Отель InterContinental Chain Breach подвержен атаке вредоносного ПО

Эксперты по мошенничеству в различных банках увидели закономерность, свидетельствующую о повсеместном нарушении работы кредитных карт в более чем 5 000 отелей во всем мире, принадлежащих InterContinental Hotels Group (IHG). В феврале IHG признала нарушение, но заявив, что, как оказалось, оно включает в себя только дюжину объектов. Теперь же были опубликовала данные, свидетельствующие о том, что кассовые аппараты в более чем 1000 отелях были скомпрометированы вредоносным программным обеспечением, предназначенным для перекачивания данных дебетовых и кредитных карт клиентов.

Штаб-квартира IHG расположена в Денхэме, Великобритания, и обслуживает более 5000 отелей почти в 100 странах мира. В десятку ведущих брендов компании входят Holiday Inn, Holiday Inn Express, InterContinental, Kimpton Hotels и Crowne Plaza.

Согласно заявлению, опубликованному IHG, расследование выявило признаки работы вредоносного программного обеспечения. Оно предназначалось для доступа к данным платежных карточек, используемых на месте на стойках регистрации в определенных отелях с франшизой в период с 29 сентября 2016 года по 29 декабря 2016 года.

IHG не сообщил, сколько всего устройств было затронуто, хотя оно опубликовало доступный здесь инструмент поиска. Я сосчитал 28 в своем родном штате Вирджиния, в штате Алабама почти столько же, сколько в Вирджинии. Таким образом, информация о неполадке в более чем 1000 устройствах кажется весьма вероятной.

Обновление, 19 апреля, 11:09: датский компьютерщик Кристиан Сонн пишет, что его исследование инструмента поиска состояния показывает, что на данный момент в списке есть как минимум 1175 объектов. В настоящее время эти объекты располагаются в США и Пуэрто-Рико в следующих торговых центрах: Holiday Inn Express (781), Holiday Inn (176), Candlewood Suites (120), Staybridge Suites (54), Crowne Plaza (30) Отель Индиго (11), Holiday Inn Resort (3).

Оригинальная история:

HG предлагает своим франчайзинг - компаниям бесплатное обследование бригадой компьютерных техников, нанятой для поиска признаков того же заражения вредоносными программами, которые, как известно, поражают системы стойки регистрации в других отелях. Но не все владельцы недвижимости стремились дать положительный ответ на это предложение. Как следствие, может быть гораздо больше мест, которые еще не были добавлены в инструмент поиска состояния.

Письмо от IHG для франчайзинг – клиентов, с предложением заплатить за кибер - экспертизу.

Компании - франшизы, принявшие предложение пройти бесплатную экспертизу, были проинформированы о том, что они получат консолидированный отчет, в котором будет представлена информация, относящаяся к собственности, и что «ваш банк-получатель и / или обработчик могут связываться с вами в связи с этим расследованием».

HG также пытается склонить организации, которые используют франшизу к принятию своего «безопасного платежного решения» (SPS), которое гарантирует, что данные держателя карты остаются зашифрованными в любое время и на каждом «этапе» проходя электронную транзакцию. По данным компании, до первоначального вторжения 29 сентября 2016 года, устройства небыли скомпрометированы вредоносным программным обеспечением.

«Многие другие свойства, реализованные SPS после 29 сентября 2016 года, ограничили доступ вредоносного ПО к данным платежных карт», - пишет IHG.

За последние несколько лет кибер - воры, похищавшие данные с карт, ворвались в некоторые из крупнейших гостиничных сетей. Бренды отелей, которые признали нарушения в течение последнего года после запроса KrebsOnSecurity, включают такие как: Kimpton Hotels, Trump Hotels (дважды), Hilton, Mandarin Oriental и White Lodging (дважды). Нарушения в работе с картами также были выявлены в гостиничных сетях Starwood Hotels и Hyatt.

Во многих из этих инцидентов воры устанавливали вредоносные программы на устройствах продажи в ресторанах и барах внутри гостиничных сетей. Программы, основанные на кассовых аппаратах, в течение последних двух лет приводили к большей части брешей в работе с кредитными картами, в том числе к вторжениям в Target и Home Depot, а также нарушения на множестве точек продаж поставщиков. Вредоносный код обычно устанавливается с помощью взломанных средств удаленного администрирования. После того как злоумышленники загрузили вредоносное ПО на устройства, находящиеся в местах продажи, они могут удаленно собирать данные с каждой карты, которую они считывают в этом кассовом аппарате.

Воры затем могут продать эти данные мошенникам, которые специализируются на кодировании украденных данных на любую карту с магнитной полосой, а также использовать карты для приобретения дорогостоящей электроники и подарочных карт из таких крупных магазинов, как Target и Best Buy.

Это хорошая ставка, что ни одна из вышеупомянутых компаний не выполняла двухточечное шифрование (P2PE), прежде чем с кредитных карт их клиентов не началась считка данных. P2PE - это, несомненно, добавленная стоимость, но он может защитить данные карты клиента даже в системах пункта продажи, которые уже скомпрометированы, поскольку вредоносное ПО больше не может считывать данные, проходящие по проводу.

Читатели должны помнить, что они не несут ответственности за мошеннические списания по своим кредитным или дебетовым картам, но им все равно придётся сообщать о несанкционированных транзакциях. Нет никакой альтернативы, кроме как внимательно следить за своими заявлениями. Кроме того, рассмотрите возможность использования кредитных карт вместо дебетовых. Когда ваш банковский счет освобождается от наличных денег, пока ваш банк разбирает ситуацию, может возникнуть инцидент и привести к возникновению второстепенных проблем (например, проверка возврата денег).