پلیس‌های قلابی جیب متا و اپل را زدند؛ آن هم فقط با یک ایمیل!

مجرمان سایبری با ارسال درخواست‌های جعلی از آدرس‌های ایمیل هک شده پلیس به متا و اپل، مقادیر زیادی از اطلاعات شخصی کاربران را دریافت کردند.

طی سال گذشته، مجرمان سایبری از درخواست‌های جعلی داده‌های اجرای قانون، برای سرقت مقدار نامشخصی از اطلاعات کاربران از اپل و متا استفاده کرده‌اند. درخواست‌های داده با استفاده از حساب‌های هک شده ایمیل پلیس به شرکت‌های فناوری ارسال شده‌اند که در نگاه اول به طرز فریبکارانه‌ای، وجهه‌ای قانونی را از منابع دولتی نشان می‌دهد.

به گزارش بلومبرگ، در اواسط سال 2021، این دو غول فناوری از طریق ترفند جدید مجرمان سایبری فریب خوردند و مقدار نامعلومی از جزئیات و اطلاعات اساسی کاربران، از جمله آدرس خانه، آدرس IP و شماره تلفن کاربران را در اختیار سودجویان قرار داده‌اند. شرکت اسنپ که مالکیت برنامه اسنپ چت را بر عهده دارد نیز از حداقل دریافت یک درخواست مشابه خبر داده، اما نگفته که آیا اطلاعات درخواستی را انتقال داده‌اند یا خیر.

در حال حاضر مشخص نیست که دقیقا چه تعداد درخواست ساختگی به اپل و متا ارسال و چه میزان داده دریافت شده است. در بیانیه‌ای که اندی استون، سخنگوی متا در اختیار بلومبرگ قرار داده، ظاهرا به این رسانه گفته:

ما هر درخواست داده‌ای را برای بررسی کفایت قانونی زیر نظر می‌گیریم و از سیستم‌ها و فرآیندهای پیشرفته برای تایید درخواست‌های اجرای قانون و شناسایی سوءاستفاده بهره می‌گیریم. ما حساب‌های در معرض خطر شناخته‌شده را از درخواست‌ها جدا و مسدود می‌کنیم و با مجریان قانون برای پاسخ‌گویی به حوادث مربوط به درخواست‌های مشکوک به تقلب در حال همکاری هستیم.

در همین حال، یکی از نمایندگان سرویس اسنپ چت که تایید یا رد ارسال داده‌ها را تایید نکرده، در گفتگو با Gizmodo عنوان کرده که اسنپ تدابیر امنیتی طراحی شده برای تشخیص درخواست‌های تقلبی مجریان قانون، از جمله حساب‌های هک شده را دریافت کرده است.

روز سه‌شنبه، برایان کربس، وبلاگ نویس حوزه امنیت سایبری، اخباری را در مورد این روند جدید و عجیب و غریب جرایم سایبری منتشر کرد که در آن هکرها از سیستم‌های ایمیل پلیس استفاده می‌کنند تا درخواست‌های جعلی داده “اضطراری” را به شرکت‌های فناوری ارائه دهند. چنین درخواست‌هایی که به عنوان EDR شناخته می‌شوند، توسط پلیس در موقعیت‌های حساس به زمان، زندگی یا مرگ استفاده می‌شوند و نیازی به احکام دادگاهی ندارند. بنابراین بر خلاف سایر احضاریه‌ها، EDRها شامل بررسی‌های داخلی گسترده نیستند و در صورت اعتبار درخواست ارسالی از سوی سازمان مجری قانون، شرکت‌ها نیز تمایل بیشتری به تحویل سریع داده‌ها دارند.

متاسفانه، اعتبارنامه ورود به ایمیل پلیس را می‌توان به آسانی در دارک وب خریداری کرد که باعث می‌شود این روش برای مجریان سایبری آموزش دیده چندان کارساز نباشد.

کربس در وبلاگ خود، حداقل یک نمونه خاص از این اتفاق را برملا کرده که طی آن هکرها با موفقیت، پلتفرم چت دیسکورد را متقاعده کردند تا داده‌های مربوط به یک کاربر 18 ساله از ایندیانا را به آنها تحویل دهد. دیسکورد ضمن تایید این اتفاق در گفتگو با Gizmodo گفته که به اشتباه، داده‌ها را با استفاده از حساب ایمیل آسیب‌دیده پلیس در اختیار یک عامل مخرب قرار داده است.

یک منبع هکر همچنین به کربس گفته که مجرمان سایبری اغلب از داده‌های سرقت شده برای استفاده در جهت «تعقیب، هک، آزار و اذیت و تحقیر عمومی» علیه قربانیان خود استفاده می‌کنند.