Apple oszukało ujawnienie danych osobowych wykorzystywanych do seksualnego wyłudzania nieletnich
W zeszłym miesiącu dowiedzieliśmy się, że Apple został oszukany do udostępnienia danych osobowych hakerom, po tym, jak podawali się za funkcjonariuszy organów ścigania z żądaniami danych awaryjnych. Raport ujawnił również, że dane zostały wykorzystane do wymuszenia seksualnego nieletnich.
Najnowszy raport rzuca światło na techniki hakerskie wykorzystywane do oszukiwania Apple, Snap, Twittera i Facebooka.
Tło
Zazwyczaj firmy nie udostępniają informacji o klientach funkcjonariuszom organów ścigania, dopóki nie otrzymają nakazu sądowego. Nawet wtedy firma może dokładnie przejrzeć prośbę i zaproponować dostarczenie tylko jej części.
Ten proces może zająć trochę czasu. Istnieje również awaryjna procedura żądania danych, którą można zastosować, gdy istnieje zagrożenie dla zdrowia lub bezpieczeństwa jednej lub więcej osób. W takich przypadkach firmy sprawdzają, czy żądanie pochodzi od uprawnionej osoby kontaktowej z organami ścigania, ale najpierw dostarczają informacje, a pytania zadają później.
Hakerzy złożyli fałszywe żądania alarmowe, aby przekonać Apple i inne firmy, że dane użytkowników są dostępne. Nowy raport szczegółowo opisuje, w jaki sposób dane zostały sprzeniewierzone i w jaki sposób oszukano firmy.
Jak Apple został oszukany
Bloomberg informuje, że atak zasadniczo polega na możliwości wykorzystania hakowania lub phishingu w celu uzyskania dostępu do systemów poczty elektronicznej organów ścigania, dzięki czemu źródło żądań wydaje się autentyczne.
Chociaż dokładne metody ataków są różne, według funkcjonariuszy organów ścigania wszystkie mają ten sam schemat. Sprawca włamuje się do systemu poczty elektronicznej zagranicznego organu ścigania.
Atakujący następnie utworzy „żądanie awaryjne” do firmy technologicznej, która szuka informacji dotyczących konta użytkownika. Takie wnioski są wykorzystywane przez organy ścigania do uzyskania informacji o ilości kont internetowych w sprawach związanych z bezpośrednim niebezpieczeństwem, takim jak samobójstwo, morderstwo lub uprowadzenie […]
Podane przez Ciebie dane różnią się w zależności od firmy, ale zazwyczaj zawierają Twoje imię i nazwisko, adres i adres e-mail. Niektóre firmy dostarczają więcej danych.
Atak kaskadowy używany do wyłudzania ofiar
Chociaż dane nie wydają się być zbyt duże, dostarczają wystarczających informacji, aby umożliwić dalsze włamania i ataki phishingowe na poszczególne ofiary. Według doniesień zarówno sprawcy, jak i ofiary obejmują dzieci.
Osoby atakujące wykorzystały te informacje do zhakowania kont ofiar w Internecie lub do nawiązania znajomości z ofiarami przed poproszeniem ich o przesłanie wyraźnych zdjęć. Uważa się, że wielu sprawców jest nastolatkami mieszkającymi w Stanach Zjednoczonych i za granicą, według czterech osób.
Bloomberg donosi, że niektóre przypadki były przerażająco ekstremalne.
Według ludzi sprawcy zagrozili, że wyślą materiały o charakterze jednoznacznie seksualnym dostarczone przez ofiarę swoim przyjaciołom, członkom rodziny i administratorom szkoły, jeśli nie spełnią żądań. Sprawcy byli czasami zmuszani do uwidocznienia nazwiska ofiary na skórze i robienia zdjęć
.
9to5Mac's Take
Poważnym problemem są fałszywe żądania danych alarmowych wysyłane z legalnych adresów e-mail. Firmy mogą ucierpieć, jeśli nie odpowiedzą. Narażają się na ryzyko, że hakerzy uzyskają dostęp do danych osobowych, jeśli udostępnią je bez dodatkowej kontroli. Mogą nie być w stanie pomóc ofiarom w rzeczywistych przypadkach, jeśli będą czekać zbyt długo na bardziej szczegółowe kontrole.
Oczywistym niebezpieczeństwem jest to, że ta taktyka staje się coraz bardziej powszechna. Należy włożyć znaczne środki w zapobieganie i wykrywanie tego przestępstwa, a kara musi odzwierciedlać dotkliwość potencjalnych konsekwencji.
Zdjęcie: Aleksander Krywicki /Unsplash
umieścić na youtube