文章图片
- 安全博客KrebsOnSecurity披露了一种伪装政府执法部门向互联网公司套取用户数据的攻击手法 , 攻击者窃取执法部门邮箱等官方账号 , 向互联网平台发送“紧急数据申请” , 从而套取用户敏感数据;
- 最近兴起的LAPSUS$数据勒索团伙正是利用这一手法为基础 , 成功入侵了微软、Okta、英伟达等知名企业内网窃取数据 , 苹果、Meta等巨头曾应黑客要求提供用户数据;
- 互联网巨头们向黑客提供的数据包括用户的基本信息 , 如消费者的家庭住址、电话号码、IP地址等 。
正如前美国司法部检察官马克?拉什(Mark Rasch)所说 , “我们建立有一种紧急程序 , 网络服务提供商可以据此允许警察对数据进行紧急访问 。 ”但他同时也指出了“紧急数据申请”的致命漏洞——“‘紧急数据申请’没有一套有效的实用机制 , 供互联网服务商或科技公司验证法院搜查令或传票的合法性 。 只要申请看上去像真的 , 他们就会配合 。 ”
很显然 , 一些网络犯罪分子已意识到科技公司收到“紧急数据申请”后 , 并没有快速便捷方法确认其合法性 。 所以他们找到了一种非常有效的方法 , 可以用来在未取得法庭授权的情况下从网络服务商、电话公司以及社交媒体公司处“收割”敏感用户数据 , 即通过非法侵入的警察部门邮件系统向科技公司发送虚假的“紧急数据申请” , 要求对用户数据进行未获得法庭授权的访问 。 同时附上一份证明书 , 证明如果科技公司不能立即提供所申请的数据信息 , 无辜的普通人就很可能遭受巨大痛苦甚至死亡 。
几乎所有拥有海量线上用户的大型科技公司都设有专门部门负责审查和处理此类申请 。 事实上 , 只要提交了正式文件而且发出的网络地址与现实中的警察部门相符 , 这些申请基本上都会得到批准 。
在这样的背景下 , 凡收到“紧急数据申请”的公司都会发现自己只能在两种不光彩的结果中二选一:一是忽略“紧急数据申请” , 但可能会因此造成伤亡事件;二是配合申请提供相应数据 , 但可能会有把客户信息泄露给坏人的风险 。
虚假“传票”攻击越来越难以防范
年轻犯罪团伙冒充执法部门 , 以发送虚假法庭传票的方式随心所欲地获取目标特许数据 , 这种现象目前越来越常见 。
数据勒索集团LAPSUS$的所作所为就是一个典型的例子 。 调查发现 , 该团伙已用这种方式对微软、Okta、英伟达和沃达丰等全球知名企业进行过勒索 。
LAPSUS$团伙利用虚假“紧急数据申请”谋财的时间可追溯至其前身 , 一名14岁英国少年(网络名为“White”或“Everlynn”)建立的“Recursion Team” 。 Recursion Team曾于2021年4月5日在网络犯罪论坛上发出“广告贴” , 称可以获得任何执法部门的数据并借此向苹果、谷歌、Snapchat等大型科技公司发出虚假搜查令或传票等服务 , “每次100至250美元 。 ”
此前 , 该团伙还在另外一个广告贴中宣称拥有从阿根廷政府所辖机构内发送电子邮件的能力 。
相关经验推荐
- 华为鸿蒙系统|俄厂商点名要搭载鸿蒙系统,华为拒绝得很“聪明”
- 努比亚|努比亚出了款“异人联络机”,我们来开箱看看
- 华为|614亿!孟晚舟升任董事长,华为“开仓放粮”,美国学者发出警告
- iOS|iOS15.4.1正式版续航稳了,是一个值得“养老”的版本
- 高通骁龙|时隔一年小米 11 Ultra降价1500,你还记得这台“安卓之光”吗?
- 汽车|人工智能的普及,当然会让一部分职业“消失”,某些工作会被替代
- 华为mate50|华为Mate50最快7月发布,首发骁龙8“定制版”,4999元有戏
- iPhone|“为什么不愿意换手机”,这还用问?
- |4月选机优先,这四款手机都是爆款,款款“高配低价”赶紧入手
- 苹果|没有想到!继“踢出”34家中国供应商之后,苹果又传来消息!