В наши дни они становятся все более агрессивными и хитрыми, что даже крупные технологические компании попадают в их ловушки. Две компании, подвергшиеся такому преступлению, — это Apple и Meta, по словам трех осведомленных лиц, которые Блумберг разговаривал. По их словам, технические компании предоставили некоторые данные киберпреступникам, которые подделали юридические запросы в 2021 году.
Адрес клиента, номер телефона и IP-адрес — это некоторые детали, которыми компании поделились после получения мошеннические запросы экстренных данных. Их обычно просят сотрудники правоохранительных органов использовать их для решения дел, которыми они занимаются. При представлении запроса к нему прилагается ордер на обыск или повестка в суд, но в случае «экстренных запросов данных» такие требования не требуются, поскольку запрос может касаться неотложного вопроса, например, случаев угрозы жизни.
«В чрезвычайных ситуациях правоохранительные органы могут подавать запросы без судебного разбирательства», — говорится на сайте Meta. «Исходя из обстоятельств, мы можем добровольно раскрыть информацию правоохранительным органам, если у нас есть основания полагать, что дело связано с неизбежным риском серьезных телесных повреждений или смерти».
При этом источники сообщили. что Apple и Meta опубликовали данные в соответствии с экстренным запросом. Meta сообщила, что с января по июнь 2021 года она получила в общей сложности 21 700 экстренных запросов по всему миру, на 77% из которых она ответила. Между тем, Apple заявила, что с ней связались 29 стран, в общей сложности 1162 запроса на экстренную помощь, из которых 93% запросов были удовлетворены. Snap Inc. также получила запрос, хотя неясно, ответила ли она на него. Discord, с другой стороны, подтвердил, что он также получил экстренный запрос данных, который позже разрешил.
«Мы проверяем эти запросы, проверяя, что они исходят из подлинного источника, и сделали это в этом случае, — сказал Дискорд. «Хотя наш процесс проверки подтвердил, что сама учетная запись правоохранительных органов была законной, позже мы узнали, что она была скомпрометирована злоумышленником. С тех пор мы провели расследование этой незаконной деятельности и уведомили правоохранительные органы о скомпрометированном аккаунте электронной почты».
С другой стороны, у Apple есть четкие инструкции по обработке запроса. Он гласит:
«Если правительство или правоохранительный орган запрашивают данные о клиенте в ответ на чрезвычайный запрос информации правительства и правоохранительных органов, руководитель правительства или правоохранительный орган, подавший чрезвычайный запрос правительства и правоохранительных органов, С запросом информации можно связаться и попросить подтвердить Apple, что экстренный запрос был законным».
Не было упомянуто, соблюдались ли руководящие принципы во время выполнения поддельных экстренных запросов.
Заявление Meta отражает ту же идею:
«Мы проверяем каждый запрос данных на предмет юридической достаточности и используем передовые системы и процессы для проверки запросов правоохранительных органов и выявления злоупотреблений», — сказал Энди Стоун, представитель Meta. «Мы блокируем известные скомпрометированные учетные записи от отправки запросов и работаем с правоохранительными органами, чтобы реагировать на инциденты, связанные с предполагаемыми мошенническими запросами, как мы сделали в этом случае». За этим делом, вероятно, стоят подростки из США и Великобритании, причем один из них подозревается в организации киберпреступной группировки Lapsus$. Тем не менее, как правило, преступники, ответственные за преступление, связаны с группой под названием «Рекурсивная группа», которая больше не действует, хотя ее члены все еще совершают преступления под другими именами.
Сюжет преступления начинается с проникновения в домены электронной почты правоохранительных органов по всему миру. Оттуда преступники найдут шаблон юридического запроса, которым воспользуются в дальнейшем. Используя найденный формат, злоумышленники будут подделывать подписи и даже создавать имена, чтобы письмо выглядело правдоподобно. Однако люди, которые раскрыли информацию, сообщили о детали, которая кажется более тревожной, чем решаемая проблема: данные для входа в эти домены продаются в подпольных магазинах даркнета со всеми прикрепленными файлами cookie и необходимыми метаданными.