Chaîne nationale de produits de beauté Sally Beauté semble être la dernière victime d’une violation ciblant leurs systèmes de paiement dans les magasins, selon des sources du secteur bancaire et de nouvelles données brutes provenant de magasins clandestins de cybercriminalité qui font le trafic de cartes de crédit et de débit volées.
Le 2 mars, un nouveau lot de 282 000 cartes de crédit et de débit volées a été mis en vente dans un magasin clandestin populaire. Trois banques différentes contactées par BreachTrace ont effectué des achats ciblés dans ce magasin, rachetant des cartes qu’elles avaient précédemment émises aux clients.
Le magasin de cartes Rescator annonce un nouveau lot de cartes. 15 cartes achetées par les banques à partir de ce lot ont toutes été récemment utilisées dans les magasins Sally Beauty.
Les banques ont ensuite chacune cherché à déterminer si toutes les cartes qu’elles avaient achetées avaient été utilisées chez le même commerçant au cours de la même période. Ce test, connu sous le nom de «point d’achat commun» ou CPP, est le principal moyen par lequel les institutions financières déterminent la source d’une violation de carte.
Chaque banque a signalé de manière indépendante que toutes les cartes (15 au total) avaient été utilisées au cours des dix derniers jours dans les établissements Sally Beauty à travers les États-Unis. Sally Beauty, basée à Denton, au Texas, possède quelque 2 600 magasins et la société possède des magasins dans tous les États américains.
Interrogée sur les conclusions des banques, la porte-parole de Sally Beauty Karen Fugate a déclaré que la société avait récemment détecté une intrusion dans son réseau, mais que ni les experts en technologie de l’information de la société ni une société de criminalistique extérieure n’avaient pu trouver la preuve que les données de la carte client avaient été volées dans les systèmes de la société.
Fugate a déclaré que Sally Beauty utilise un produit de détection d’intrusion appelé Tripwire, et qu’il y a quelques semaines – vers le 24 février – Tripwire a détecté une activité. Contrairement à d’autres produits qui tentent de détecter les intrusions basées sur un trafic réseau étrange ou anormal, Tripwire déclenche des alertes s’il détecte que certains fichiers système clés ont été modifiés.
En réponse à l’alerte de Tripwire, a déclaré Fugate, le service des technologies de l’information de l’entreprise a « fermé toutes les communications externes » et a ouvert une enquête. Cela comprenait l’apport Solutions d’entreprise Verizonune entreprise souvent engagée pour aider les entreprises à répondre aux cyber-intrusions.
« Depuis [Verizon’s] implication, qui a inclus une déconstruction des méthodes utilisées, un examen du trafic réseau, tous nos journaux et tous les serveurs potentiellement accessibles, nous n’avons trouvé aucune preuve que des données soient sorties de nos magasins », a déclaré Fugate. « Mais notre enquête se poursuit, bien sûr avec leur aide. »
Quoi qu’il en soit, les cartes volées qui remontent à Sally Beauty semblent avoir été volées assez récemment, ce qui correspond à peu près à la chronologie des intrusions notée par Sally Beauty : toutes les banques ont signalé des fraudes sur les cartes peu de temps après leur utilisation chez Sally Beauty, dans le dernière semaine de février et début mars.
La publicité produite par les criminels qui vendent ces cartes contient également des indices sur le moment de la violation. Les cartes volées atteignent des prix assez élevés lors de leur première mise sur le marché, mais ces prix ont tendance à baisser à mesure qu’un plus grand pourcentage du lot revient comme refusé ou annulé par les banques émettrices. Ainsi, le «taux valide» annoncé par les fraudeurs vendant ces cartes agit comme un indicateur de la récence de la violation, car à mesure que de plus en plus de banques commencent à remarquer une fraude associée à un commerçant particulier, beaucoup commenceront à annuler de manière proactive toutes les cartes utilisées chez le suspect. marchande.
Dans ce lot de cartes apparemment associées à l’infraction de Sally Beauty, par exemple, les voleurs annoncent les cartes comme étant « valides à 98% », ce qui signifie que si un acheteur devait acheter 100 cartes au magasin, il pourrait s’attendre à ce que toutes sauf deux serait toujours valable.
Les cartes volées lors de la violation de Target sont devenues beaucoup moins chères, car elles sont de plus en plus refusées ou annulées par les banques émettrices.
Dans les semaines précédant le 18 décembre – le jour où le monde a appris que Target avait été violé dans un compromis de carte similaire – les voleurs qui dirigeaient ce même magasin de cartes avaient annoncé plusieurs énormes lots de cartes à 100% valides. Dans les jours qui ont suivi l’admission par Target que des logiciels malveillants installés par des cybervoleurs dans les caisses enregistreuses de ses magasins avaient siphonné 40 millions de numéros de cartes de crédit et de débit, les « tarifs valides » annoncés pour ces cartes volées ont commencé à chuter précipitamment (ainsi que les prix des cartes volées elles-mêmes ).
Les articles en vente ne sont pas des cartes en soi, mais plutôt des données copiées à partir de la bande magnétique au dos des cartes de crédit. Armés de ces informations, les voleurs peuvent simplement réencoder les données sur du nouveau plastique, puis utiliser les cartes contrefaites pour acheter des articles à prix élevé dans les magasins à grande surface, des biens qui peuvent être rapidement revendus contre de l’argent (pensez aux iPads et aux cartes-cadeaux, par exemple). ).
Fait intéressant, ce lot de données de cartes volées a été mis en vente il y a trois jours par un archipel de boutiques de fraude étroitement liées à la violation de Target. Dans mes recherches précédentes, j’ai signalé qu’un mécréant utilisant le surnom de Rescator (et un magasin de cartes en ligne du même nom) était parmi les premiers – sinon la première – pour vendre ouvertement des cartes volées lors de la violation de Target. Reliant davantage la violation de Target à Rescator, les enquêteurs médico-légaux ont également trouvé la chaîne de texte «Rescator» enfouie dans les entrailles du logiciel malveillant trouvé sur les systèmes de Target. Selon des informations supplémentaires de cet auteur, Rescator pourrait être affilié à une personne à Odessa, en Ukraine.