服飾品牌Forever 21發布其在2017年11月時回報的資料外洩事件調查結果,揭示出現端點銷售(PoS)惡意軟體及對受影響PoS設備進行未經授權存取的跡象,這些設備的加密技術曾被關閉。Forever 21的新聞稿稱這PoS惡意軟體是用來搜尋支付卡資料。
在聲明中:“惡意軟體只搜尋會經過PoS設備的支付卡磁軌資料。在大多數情況下,惡意軟體只能找到磁軌資料而沒有持卡人姓名 – 只有卡號、到期日和內部驗證碼,但偶爾還是會找到持卡人姓名”。
Forever 21在57個國家擁有超過800家的商店。雖然美國以外的商店使用不同的支付處理系統,但他們還在確認這些商店是否受到影響。Forever 21並且說明這惡意軟體和資料外洩事件並沒有影響在他們網站使用的支付卡。
[延伸閱讀:2017年的知名資料外洩事件時間表]
PoS惡意軟體(以AbaddonPOS、RawPOS和MajikPOS為代表)經常結合其他威脅來最大化能夠竊取的資料,像是後門程式和鍵盤側錄程式。被竊取的資料可能包括駕照、認證資訊和其他個人身份資訊(PII)。
被竊的資料最終通常都會放在地下網路犯罪市場販賣,最高可達700美元。像是中國地下市場也會提供相關的產品,如可以從PoS設備和自動提款機(ATM)取得資料的硬體側錄器。
被竊的PII也可以用來進行其他網路攻擊,就像Onliner Spambot利用之前資料外洩事件所打造的7.11億個帳號列表來散播垃圾郵件。網路犯罪分子還可以利用PoS惡意軟體來攻擊其他產業,從大型跨國公司到中小型企業(SMB)都有。
[延伸閱讀:駭客可以用你被竊的身份資料做什麼?]
企業在資料外洩方面所造成的損失不僅僅是收入。失去客戶的信任和商譽也一樣地嚴重。而將於2018年5月實施的歐盟通用資料保護規範(GDPR)將對未能保護客戶資料處以罰款2,000萬歐元(2400萬美元)。
以下是企業可以用來減輕這類威脅的五個做法:
