Menagih penipuan kartu kredit kemungkinan besar tidak akan menghentikan pencurian
4 min read
SAN FRANCISCO – Dakwaan minggu ini terhadap seorang peretas yang diyakini bertanggung jawab atas pelanggaran data toko ritel terbesar dalam sejarah AS tidak serta merta membuat pembeli lebih aman dari penggerebekan nomor kartu kredit mereka.
Para pelaku kejahatan ini diyakini banyak berada di Rusia atau negara-negara lain di mana pihak berwenang AS cenderung tidak dapat menemukan mereka. Dan lubang keamanan mendasar yang dieksploitasi oleh para peretas masih ada di banyak jaringan pembayaran.
CAKUPAN LENGKAP: Klik di sini untuk semua liputan pencurian identitas FOXNews.com.
Albert Gonzalez, seorang peretas Miami yang pernah bekerja sebagai mata-mata pemerintah untuk melacak pencuri identitas, dituduh memainkan peran penting dalam semua pencurian kartu kredit terbesar yang pernah tercatat.
Dengan dakwaan terhadap Gonzalez pada hari Senin atas tuduhan konspirasi di Pengadilan Distrik AS di New Jersey, Departemen Kehakiman mengatakan dia membantu mencuri 130 juta nomor kartu dari pemroses pembayaran Heartland Payment Systems, 4,2 juta nomor kartu dari jaringan toko kelontong Pantai Timur Hannaford Bros. dan mencuri kartu dalam jumlah yang tidak ditentukan dari 7-Eleven. Dia sebelumnya telah didakwa dengan pelanggaran komputer lainnya, terutama di TJX Cos., jaringan yang memiliki pengecer diskon TJ Maxx dan Marshalls, di mana sebanyak 100 juta akun telah disusupi.
Gonzalez berada di penjara dan menunggu persidangan bulan depan di New York karena diduga membantu meretas jaringan komputer jaringan restoran Dave dan Buster. Pengacara Gonzalez tidak berkomentar kepada The Associated Press.
Fakta bahwa ratusan juta nomor kartu dapat dicuri dari pengecer menggambarkan kelemahan dalam sistem pembayaran yang dibangun lebih untuk kecepatan daripada keamanan, berdasarkan penyelidikan Associated Press tahun ini. Misalnya, nomor kartu kredit dan debit tidak selalu dienkripsi saat berpindah dari toko ritel ke bank untuk mendapatkan persetujuan.
Konsumen tidak secara langsung membayar biaya sebagian besar penipuan. Bank dan pengecer menanggung biaya tersebut. Namun konsumen menanggungnya secara tidak langsung, dalam bentuk harga yang lebih tinggi.
Menurut jaksa, Gonzalez dan rekan-rekannya mengeksploitasi kerentanan yang masih tersebar luas. Diantaranya: kelemahan dalam cara komputer pengecer menangani permintaan dalam apa yang disebut Structured Query Language (SQL), yang digunakan untuk mengelola data — seperti informasi kartu kredit — yang disimpan dalam database. Peretas yang menemukan lubang ini dapat mengelabui basis data agar memberikan lebih banyak informasi daripada yang seharusnya.
Kerentanan terkadang dapat dieksploitasi hanya dengan memasukkan perintah yang dibuat khusus ke dalam, misalnya, kotak pencarian di situs web yang dikonfigurasi dengan buruk. Alih-alih mengembalikan hasil pencarian normal, situs tersebut akan menyerahkan informasi rahasia atau mengizinkan peretas menempatkan program jahat di situs.
Pihak berwenang menuduh Gonzalez dan yang lainnya menyusup ke jaringan komputer Heartland, Hannaford dan 7-Eleven menggunakan serangan berbasis SQL.
Dalam sebuah pernyataan pada hari Selasa, 7-Eleven Inc., yang sebelumnya tidak mengomentari pelanggaran tersebut, mengatakan serangan tersebut mempengaruhi ATM yang dioperasikan oleh pihak ketiga di tokonya dan berlangsung selama 12 hari pada tahun 2007. Hal ini mungkin mengacu pada serangan di mana penjahat menyusup ke jaringan ATM Citibank di dalam toko 7-Eleven dan mencuri sumber utama dunia pencurian ID: kode PIN pelanggan. Baik 7-Eleven maupun Citibank tidak akan menjelaskan lebih lanjut pada hari Selasa.
Pakar keamanan juga mencatat bahwa dakwaan terbaru Gonzalez mendakwa dua rekan konspirator yang tidak disebutkan namanya yang tinggal “di atau dekat Rusia” dan diduga membantu serangan tersebut.
Dan Clements, presiden CardCops, yang melacak data kartu kredit yang dicuri secara online, menyebutnya sebagai “dakwaan tertulis yang cerdik” yang menunjukkan bahwa pemerintah mungkin mencoba menekan mantan informannya untuk memberikan informasi lebih lanjut tentang Hacker 1 dan Hacker 2. Ekstradisi para tersangka tersebut Namun, kecil kemungkinannya, Clements menambahkan.
“Kami tidak aman,” kata Clements. Gonzalez “di sini, di tanah Amerika. Itu adalah kesalahan besarnya. Jika dia berada di tempat lain, dia tidak akan masuk penjara.”
Ori Eisen, pendiri perusahaan keamanan 41st Parameter yang berbasis di Scottsdale, Arizona dan mantan direktur penipuan global untuk American Express, menambahkan bahwa Gonzalez “kemungkinan besar bukanlah kuncinya. Gembong tersebut tidak akan mengambil risiko berada di Amerika Serikat. Mereka bekerja dari Ukraina atau Rusia, dan mereka adalah mantan militan atau mantan KGB yang cukup tahu jalan keluarnya agar tidak tertangkap.”
Adapun Gonzalez, “apa yang terjadi di luar sana tidak akan berhenti menangkapnya dengan cara apa pun,” kata Eisen.
Konsumen tidak mempunyai banyak pilihan untuk memantau apakah toko yang mereka kunjungi pandai melindungi nomor kartu mereka. Toko tidak mendapatkan skor publik mengenai keamanan komputer mereka seperti skor yang diperoleh restoran di beberapa tempat untuk kebersihannya. Saran terbaik: Periksa laporan kredit Anda secara teratur untuk mengetahui adanya aktivitas mencurigakan, dan ajukan peringatan penipuan gratis ke agen pelaporan kredit.
Dalam kasus ini, pencuri mungkin gagal karena terlalu sukses. Sulit untuk mengunduh ratusan juta nomor kartu kredit curian di pasar gelap.
Clements mengatakan penjahat biasanya menjual nomor kartu curian dalam jumlah 10.000 atau kurang. Hal ini membantu menghindari menarik perhatian penegak hukum dan penyedia kartu, yang mungkin akan mengganti kartu jika mereka melihat tumpukan kartu dipagari. Banyak nomor kartu yang dicuri dalam pelanggaran yang disebutkan dalam dakwaan Gonzalez telah dibatalkan dan diganti.
