Güvenlik İzleme: müşterileri değil, şirketleri ihlal etmeleri nedeniyle zarar görüyorlar | Max Eddy

29 Mart'ta Earl Enterprises, zincir restoranlarına gelen ziyaretçilerin kredi kartı bilgilerini çalmış olabileceğini açıkladı. Her zaman olduğu gibi, böyle bir şey olduğunda, tüketicilere, kendilerini korumak için neler yapabilecekleri hakkında bazı önerilerde bulunmam istendi. Yıllarca süren benzer öykülerden aşınmış bir konudur, ancak bu sefer farklı hissettirdi. Bu kısmen, saldırının benzersiz doğası nedeniyle değil, aynı zamanda tüketicilerdeki pislikleri temizleme sorumluluğunu verme pratiğimizden de kaynaklanıyor. Öncelikle verilerin ele geçirilmesine izin veren şirketlere ait olduğu yerin başına gitme zamanı.

İhlalin üstüne

Buca di Beppo, Chicken Guy !, Sandviç Earl, Mixology, Planet Hollywood ya da Tequila Taqueria'da yemek yerseniz, kredi kartı veya banka kartı bilgilerinizi çalmış olabilirsiniz. Earl Enterprises'a göre, bu sahtekarlık için gereken her şeyi içerebilir: kart numarası, son kullanma tarihi ve bazı kart sahibi adları. Etkilenen insan sayısının 2 milyon civarında olduğu bildiriliyor.

Bu özel ihlal ile ilgili ilginç bir gerçek, kendi başına bir ihlal olmadığıdır. Bunun yerine, bilgisayar korsanları, çeşitli restoranlardaki satış noktalarına veya POS'lara (evet, bu gerçek kısaltmadır) makinelere uzaktan erişmeyi ve müşteri verilerini kazanarak kötü amaçlı yazılım yüklemeyi başardı. Bu bilgi bir araya toplanmış ve karaborsa web sitelerinde satılmıştır.

Güvende Kalmak İçin Ne Yapabilirsiniz?

POS makinelerinde kötü amaçlı yazılımlar hakkında biraz yanı sıra, Earl Enterprises ihlal / saldırı oldukça tipiktir. Tüketicilerin (bu sensin) güvende kalmak için neler yapabileceği üzerine vereceğim tavsiyeler gibi.

İlk önce, genellikle bir kredi kartı kullanın, banka kartı değil derim. Kredi kartı işlemleri kolayca tersine çevrilir ve kredi kartı şirketleri sizden önce dolandırıcılık yakalamakta çok iyidir. Önemli olarak, sahte kredi kartı ücretlerinden siz sorumlu değilsiniz. Banka kartı kullanmak aslında nakit bir işlemdir. Bunlar için para iadesi alabilirsiniz, ancak bazen daha uzun sürer ve en kötü durumlarda senaryolar banka veya FDIC ile bazı çekişmelere yol açabilir.

Bu bir zamanlar dışına çıktığında, magstripe işlemleriyle ilgili sorunlara giriyorum. Magstripler aptalca basittir. Bir USB magstripe okuyucusu bağlayabilir, bir kart çalıştırabilir ve bilgisayar bilgileri sizin için bir metin dosyasına girecektir. Bir çip kartı (EMV kartı), araya girmesi çok daha güvenli ve daha zor olan farklı bir işlem kullanır.

Bu, bu bilginin genellikle skimmers veya shimmers adı verilen küçük cihazlarla nasıl çalındığı hakkında doğal bir tartışmaya yol açar. Onları nasıl tespit edeceğimi anlatan bir hikayem var, böylece okuyabilirsiniz. Amaç, POS makinelerini kullanmadan önce, karşılaştığınız her bağlamda, özellikle de gaz pompalarında ve dış mekan ATM'lerinde denetlemenin iyi bir fikir olduğudur. Size bir tıklama kaydettim (ancak yine de tıklayın, ödeme almama yardımcı oluyor).

Bundan sonra ödemeler için yüksek teknolojili çözümler hakkında her şeyi başlatacağım. Android Pay, Apple Pay ve Samsung Pay, gerçek kredi kartı bilgilerinizi asla açığa çıkarmayan bir belirleme sistemi kullanır. Bilgiler kablosuz olarak iletildiğinden bunları kullanmak daha az güvenli görünebilir, ancak aslında çok iyi.

Sonra da Abine Blur'u ön ödemeli kredi kartları ve sahte e-posta adresleri oluşturmak için nasıl kullanabileceğinizi biraz ele alacağım. Belki de nakit ve ön ödemeli kredi kartlarının, iş yapmanın en güvenli ve gizlilik bilincine sahip yolları olduğunu söylerim. Kimlik hırsızlığı koruma hizmetlerini kesinlikle desteklemeyeceğim, çünkü gerçekten çalıştıklarından emin değilim ve kredi takibi hakkında fazla bir şey söylemeyeceğim çünkü derlenmekte olan kendi finansal bilgileriniz için ödeme yapmanız gerektiğini düşünmüyorum senin rızan olmadan.

Bitcoin'i asla onaylamam çünkü bu adamları ciddiye al.

Ne kadar dikkatli olduğun önemli değil

Bu tür hikayeleri PCMag'e her zaman yazıyoruz ve insanların yaşamlarında fark yaratabilecek şeyleri göstermek için kullanışlıdırlar. İnsanlara ödeme yapmanın daha akıllıca yollarını bilmeli ve şifre yöneticileri ve 2FA kullanmaları tavsiye edilmeli ya da en azından bu şeylerin ne olduğunu bilmeleri için yaşamlarında bilinçli seçimler yapmaları önerilmelidir. Ancak Earl Enterprises ihlali beni çok etkiledi çünkü müşterilerin kendilerini gerçekten korumak için yapabilecekleri hiçbir şey yoktu.

Earl Enterprises saldırısında, kötü adamlar POS makinelerine uzaktan erişime sahipti. Bu, bir müşteri kart okuyucularını ne kadar araştırırsa araştırsın, tehdit makinenin içinde olduğu için bir masal kepçe bulamayacaklardı. Üstelik, ABD restoranlarında müşteriler POS terminaliyle bile bağlantı kurma seçeneğine sahip değiller. Ödememizi, kartı yöneten ve bir makbuzla iade eden sunucuya veriyoruz. Bu, müşterilerin daha yeni ve daha güvenli mobil cihaz ödeme sistemini kullanamayacağı anlamına gelir. Ayrıca, herhangi bir tüccarın EMV çiplerini veya mobil ödemeleri desteklediğine veya bu personelin nasıl kullanılacağı konusunda eğitileceğine dair hiçbir garanti yoktur.

Bu, Earl Enterprises'ın ihlale yanıt vermesi 10 ay sürdüğü rapor edilmediğinden bahsetmiyor. Bunun nedeni, bu bilgilerin bu tür işlemler için standart olan toplu olarak satılması nedeniyle, mağdurlar gelecek yıllar için ikinci ve üçüncü dereceden sonuçlarla karşılaşabilirler.

Bu konuda vermem gereken tavsiyelerin arasında, tek bir seçenek kalıyor: nakit ya da ön ödemeli kartlar kullan. 2019 yılında, bir dron satın almak için bir telefon kullanabildiğim ve eve gelmeden evime getirdiğimde, hepsi Tayland'da bir arkadaşınızı çağırırken, bu oldukça saçma bir durum.

Bazı şeyleri değiştirebilecek gibi görünen ilk büyük veri ihlali, 2013 yılında, 110 milyon Hedef müşterisinin, özel bilgilerinde özel bir bluelight olduğunu keşfettiğinde oldu. Earl Enterprises saldırısı gibi, müşterilerin kendilerini korumak için fizibil bir şekilde yapabilecekleri çok az şey vardı. O dönemde, tüketici tepkilerinin şirketi batırabileceği endişesi vardı.

Bu olmadı ve manşetlere yapılan sonraki ihlallerden hiçbiri için olmadı. Hedef bir darbe aldı ve biraz para ödedi, ancak işte kaldı. Ayrıca, başlıkları oluşturan diğer ihlallerin hiçbiri için yıkıcı sonuçlar yoktu ve bir şirket kötü davrandığında ve müşterilerinin özel bilgilerini kötüye kullandığında (ki size bakıyorsa, gerçek bir finansal acı görmedik), Facebook !). Aslında, müşterilere bu şekilde ihanet etmek çok yaygınlaştı, PCMag’in Earl Enterprises saldırısını ele alması mantıklı gelmiyordu. Sadece dikkatini garanti etmedi.

Tüketici savunma konusunda hiçbir miktar bu tür bir sahtekarlığı durduramaz ve görünüşe göre güvenlik ihlali konusunda hiçbir kötü baskı yapılmazsa, bir kurumun müşteri bilgilerini yeterli bir şekilde koruyabilmesi için yeterince zarar vermez. Aklıma, bu bir seçenek bırakıyor: düzenleme.

Tüketici Korumaları Tüketicileri Korur

• 2019 İçin En İyi Şifre Yöneticileri 2019 İçin En İyi Şifre Yöneticileri
• 70M Alışverişe Kadar Etkilenen Hedef Hack 70M Alışverişe Kadar Etkilenen Hedef Hack
• İki Faktörlü Kimlik Doğrulama: Kimde ve Nasıl Kurulması İki Faktörlü Kimlik Doğrulama: Kimde ve Nasıl Kurulması

Şirketler, müşterileri etkileyen güvenlik ihlallerinden yasal ve mali olarak sorumlu tutulmalıdır. Para cezaları, soruşturmalar ve mahkeme emri sonuçları olmalı. Paranın avukatlara harcanması gerekiyor - çok fazla para . Müşterilerin yasalara uyması için yasa koymaları için kendi paralarını ve enerjilerini harcamak zorunda oldukları mevcut model makul değildir. Kendimizi küçük dolandırıcılıktan korumak için gereken enerji olduğu gibi, ya da daha da kötüsü, kimlik hırsızlığından sonra hayatımızı yeniden birleştirmeye çalışmak.

Şirketlerin ayrıca tehditleri ciddiye alması ve saldırıları planlaması gerekir. En az müşteri verisi en az depolanmalı ve depolanan her şey encyrpte tutulmalı ya da çalındığında yararsız hale getirmek için başka yollarla saklanmalıdır. Ayrıca, ödeme sistemlerinin yaratıcıları, tehditleri ciddiye almaya başlamalıdır; bu, tüccarlardan daha güvenli cihazlar için talep olması durumunda eminim.

Uzun bir süredir, son on yılda açığa çıkan gizli özel bilgi hacminin, herkesin bir şekilde incindiği veya zarar göreceği anlamına geldiğinden şüphelendim. Bu kabul edilemez. Kendim için konuşuyorum, 2019 numaralı ikinci banka kartımdayım, çünkü ilk ikisi sayılarını tehlikeye attı. Nisan.