Noen av ofrene for en ny svindel, der truende aktører utga seg for å være politi i et forsøk på å stjele sensitiv data fra teknologiselskapers sluttbrukere, har blitt avslørt – og det er ikke bare ukjente navn.
En artikkel i Bloomberg hevder at både Meta (Facebooks moderselskap) og Apple falt for påfunnet. De to selskapene skal etter sigende ha delt brukernes IP-adresser, telefonnumre og fysiske adresser med svindlerne.
Rent bortsett fra Meta og Apple skal også en hel del andre store teknologiselskaper ha vært mål for operasjonen, inkludert Snap Inc. og Discord. Per nå er det uklart hvorvidt selskapene falt for svindelen.
Snap og Discord skal ha vært mål for svindelen
I en kommentar vedrørende nyheten fortalte sjef for retningslinjer og kommunikasjon i Meta, Andy Stone, The Verge at selskapet ser gjennom alle dataforespørsler, ser etter tilstrekkelig juridisk grunnlag og bruker «avanserte systemer og prosesser» til å godkjenne krav fra rettslige instanser og avsløre misbruk.
«Vi blokkerer kjente kompromitterte kontoer fra å kunne gjøre krav og jobber med rettshåndhevende myndighet for å respondere på tilfeller som involverer krav som mistenkes å være falske, slik vi har gjort i dette tilfellet», sier Stone i en uttalelse.
«Denne taktikken representerer en betydelig trussel i teknologi-industrien», sier Peter Day, gruppeleder innen bedriftskommunikasjon for Discord. «Vi investerer kontinuerlig i våre 'Trust & Safety'-kapabiliteter for å kunne svare på nye trusler som denne.»
I den opprinnelige artikkelen, fra KrebsOnSecurity, ble det sagt at en gruppe truende aktører, muligens de samme personene som senere laget Lapsus$-gruppen, klarte å overta e-post-kontoer hos rettshåndhevende myndigheter, mest trolig via såkalt phishing eller virus.
I etterkant ble disse e-postadressene brukt til å ta kontakt med store selskaper og presentere en såkalt EDR (Emergency Data Request). Rettshåndhevende myndigheter tar ofte kontakt med selskaper, og spør etter data knyttet til brukere og kunder. Disse forespørslene må være innsendt i tråd med visse lover og regler, så de kan ta litt tid å prosessere.
Forespørslene som karakteriseres som EDR forbigår den tidkrevende prosessen, siden disse skal brukes når det står om liv og død (eller alvorlig skade.) Ved å spille EDR-kortet kan truende aktører tvinge selskaper til å enten risikere livet til noen, ved å bruke tid på å bekrefte identiteten til avsender; eller risikere å lekke sensitiv data, ved å dele raskt, uten å dobbeltsjekke hvem avsender er.
Kilde: The Verge
