Взлом Target: миллионы украденных карт

Глава 1: Черная пятница, которую никто не ждал

Здравствуйте, дорогие читатели!

Сегодня расскажу вам историю, которая перевернула представление о безопасности в современном мире. Это не выдумка и не сценарий голливудского фильма. Всё произошло на самом деле – в декабре 2013 года, когда обычные американцы готовились к Рождеству и не подозревали, что их банковские карты уже лежат в руках преступников.

Приготовьтесь узнать правду о том, как небольшая компания по ремонту холодильников случайно открыла дверь в один из крупнейших магазинов Америки. И как через эту дверь прошли воры, укравшие данные сорока миллионов карт.

Поехали.

Девятнадцатое декабря 2013 года. Четверг.

Джессика Миллер проснулась рано. За окном ее дома в пригороде Миннеаполиса еще было темно. Снег лежал толстым слоем на крышах соседних домов. Зима в этих краях суровая – минус пятнадцать считается нормальной погодой.

Она выпила кофе, накинула теплую куртку и поехала на работу. Джессика работала кассиром в большом магазине Target. Обычная девушка двадцати трех лет. Студентка местного колледжа. Подрабатывала, чтобы оплатить учебу.

Target – это сеть супермаркетов, где продают всё. От продуктов до электроники. От детских игрушек до мебели. В Америке почти в каждом городе есть такой магазин. Красный логотип с белым кругом внутри знают все.

Джессика пришла на смену в шесть утра. Магазин открывался в восемь. Нужно было подготовить кассы, проверить терминалы для карт, разложить пакеты.

– Доброе утро, Джесс, – поприветствовал ее Майк, менеджер зала. Мужчина лет сорока пяти с седеющими висками.

– Привет, Майк. Как дела?

– Нормально. Готовься к наплыву. До Рождества осталась неделя. Люди скупают всё подряд.

Джессика кивнула. Она знала, что предпраздничные дни – самые напряженные. Очереди до самого выхода. Тележки, набитые подарками. Уставшие родители с капризными детьми.

Но в тот день она не знала главного. Пока она раскладывала пакеты возле кассы номер семь, в компьютерной системе магазина происходило нечто странное. Невидимое. Тихое.

Программа-шпион копировала данные каждой карты, которую покупатели прикладывали к терминалу.

Номер карты. Имя владельца. Срок действия. Защитный код с обратной стороны.

Всё это улетало куда-то далеко. В серверы, расположенные за тысячи километров от Миннеаполиса.

Прошло несколько дней.

Двадцать третье декабря. Понедельник. До Рождества оставалось два дня.

В колл-центре банка Wells Fargo зазвонил телефон. Оператор Сьюзен подняла трубку.

– Здравствуйте, служба поддержки Wells Fargo. Чем могу помочь?

– Я не понимаю, что происходит! – голос на другом конце провода звучал взволнованно. Женщина средних лет, судя по интонации. – С моей карты списали деньги в Калифорнии! Я живу в Нью-Йорке и никуда не уезжала!

Сьюзен посмотрела на экран компьютера. Ввела данные клиентки.

– Сейчас проверю. Действительно, вижу транзакцию на триста долларов в Лос-Анджелесе. Вы не давали карту родственникам?

– Нет! Карта у меня в кошельке! Я расплачивалась ей только в Target на прошлой неделе!

Сьюзен нахмурилась. Странно. Но такие случаи бывают. Мошенники научились копировать карты разными способами.

– Не волнуйтесь. Мы заблокируем карту и вернем деньги. Сейчас оформлю заявку.

Через час позвонил еще один клиент. Потом еще один. К концу дня Сьюзен приняла двадцать три звонка. У всех одна и та же история – несанкционированные списания после покупок в Target.

Она доложила руководителю смены.

– Боб, тут что-то не так. Слишком много жалоб на Target за один день.

Боб почесал затылок. Высокий мужчина с усами, проработавший в банке пятнадцать лет.

– Передам информацию в отдел безопасности. Пусть разбираются.

А в это время в Target всё работало как обычно. Покупатели стояли в очередях. Кассиры пробивали товары. Терминалы считывали карты.

И программа-шпион продолжала свою работу.

Рождество прошло. Наступило двадцать шестое декабря.

Том Андерсон сидел в своем офисе в центре Далласа. Работал финансовым аналитиком в крупной компании. Проверял почту после праздничных выходных.

Письмо от банка. Тема: “Подозрительная активность по вашей карте”.

Том открыл письмо. Сердце екнуло.

Пять транзакций за последние два дня. Магазины электроники в разных штатах. Общая сумма – две тысячи триста долларов.

Он схватил телефон. Позвонил в банк.

– Я ничего не покупал! Карта у меня! Что за чёрт?!

Оператор попросил успокоиться. Начал задавать вопросы.

– Где вы использовали карту последний раз?

Том задумался.

– В Target. Покупал подарки детям. Это было двадцатого декабря.

Пауза на другом конце линии.

– Понятно. Сейчас заблокируем карту. Деньги вернем в течение десяти рабочих дней.

Том положил трубку. Растерянность сменилась злостью. Как так получилось? Он всегда был осторожен. Не светил карту где попало. Не вводил данные на подозрительных сайтах.

Он открыл браузер. Набрал в поисковике: “Target кража данных карт декабрь 2013”.

Результаты его шокировали.

Десятки форумов. Сотни комментариев. Люди со всей страны жаловались на одно и то же. Купили что-то в Target – через несколько дней деньги начали пропадать со счетов.

– Господи, – прошептал Том. – Это масштабная утечка.

А в штаб-квартире Target в Миннеаполисе царила напряженная тишина. Руководство компании уже знало о проблеме. Но молчало. Надеялись, что всё утихнет само собой.

Ошибались.

Восемнадцатого декабря – за день до того, как Джессика вышла на смену – в систему безопасности Target поступило предупреждение.

Автоматическая система обнаружила подозрительную активность. Файлы, которые не должны были там находиться. Программа, которая отправляла данные на внешние серверы.

Специалист по безопасности в Бангалоре, Индия, увидел красный сигнал на мониторе. Target передал часть функций безопасности на аутсорсинг индийской компании. Экономия бюджета, знаете ли.

Специалист по имени Раджеш немедленно отправил отчет в Миннеаполис. В отчете было написано: “Обнаружена вредоносная программа. Рекомендуется немедленная блокировка зараженных систем”.

Письмо получили. Прочитали.

И проигнорировали.

Почему? Точного ответа нет до сих пор. Возможно, посчитали ложной тревогой. Возможно, не хотели останавливать работу магазинов в самый прибыльный сезон года.

Решение оказалось катастрофическим.

Двадцать седьмого декабря новость просочилась в прессу. Один из банков сообщил журналистам, что видит массовые случаи мошенничества. Все жертвы – клиенты Target.

Телефоны в службе поддержки Target раскалились докрасна. Люди звонили, требовали объяснений.

– Это правда, что у вас украли данные карт?

– Моя информация в опасности?

– Кто вернет мне украденные деньги?!

Джессика стояла возле своей кассы номер семь и не знала, что ответить покупателям. Ее никто не предупредил. Никто не объяснил, что произошло.

Женщина лет пятидесяти подошла к кассе с тележкой продуктов.

– Девушка, а у вас точно безопасно карточкой расплачиваться?

Джессика растерялась.

– Я… я не знаю. Вроде да. У нас всё работает нормально.

– Вроде – это не ответ! – женщина развернула тележку и ушла, не купив ничего.

Таких случаев было много. Люди просто бросали покупки и уходили. Кто-то требовал скидку за причиненные неудобства. Кто-то кричал, что подаст в суд.

Менеджеры растерянно пожимали плечами. Информации не было.

К вечеру двадцать седьмого декабря руководство Target выпустило официальное заявление.

Краткое. Сухое.

“Мы расследуем инцидент с безопасностью, который мог затронуть информацию наших клиентов. Приносим извинения за беспокойство”.

Всё. Никаких подробностей.

Но паника уже не остановить. В соцсетях началась буря. Люди делились своими историями. Советовали друг другу блокировать карты. Призывали бойкотировать магазин.

Акции компании Target на бирже начали падать.

А где-то далеко, за океаном, группа людей смотрела на мониторы и улыбалась. Их план сработал почти идеально. Они получили доступ к данным сорока миллионов карт. Это был самый крупный взлом розничного магазина в истории США.

Но как им это удалось?

Всё началось с маленькой компании, которая чинила холодильники.

Глава 2: Охотники за пластиковым золотом

Представьте себе обычного грабителя. Маска на лице. Пистолет в руке. Врывается в банк, кричит, требует деньги.

Таких ловят быстро. Камеры везде. Свидетели. Полиция приезжает за минуты.

А теперь представьте другого вора. Сидит дома в удобном кресле. Перед ним три монитора. На столе чашка кофе и пепельница. За окном может быть Москва, Киев, Бухарест или Шанхай.

Он печатает на клавиатуре. Никуда не торопится. Никого не пугает. Но крадет в тысячи раз больше, чем любой налетчик с пистолетом.

Это цифровой преступник. Хакер.

Кто эти люди?

Вы удивитесь. Это не всегда подростки-гении из фильмов. Часто это обычные программисты. Люди с образованием. Те, кто умеет писать код и понимает, как работают компьютерные системы.

Почему они идут на преступление? Причины разные.

Кто-то делает это ради денег. Большие деньги манят. Один удачный взлом может принести миллионы долларов. Работай годами в офисе – не заработаешь столько.

Кто-то ради интереса. Хочется проверить свои навыки. Взломать защиту крупной компании – это вызов. Как для альпиниста покорить Эверест.

А кто-то по идейным соображениям. Считают, что крупные корпорации – зло. Что их нужно наказывать. Или просто хотят устроить хаос.

В случае с Target работала организованная группа. Профессионалы. Не первый их проект. Цель – деньги.

Они знали, что данные банковских карт дорого стоят на черном рынке. Очень дорого.

Вы слышали про темную сторону интернета? Называется даркнет.

Это часть интернета, которую не найдешь через обычный поисковик. Там нет рекламы. Нет ярких картинок. Всё серьезно и по делу.

Чтобы попасть туда, нужны специальные программы. Они скрывают, кто ты и откуда заходишь. Твой адрес в интернете прячется за несколькими слоями защиты.

В даркнете есть форумы и магазины. Только продают там не обувь и не продукты.

Продают данные кредитных карт. Пароли от аккаунтов. Поддельные документы. Программы для взлома. Наркотики. Оружие.

Всё, что запрещено в обычном мире, там можно купить.

Как это работает?

Заходишь на форум. Регистрируешься под выдуманным именем. Никто не знает, кто ты на самом деле. Все общаются анонимно.

Находишь продавца. У него есть рейтинг. Как в обычном интернет-магазине. Покупатели оставляют отзывы. “Купил сто карт, все рабочие, рекомендую”. “Брал партию, половина не прошла, обман”.

Продавец выкладывает объявление.

“Продаю свежие карты американских банков. Классические, золотые, платиновые. Цена от 5 до 100 долларов за штуку. Оплата только в криптовалюте”.

Да, за обычные деньги там не продают. Только за биткоины или другие криптовалюты. Потому что их сложнее отследить.

Покупатель выбирает. Переводит деньги. Получает файл с данными карты.

И дальше использует эту информацию. Покупает товары в интернете. Снимает деньги через банкоматы специальными устройствами. Перепродает другим мошенникам.

После взлома Target на этих форумах появились сотни объявлений. Продавцы предлагали тысячи карт. “Свежак из Target! Только что слили! Успей купить!”

Цены взлетели. Обычная карта стоила пять долларов. Карты из Target продавали по двадцать-тридцать долларов. Почему дороже? Потому что свежие. Владельцы еще не знают, что их данные украли. Значит, картой можно пользоваться несколько дней, пока не заблокируют.

Умножьте сорок миллионов карт даже на минимальную цену. Получается астрономическая сумма.

Но хакеры, взломавшие Target, не продавали карты сами. Они передали их оптовым перекупщикам. Тем, кто дальше распространял по всему миру.

Давайте разберемся, что вообще крадут с вашей карты и сколько это стоит на черном рынке.

Первый уровень – номер карты и срок действия. Самая базовая информация. С ней можно купить что-то в интернете, если магазин не требует дополнительной проверки. Стоит такая информация копейки. Два-три доллара за карту.

Второй уровень – полная информация. Номер карты, срок действия, имя владельца, защитный код CVV с обратной стороны. С этим набором можно совершить покупку почти в любом онлайн-магазине. Цена – пять-десять долларов.

Третий уровень – полная информация плюс данные владельца. Адрес, телефон, дата рождения, иногда даже номер социального страхования. С такой информацией можно не только покупки совершать. Можно кредит оформить на чужое имя. Открыть счет в банке. Получить кредитную карту. Это уже серьезная кража личности. Цена – пятьдесят-сто долларов и выше.

Четвертый уровень – премиум-карты. Золотые, платиновые, корпоративные. У таких высокие лимиты. Можно купить дорогие товары. Цена за одну карту доходит до трехсот долларов.

А еще есть специальные предложения. Например, карты с большим балансом. Продавец проверяет, сколько денег на счету у владельца, и продает дороже. “Карта с балансом десять тысяч долларов – продаю за пятьсот”.

После взлома Target на рынке появились все уровни. Хакеры украли не просто номера карт. Они получили полный доступ к информации, которую покупатели вводили при оплате.

Специалисты подсчитали: преступники могли заработать от ста до трехсот миллионов долларов на продаже украденных данных.

Сто миллионов. Вдумайтесь в эту цифру.

И всё это – пока люди спокойно покупали елочные игрушки и подарки к Рождеству.

Многие спрашивают: как обычному человеку защититься от этого кошмара?

Начнем с понимания, как вообще происходят такие кражи.

Ваша карта – это ключ к вашим деньгам. Когда вы расплачиваетесь в магазине, информация с карты проходит через несколько точек.

Сначала терминал в магазине считывает данные. Потом они отправляются в банк магазина. Банк магазина связывается с вашим банком. Ваш банк проверяет, есть ли деньги на счету, и одобряет или отклоняет платеж.

Весь процесс занимает секунды. За эти секунды информация путешествует по разным системам. И если хотя бы одна из них взломана – ваши данные могут украсть.

В случае с Target взломали терминалы в магазинах. Программа-шпион перехватывала информацию в момент, когда вы прикладывали карту. Вы даже не замечали ничего странного. Платеж проходил нормально. Чек печатался. Вы забирали покупки и уходили.

А в это время ваши данные уже копировались и отправлялись преступникам.

Как защититься?

Первое – следите за выписками по карте. Проверяйте каждую транзакцию. Увидели незнакомую покупку – сразу звоните в банк.

Второе – используйте карты с чипом и бесконтактной оплатой. Они безопаснее старых карт с магнитной полосой. Информацию с чипа сложнее украсть.

Третье – не храните все деньги на одной карте. Заведите отдельную карту для покупок в интернете. Переводите туда небольшие суммы по мере необходимости. Если ее взломают – потеряете немного.

Четвертое – подключите СМС-уведомления. Каждая операция по карте будет приходить вам сообщением. Увидели списание, которого не было – сразу блокируйте карту.

Пятое – будьте осторожны с банкоматами. Мошенники устанавливают накладки на щели для карт. Они считывают данные, когда вы вставляете карту. Перед использованием банкомата потяните за картоприемник. Если он шатается или отходит – не пользуйтесь.

Шестое – не давайте карту из рук. В ресторанах и кафе часто официант уносит карту, чтобы пробить счет. За эти минуты он может сфотографировать данные или пропустить через скиммер – устройство для копирования информации. Просите принести терминал к столу.

Но самое главное – помните: абсолютной защиты не существует. Даже крупнейшие компании с миллиардными бюджетами на безопасность взламывают.

Target тратил десятки миллионов долларов на защиту систем. Нанимал лучших специалистов. Использовал современное оборудование.

И всё равно пропустил взлом.

Почему?

Потому что преступники нашли слабое звено. Не в самом Target. А у их партнера. Маленькой компании, которая обслуживала кондиционеры и холодильники в магазинах.

Как фирма по ремонту кондиционеров помогла украсть сорок миллионов карт?

Об этом – в следующей главе.

Глава 3: Дверь через кондиционер

Фавио Сервисес. Так называлась небольшая компания в Пенсильвании.

Офис на окраине города Шарпсбург. Два этажа старого здания из красного кирпича. На первом этаже – мастерская. На втором – три кабинета и комната отдыха.

Компания занималась обслуживанием систем отопления, вентиляции и кондиционирования. Сокращенно ОВКВ. Те самые огромные трубы и агрегаты, которые гудят на крышах торговых центров.

Владелец компании – мужчина по имени Росс Эйзенберг. Ему было пятьдесят два года. Лысеющий, с животиком, в очках. Типичный американский предприниматель среднего звена.

Он основал Фавио тридцать лет назад. Начинал один – чинил кондиционеры в частных домах. Потом дела пошли в гору. Нанял механиков. Стал брать контракты на обслуживание больших зданий.

Через двадцать лет компания обслуживала системы вентиляции в офисных центрах, школах, больницах и магазинах.

Среди клиентов был Target.

Контракт с Target подписали в две тысячи восьмом году. Фавио обслуживала системы отопления и кондиционирования в ста восемнадцати магазинах сети. Хороший контракт. Стабильные деньги.

Механики Фавио регулярно выезжали в магазины. Проверяли работу систем. Меняли фильтры. Ремонтировали сломавшееся оборудование.

Для работы им нужен был доступ к электронной системе Target. Не к кассам, конечно. Не к данным покупателей. Но к системе управления зданиями.

Температура в торговом зале. Влажность на складе. График работы вентиляции. Всё это контролировалось через специальную программу.

Target выдал Фавио логин и пароль для доступа к этой системе. Обычная практика. Чтобы механики могли удаленно проверить, что сломалось, прежде чем ехать на место.

Росс Эйзенберг даже не задумывался о безопасности. Ну есть пароль – и есть. Он записал его на листочке. Положил в папку с документами. Дал механикам.

А компьютер в офисе Фавио защищен был так же, как у среднего пользователя дома. Антивирус бесплатный. Обновления системы – когда вспомнят. Пароли – простые. Типа “фавио2013” или “росс1234”.

Никто не думал, что маленькая фирма по ремонту холодильников может стать мишенью для серьезных хакеров.

Ошибались.

Хакеры изучили Target задолго до атаки.

Они понимали: напрямую взломать такую крупную компанию сложно. Target вкладывал миллионы в защиту. Нанимал экспертов по кибербезопасности. Использовал современные системы обнаружения угроз.

Лобовая атака не пройдет.

Нужен обходной путь.

И они его нашли.

Специалисты по безопасности называют это “атакой через цепочку поставок”. Звучит сложно. На деле просто.

Представьте: у вас дома надежная металлическая дверь. Замок сложный. Сигнализация. Камеры. Вас не взломать.

Но ваш сосед ставит ключи под коврик. А между вашими квартирами есть дверь на балкон. Соседскую квартиру взламывают. Проходят через балкон к вам.

Вы защищались от воров. А они пришли через соседа.

Точно так же сделали хакеры.

Они изучили партнеров Target. Тех, кто имел доступ к системам компании. И нашли самое слабое звено – Фавио Сервисес.

Маленькая фирма. Нет отдела безопасности. Компьютеры защищены плохо. Сотрудники не обучены правилам кибергигиены.

Идеальная мишень.

План был прост. Взломать Фавио. Украсть их учетные данные для доступа к системам Target. Через этот доступ проникнуть в сеть Target. Дальше – дело техники.

Как говорится, цепь рвется в самом слабом месте.

Target был крепким звеном. Фавио – очень слабым.

Пятнадцатое ноября 2013 года. Пятница.

Секретарь Фавио Сервисес, женщина по имени Кэрол, открыла почту на рабочем компьютере. Проверяла сообщения перед обедом.

Среди писем было одно от неизвестного отправителя. Тема: “Счет на оплату услуг”.

Кэрол нахмурилась. Странно. Обычно счета приходят от знакомых поставщиков. А это письмо – от какой-то фирмы, название которой она не помнила.

Но может, новый поставщик? Росс часто заказывал запчасти в разных местах.

Она открыла письмо.

Текст короткий: “Добрый день. Высылаем счет за поставленное оборудование. Просим оплатить в течение десяти дней. С уважением, отдел продаж”.

К письму прикреплен файл. “Счет_ноябрь_2013.pdf”.

Кэрол дважды кликнула по файлу.

Компьютер на секунду завис. Потом открылось окно с документом. Какие-то цифры. Таблица. Сумма три тысячи двести долларов.

– Росс, тут счет какой-то пришел, – крикнула Кэрол в соседнюю комнату. – На три тысячи. Ты заказывал что-то?

Росс вышел из кабинета. Посмотрел на экран.

– Не помню. Дай посмотрю.

Он взял мышку. Полистал документ.

– Странно. Не наша фирма-поставщик. Наверное, спам. Удали.

Кэрол пожала плечами. Закрыла документ. Удалила письмо.

Всё. Они забыли об этом через пять минут.

Но было уже поздно.

Когда Кэрол открыла файл, на компьютер установилась вредоносная программа. Тихо. Незаметно. Никаких предупреждений.

Это была программа удаленного доступа. Она позволяла хакерам управлять компьютером так, как будто они сидели прямо за ним.

Программа сразу начала сканировать систему. Искала пароли, документы, файлы.

Нашла.

В папке “Клиенты” лежал файл “Target_доступ.txt”. В нем были логин и пароль для входа в систему управления зданиями Target.

Хакеры скопировали этот файл. Теперь у них был ключ.

Но они не спешили. Сначала изучили сеть. Посмотрели, как устроена система Target изнутри. Какие серверы есть. Как они связаны между собой. Где хранятся данные.

Две недели наблюдений. Никаких активных действий. Просто смотрели и записывали.

А потом начали действовать.

Когда всё раскрылось, в Target началось внутреннее расследование.

Главный вопрос: как вообще подрядчик по кондиционерам получил доступ к системе, через которую можно было пробраться к данным покупателей?

Ответ оказался неутешительным.

Сеть Target была разделена на сегменты. Есть системы для управления магазинами. Есть системы для обработки платежей. Есть корпоративная сеть для офисных сотрудников.

В теории эти сегменты изолированы друг от друга. Если взломали один – не должны получить доступ к другому.

На практике оказалось иначе.

Между системой управления зданиями и корпоративной сетью была связь. Техническая необходимость. Чтобы данные о работе оборудования передавались в центральный офис.

Хакеры нашли эту связь. Использовали ее как мост. Перешли из системы управления зданиями в корпоративную сеть.

А оттуда – в сеть, где работали кассовые терминалы.

Звучит сложно. Но представьте так.

У вас дома несколько комнат. Спальня, кухня, гостиная. Между ними – двери с замками. Чтобы попасть из спальни в гостиную, нужен ключ от двери.

Вы дали ключ от спальни постороннему человеку. Думали – ну что он там сделает в спальне? Ценные вещи в гостиной.

А он нашел в спальне запасной ключ от двери в гостиную. Который вы когда-то там оставили и забыли.

Вот примерно так и получилось у Target.

Фавио Сервисес имела доступ к “спальне” – системе управления кондиционерами. Хакеры взломали Фавио. Получили этот доступ. Нашли “запасной ключ” – связь между системами. Прошли дальше.

И добрались до “гостиной” – данных покупателей.

Когда журналисты взяли интервью у Росса Эйзенберга через месяц после инцидента, он выглядел подавленным.

– Я не понимаю, как это произошло, – говорил он. – Мы просто чинили кондиционеры. Какое отношение мы имеем к краже данных карт?

Журналист задал вопрос:

– Вы осознаете, что через вашу компанию хакеры получили доступ?

Росс кивнул.

– Да. Теперь осознаю. Но мы не знали. Нас никто не предупредил, что нужно усиливать защиту. Target просто дал нам пароль. Мы его использовали. Всё.