad 1900 sklepów w całym kraju.
Poradnik DHS/Secret Service.
Pogłoski o naruszeniu kart płatniczych w co najmniej części z 4 500 krajowych, niezależnie prowadzonych sklepów Dairy Queen pojawiają się w obliczu coraz głośniejszych ostrzeżeń ze strony amerykańskiego Departamentu ds. Department of Homeland Security i Secret Service, które w zeszłym tygodniu powiedział, że ponad 1000 amerykańskich firm zostały dotknięte przez złośliwe oprogramowanie zaprojektowane do kradzieży danych kart kredytowych z systemów cash register.
W tym ostrzeżeniu, agencje ostrzegły, że hakerzy zostały skanowania sieci dla punktów sprzedaży systemów z możliwości zdalnego dostępu (myśleć LogMeIn i pcAnywhere), a następnie instalowanie złośliwego oprogramowania na urządzeniach POS chronionych przez słabe i łatwo odgadnąć hasła. W alercie zauważono, że co najmniej siedmiu sprzedawców/dostawców punktów sprzedaży potwierdziło, że dotkniętych zostało wielu klientów.
Mniej więcej w czasie, gdy wyszedł alert Secret Service, UPS Stores, spółka zależna United Parcel Service, powiedziała, że przeskanowała swoje systemy w poszukiwaniu oznak złośliwego oprogramowania opisanego w alercie i znalazła naruszenia bezpieczeństwa, które mogły doprowadzić do kradzieży danych kredytowych i debetowych klientów w 51 franczyzach UPS w całych Stanach Zjednoczonych (około 1 procent z 4 470 lokalizacji centrów franczyzowych w całych Stanach Zjednoczonych). Nawiasem mówiąc, sposób, w jaki UPS poradził sobie z ujawnieniem tego naruszenia – wyraźnie wskazując poszczególne sklepy, których ono dotyczyło – powinien być wzorem dla innych firm zmagających się z podobnymi naruszeniami. Continue reading →