Технологические фирмы обмануты в соучастии в вымогательстве несовершеннолетних
Фальшивые юридические запросы, используемые для отпугивания скандальных материалов, используемых против несовершеннолетних
Несколько крупных технологических фирм были обмануты в передаче пользовательских данных в ответ на фальшивые запросы правоохранительных органов — данные, которые затем используются для вымогательства и сексуальных домогательств этих пользователей, сообщили Bloomberg во вторник несколько источников, знакомых с этим вопросом.
Компании, включая Google, Apple, Meta, Twitter, Snap и Discord, обмануты, предоставляя пользовательские данные злоумышленникам, которые затем используют эту информацию для вымогательства у своих жертв. Сообщается, что фальшивые сотрудники правоохранительных органов нацелены на конкретных женщин и несовершеннолетних, иногда принуждая их к созданию и распространению материалов откровенно сексуального характера, используя угрозы возмездия.
Хотя первоначально казалось, что эти мошенничества были направлены на финансовое вымогательство своих жертв, схемы сексуального вымогательства стали тревожно популярными, согласно источникам Bloomberg в правоохранительных органах. Как правило, они начинаются с того, что хакер взламывает систему электронной почты правоохранительных органов и подделывает «экстренный запрос данных», нацеленный на конкретного пользователя социальной сети. Когда компания предоставляет запрошенную информацию, хакер может использовать ее, чтобы напрямую скомпрометировать учетные записи жертвы в социальных сетях или подружиться с ними в течение определенного периода времени, в конечном итоге принуждая или шантажируя их для предоставления фотографий или видео сексуального характера.
Жертвы, которые не сотрудничают, подвергаются целому ряду тактик возмездия, включая «прихлопывание», потенциально смертельную шутку, которая включает вызов ложной угрозы местному диспетчеру службы экстренной помощи. Полиции, отправленной в дом жертвы, могут сказать, что человек склонен к насилию, что может привести к смертельный противостояния. Другие могут публиковать свою личную информацию на специальных док-сайтах, приглашая случайных злоумышленников мучить их по своему желанию. Тем, кого обманом заставили предоставить материалы откровенно сексуального характера, сообщают, что оскорбительные фотографии будут отправлены членам семьи, друзьям или работодателям.
Поскольку экстренные запросы не требуют судебного постановления, подписанного судьей, их относительно легко изготовить, а сами социальные сети не обязаны раскошелиться на данные. Однако большинство все равно предоставляют информацию, особенно если в запросе упоминается ситуация «неминуемой опасности», такая как похищение, самоубийство или убийство.
Компании охотно передают имена, IP-адреса, электронные письма, физические адреса, а иногда даже больше информации в ответ на такие запросы — часто отвечая так же, как они ответили бы на судебную повестку. А в некоторых случаях поддельные запросы сопровождаются поддельной подписью судьи, которую, как сообщается, можно купить всего за 10 долларов в даркнете.
Бывший начальник службы безопасности Facebook Алекс Стамос призвал полицейские управления и технические фирмы усилить свою безопасность, требуя обратных вызовов с подтверждением и многофакторной аутентификации, чтобы затруднить подделку звонков или электронных писем от властей.
Представители Facebook, Google, Discord и Snap настаивали на том, чтобы они работали с правоохранительными органами для «подтверждения» законных запросов данных, в то время как Twitter и Apple отказались комментировать этот вопрос. По запросу компании предоставляют нужные данные в подавляющем большинстве случаев даже без решения суда. Сообщается, что Apple выполняет 93% экстренных запросов, в то время как Meta якобы предоставляет данные в ответ на 77% запросов.
Сообщения о хакерах и других преступниках, заставляющих большие технологические фирмы предоставлять информацию о пользователях, впервые появились в прошлом году, причем по крайней мере один из виновных — подросток — связан с британской киберпреступной группировкой Lapsus $, группой, которая якобы имеет историю взлома Microsoft, Samsung и Нвидиа. По словам Эллисон Никсон, главного научного сотрудника компании Unit 221b, занимающейся кибербезопасностью, хотя многие, если не большинство преступников, считаются несовершеннолетними, это не должно мешать правоохранительным органам преследовать их по всей строгости закона. «Сейчас мы являемся свидетелями их перехода к организованной преступности и сопутствующего этому насилия и сексуальных домогательств в реальном мире», — сказала она, призвав власти судить этих «серьезных» преступников как взрослых.
