dimarts, 26 d’agost de 2008

Compte amb les dades sensibles








The media frequently speaks about the underground economy and quote price ranges for various private goods available for sale. I recently read the trends were bearish, but let there be no misunderstanding about that, if the quality is here, the price will still be high. It is just like the price of food, you have the hard-discount and the luxury stores!!

With this post, I wish to be more precise regarding the data regarding the prices of some cybercriminal groups around the globe.

Last Friday morning in France, my investigations lead me to visit a site proposing top-quality data for a higher price than usual. But when we look at this data we understand that as everywhere, you have to pay for quality. The first offer concerned bank logons. As you can see in the following screenshot, pricing depends on available balance, bank organization and country. Additional information such as PIN and Transfer Passphrase are also given when necessary:

For such prices, the seller offers some guaranties. For example, the purchase is covered by replacement, if you are unable - within the 24 hours - to log into the account using the provided details.

The selling site also proposes US, Austria and Spanish credit cards with full information:

  • ccnumber
  • cvv2
  • exp.date
  • name
  • adress
  • city
  • state/province
  • zip/postal
  • phone-number
  • SSN(US Only)
  • DL#
  • MMN

It is also possible to purchase skimmers (for ATM machine) and “dump tracks” to create fake credit cards. Here too, cost is in touch with the quality:

Depending on the price, you can choose your bank among various lists; more than 900 choices for North America or European countries:

Many other offers are available like shop administrative area accesses (back end of an online store where all the customer details are stored – from Name, SSN, DOB, Address, Phone number to CC) or UK or Swiss Passport information:

And to convince prospective clients, the site offers some free data to demonstrate their know-how. I partially anonymized some of this data so I could provide an example. If you recognize yourself, do not hesitate to contact the police force so that they may institute legal proceedings.

http://www.avertlabs.com/research/blog/index.php/2008/05/07/you-have-to-pay-for-quality/


******

Aussie bank account passwords stolen and sold for $900

A bundle package that includes personal information and personal bank details from Commonwealth Bank, ANZ, Suncorp and Bank West account holders is going for €550, according to McAfee Avert Labs’ research.

Prices depend on what’s on offer such as available balance, bank organisation and country. And as in the legitimate world, quality costs more.

“My investigations led me to visit a site proposing top-quality data for a higher price than usual,” wrote researcher Francois Paget, in the

Avert Labs blog.

“Additional information such as PIN and Transfer Pass-phrases are also given when necessary,” Paget said.

A bundle package from multiple US banks is on offer for €450, while stolen data from Spanish banks is the most expensive at €575.

To give an idea of the scope of the activity the research reveals that data from over 900 banks in North America and European countries exist in the trade.

The seller even offers some guarantees, promising to replace the data if the purchaser is unable - within 24 hours - to log into the account with details provided, wrote Paget.

SC notified the Commonwealth Bank upon accessing the research and the bank promptly referred the case to authorities.

According to the Commonwealth Bank’s spokesperson Michael Gleeson, the bank works closely with the Australian High Tech Crime Centre and the country's state police services.

“The security of our customers' details is of the utmost importance to the Commonwealth Bank. We are not sure if the site in question is genuine or a hoax but we are taking it very seriously,” Gleeson said.

ANZ Bank did not respond to calls for comment.

Despite the Commonwealth Bank's prompt measures, experts agree that end-users are, and if not more, at fault than the banks storing the data because of lax security practices.

According to Dave Marcus, security research and communications manager at McAfee’s Avert Labs, the end-user is ultimately the person whose machine was infected with malware in the first place.

“It is usually through password stealing Trojans that are downloaded onto the victims' machines. Other times it’s through a good phishing site or through targeted spear phishing site,” Marcus said.

He said most people still don’t actually get that it is the end-user who is the real victim and the end-user who is the ultimate target.

“The bank is [simply] used as the lure because they’re high profile,” he said.

Marcus praised the role of banks in fighting cyber theft and fraud, acknowledging that in this day and age banks do a very good job of raising awareness and invest in a lot of authentication.

“It [identity theft] happens more often than you would probably be comfortable knowing. These types of sites and then the selling of this type of information is very common in the underground,” Marcus said.

Paget's research did not specify the names of those affected.

http://www.securecomputing.net.au/News/111163,aussie-bank-account-passwords-stolen-and-sold-for-900.aspx

******

BERLIN CORRESPONDANCE

Outre-Rhin, n'importe qui ou presque peut se procurer sur Internet, à moindre coût et en un tour de main, des renseignements personnels et financiers concernant des millions d'Allemands.

Les organisations de protection de consommateurs viennent d'en apporter la preuve formelle. Un de leurs agents, mandaté par la centrale fédérale, est parvenu à acheter sur le réseau près de six millions de données confidentielles, dont quatre millions de numéros de comptes bancaires.

Consultez les dépêches vidéo des agences AFP et Reuters, en français et en anglais.

Abonnez-vous au Monde.fr : 6€ par mois + 30 jours offerts

SUR LE MÊME SUJET

L'opération lui a pris deux jours, pas plus. Elle ne lui a coûté que 850 euros. "Nous ne sommes sûrement pas le premier acheteur", en a déduit le président de la centrale, Gerd Billen, lundi 18 août.

Il ne s'agit pourtant encore seulement que de "la partie émergée de l'iceberg", estime Thilo Weichert, un commissaire chargé de la protection des données, dans le quotidien Süddeutsche Zeitung du 20 août. A l'ère du tout-Internet, "de dix à vingt millions de données bancaires" feraient l'objet d'une utilisation illégale, affirme-t-il.

La plupart de ces informations privées sont issues de fichiers établis par des loteries, mais aussi de contrats de téléphones portables ou de listings de donateurs pour des organisations caritatives. Quelque 1 300 opérateurs commerciaux en Allemagne seraient spécialisés dans la collecte et la vente de ces données, selon les informations du Chaos Computer Club (CCC), une organisation de hackeurs.

AMÉLIORER LA PROTECTION

C'est un employé d'un centre de démarchage téléphonique de Lübeck qui a fait éclater au grand jour l'ampleur de ce trafic.

La semaine dernière, Detlef Tiegel, âgé de 36 ans, a envoyé un CD à une organisation de défense des consommateurs. Sur ce disque que lui aurait remis son employeur figuraient quelque 17 000 données, entre autres des adresses et des numéros de comptes bancaires. Le centre d'appels se les était procurées illégalement, à des fins commerciales.

Grâce aux données bancaires, il pouvait opérer à sa guise des prélèvements. L'affaire semble loin d'être un cas isolé et la justice a déjà ouvert plusieurs enquêtes contre des centrales téléphoniques.

Alarmé par les dimensions du scandale, le gouvernement allemand souhaite engager dès la rentrée un débat afin d'améliorer la protection des données, y compris en durcissant la loi.

Le député social-démocrate Dieter Wiefelspütz, porte-parole du SPD pour les questions de politique intérieure, a même préconisé que soit inscrit dans la loi fondamentale le droit à la protection des données sur Internet.

Marie de Vergès

http://www.lemonde.fr/technologies/article/2008/08/21/un-trafic-de-donnees-confidentielles-fait-scandale-en-allemagne_1086275_651865.html?xtor=RSS-651865


****

http://voices.washingtonpost.com/securityfix/web_fraud_20/



******

L´entrevista al Sr. Joan Crespo de l´APDA
Joan Crespo : "El motor d'actuació de l'APDA és la denúncia"
PEPA GALLEGO
ANDORRA LA VELLA


Com a cap de l'Agència de Protecció de Dades, Joan Crespo vetlla cada dia perquè la intimitat i la privacitat de les persones com a drets fonamentals no siguin vulnerades per un mal ús de les dades personals.
Aprovada la llei Qualificada de Protecció de Dades pel Consell General en el 2003 i tal com preveia el text legislatiu, el juliol del 2004 es va redactar el reglament de l'APDA sobre la distribució de fitxers. I el desembre de 2004 el Consell General va celebrar el nomenament del cap i dels instructors de l'agència i el Registre Públic d'Inscripció de Fitxers de Dades Personals.
A partir del març de 2005 es va treballar i muntar les infraestructures de l'Agència i el setembre del mateix any es va publicar al BOPA l'obligatorietat de les entitats privades de notificar-se al registre públic de fitxers.
Tres anys després, Crespo ens explica l'evolució de l'Agència, que camina amb la persecució dels principals objectius, que són: la formació, l'assessorament empresarial i particular i la inspecció.
--¿La llei és l'origen de l'Agència?
--Sí. És la llei la que determina la creació com a institució independent que no està sotmesa a cap tipus de supervisió. Nosaltres presentem la memòria anual al Consell General, que és el que aprova els pressupostos i ens nomena. El dret fonamental de la llei preveu la protecció de dades personals i a més preveu obligacions per a les empreses i drets per a les persones com per exemple el tractament de dades de caràcter personal perquè amb la globalització no som conscients de la utilització massiva que se'n fa.

--Però per ser tan jove aquesta llei, ¿Andorra està endarrerida?
--El Principat s'ha d'adaptar als estàndards europeus amb les particularitats pròpies del país, per les seves dimensions. És una agència molt recent.

--¿Hi ha molt de desavantatge respecte al context europeu?
--Les primeres jurisprudències es van crear a Alemanya fa 35 anys i a partir d'aquí, la Unió Europea, davant d'aquesta normativa per la privacitat de les persones, va proposar directrius en cada Estat membre per garantir la privacitat de cada persona.

-- ¿La llei andorrana es pot equiparar amb el que es regula per a Europa?
--Sí. La legislació andorrana és adaptable al marc europeu. L'octubre del 2007 es va aprovar pel Consell General el conveni T / 108 de Tractament Automatitzat de dades avalat pel Consell d'Europa i ara es té previst que el mes de setembre vinent entri en vigor.

--¿Què suposarà aquest conveni?
--La legislació serà complementària al conveni aquest. Entrarà a formar part de la llei Qualificada. I això suposa més garanties.

--Però com que no fa molt de temps, sembla que falta conscienciació de la privacitat a la qual tenim dret les persones.
--Sí. Les persones no donem importància al gran volum d'informació que rebem i que facilitem i dels riscos que això suposa. A un reality show no ens importa explicar totes les nostres qüestions personals, però ens molesta que ens preguntin per la informació bancària.
--¿I això és una de les tasques principals de l'Agència?
--Ara el repte principal de l'agència és arribar al ciutadà amb una informació clara i que els ciutadans coneguin quins són els seus drets. Per això creiem i apostem per la formació en aquest aspecte i, com no, per l'assessorament com a agència.

--Informació, formació i assessorament, però ¿com s'activa l'APDA quan es produeix un cas que vulnera la llei de Protecció de Dades?
--El motor d'actuació de l'agència s'activa a partir d'una denúncia. L'APDA fa dos tipus d'actuacions: una, quan hi ha un interessat que denúncia; i dos, altres inspeccions sectorials, que es fan com a recomanacions en un sector determinat. Si no és per aquests mecanismes, l'agència no pot actuar d'ofici.

--¿Què ens pot dir de les dades estadístiques?
--L'any passat van obrir 275 informes a empreses privades, la web de l'agència de protecció de dades té, des del seu inici al 2005, 25.000 visites. Pel que fa a les descàrregues dels fitxers de la web sobre tots aquells que parlen dels drets d'informació, se n'han donat 1.800. D'expedients d'investigacions, o de persones que creuen que se'ls han sigut negats els seus drets, s'han donat una trentena en els tres anys de funcionament.

--Com que l'ADPA és jove, les xifres tampoc són molt nombroses, ¿oi?
-- L'APDA treballa constantment en diverses tasques de conscienciació perquè el ciutadà s'adoni de la importància que té preservar la seva intimitat. Anem creixent cada any respecte a les tasques amb les limitacions que tenim. I per tot això incidim molt en la formació i informació.

--¿Cal fer una crida?
--Sí. Des de l'APDA cridem a les organitzacions perquè siguin molts respectuosos amb els ciutadans que demanin d'on s'han tret les seves dades i també que responguin a les demandes que se'ls faci.

--Recentment EL PERIÒDIC va publicar el cas de la multa de 12.000 euros a la Unió Pro-Turisme per una denúncia d'una veïna que havia demanat l'accés a les seves dades, ja que l'entitat volia cobrar una quota anual de 12 euros pel finançament de la Festa Major d'Escaldes i la interessada no sabia d'on havien tret les seves dades bancàries. Un fet que es feia des de fa temps i que ningú l'havia denunciat.
--Sí. Les denúncies serveixen perquè tothom s'informi dels drets que cadascú té per preservar les seves dades personals, i que certes actuacions no es poden fer.

--¿Què és el que es fa amb els diners de les multes?
--L'APDA no es finança a través de les sancions. Les multes van al Consell General, i després també es pot obrir un procés jurisdiccional.

--¿Quines són les consultes més usuals?
--Hi ha hagut un augment de consultes respecte a la vigilància. Particulars que vénen i que diuen que se senten vigilats al carrer, a establiments comercials i altres llocs. L'APDA no té competències per autoritzar la col.locació de càmeres, però sí el tractament de dades personals com és la imatge.

--¿Andorra és un Gran Hermano?
--És veritat que hi ha un alt volum de videocàmeres i cal ser prudents amb aquests sistemes de vigilància, que poden ser intrusius per a la privacitat. Però davant d'aquesta vigilància, ens hem de preguntar si hi ha un pes més gran en la seguretat o la privacitat. Allò ideal és l'equilibri.

--¿I com està la balança al Principat?
--Jo opino que està equilibrada.

--¿Què es fa en aquests casos?
--Cal esbrinar la durada que el propietari de la càmera té de la gravació. Si el temps s'adequa a l'objectiu de la gravació, que ve a ser per la seguretat, aleshores és tot legal.

--¿Quines són les altres consultes que rep l'APDA?
--N'hi ha algunes sobre la inscripció als fitxers d'alguns documents de recursos humans i de clients i de proveïdors. Altres sobre els drets d'accés a les dades, de com fer sessions de dades, sobre els expedients mèdics, als quals tots tenim dret a disposar dels nostre historial clínic per si volem, per exemple, canviar de metge. A més, i sembla que està de moda, s'ha produït un augment de demandes d'aquells que s'informen de com renunciar a figurar en els registres eclesiàstics.

--L'APDA també ha fet els treballs d'incidència sobre la campanya d'internet a les escoles.
--Sí, és una tasca que volem continuar fent per informar els menors de com navegar amb seguretat. En mig any es té previst que surti una normativa per limitar els motors de recerca. A internet no tot s'hi val, cal conscienciar la gent sobre la importància que té donar les dades i imatges a blocs i webs.

http://www.elperiodicdandorra.com/default.asp?idpublicacio_PK=16&idioma=CAS&idnoticia_PK=538138&idseccio_PK=252