Varastatud andmed kui kaup

Küberkurjategijad müüvad varastatud pangakonto ja kaardiandmeid soodushindadega online-kaubamajades, mis on osa õitsvast põrandaalusest kübermajandusest. Põrandaalused veebipoed sarnanevad traditsioonilise majandusega - turujõududel, nagu nõudmine ja pakkumine, on siin otsene mõju hindadele, kurjategijad pakuvad tasuta näidiseid ning soodushindu hulgiostudele.

Turvaettevõtte Symantec andmetel olid 2007. aasta teises pooles allilma käsutuses olevates serverites enampakutud kaubaks pangakonto detailid koos kasutajanime ja parooliga. Hinnad varieerusid 10 ja 10 000 USD vahel, sõltudes kontoomaniku päritoluriigist ja konto vabade vahendite ulatusest.

Kõrgemalt hinnatud on suurema kontojäägiga ELi klientide kontod. Kuna Eesti pangandussektor on võtnud kasutusele ennetavad meetmed pangaklientide vara kaitseks, piirates nõrkade autentimisvahendite kasutajatel päevalimiite ning soodustades tugevate autentimisvahendite, nagu ID-kaart ja PIN-kalkulaator, kasutamist, on petistel lihtsam ja majanduslikult atraktiivsem rünnata teiste riikide pangakliente ning Eesti eraldi Symanteci statistikast välja ei joonistu.

Populaarsuselt teine müügiartikkel on krediitkaardiandmed. 2007. aasta teisel poolel kujunes keskmiseks tariifiks 40 dollarit 50 kaardinumbri eest ja 200 dollarit 500 kaardinumbri eest. Võrreldes 2007. aasta esimese poolega on hinnad langenud, siis pidi 100 kaardinumbri eest maksma vähemalt 100 dollarit.

Erinevalt kontoandmetest, mille otseseks allikaks on enamjaolt pettuse ohvriks langenud kontoomanik ise, lekivad kaardiandmed enamasti kaardimakseid vastuvõtvate kaupmeeste kaudu. Nii tunnistas USA jaemüüja TJX 2007. aasta jaanuaris, et tema infosüsteemist on häkkerid kopeerinud 46 miljonit deebet- ja krediitkaardi numbrit. Hilisema juurdluse käigus tuvastati, et kopeeritud andmete hulk oli 94 miljoni kandis. Tänaseks on TJK jõudnud VISA ja MasterCardiga kokkuleppele vastavalt 40,9 ja 24 miljoni dollari suuruste hüvitiste tasumises.

Kaardiandmete hankimise mooduseid on veelgi. Nende hulka kuuluvad phishing, pharming, wiretapping, skimming. TJK vastu sooritatud hacking-tüüpi rünnakute ennetamiseks on pangad aga kokku leppinud turvastandardis PCI DSS, millega sätestatakse kaardiandmete hoidmise ja käitlemise kord, mis tagab tundlikele andmetele ligipääsu ainult selleks volitatud isikutele. Kuna PCI DSSi nõuetele peavad vastama kõik kaupmehed ja teenusepakkujad, kellel on kaardiandmetele ligipääs, soovitame kõikidel kaardiandmete töötlejatel, olenemata ettevõtte suurusest, vaadata üle oma infosüsteem. Kui häkkeritel õnnestub saada kaardiandmeid, kaasneb sellega hüvitis kaartide väljaandjatele, rääkimata kahjust, mida kliendiandmete leke teeb teie kaubamärgile.

Sageli annavad just lihtsad meetmed suurimat efekti. Näiteks ei ole enamikul kaupmeestest vaja kaardiandmeid pikaajaliselt säilitada, kliendibaasi analüüsiks ei ole kaardinumbrid vajalikud. Kui seda siiski tehakse, tuleks kindlasti kustutada lisaandmed, nagu kehtivusaeg ja magnetriba info. Salvestatud ja võrgus liikuvad kaardiandmed peavad olema krüpteeritud kujul, samuti peaks andmeid hoidma vaid ühes kohas. Varukoopiad on rünnetele eriti tundlikud, kuna nende asukohti ei monitoorita pidevalt ja nii jääb võimalik leke pikaks ajaks märkamata. Unustada ei tohi ka kasutajate individuaalset autentimist, ligipääsu piiramist, tegevuste logimist, viirusetõrjet ega füüsilise ligipääsu kontrolli.