Apple è stata indotta con l'inganno a rilasciare dati personali utilizzati per estorcere sessualmente minori

Abbiamo appreso il mese scorso che Apple è stata indotta con l'inganno a rilasciare dati personali agli hacker, dopo che si sono presentati come funzionari delle forze dell'ordine con richieste di dati di emergenza. Il rapporto ha anche rivelato che i dati erano stati utilizzati per estorsioni sessuali di minori.

L'ultimo rapporto fa luce sulle tecniche di hacking utilizzate per ingannare Apple, Snap, Twitter e Facebook.

Sfondo

Di solito, le aziende non rilasciano le informazioni sui clienti alle forze dell'ordine fino a quando non ricevono un'ingiunzione del tribunale. Anche in questo caso, l'azienda può esaminare attentamente la richiesta e offrire di fornirne solo una parte.

Questo processo può richiedere tempo. Esiste anche una procedura di richiesta dati di emergenza che può essere utilizzata quando esiste un rischio per la salute o la sicurezza di una o più persone. In questi casi, le aziende verificano che la richiesta provenga da un contatto legittimo delle forze dell'ordine, ma forniscono prima le informazioni e poi fanno domande.

Gli hacker hanno presentato false richieste di emergenza per convincere Apple e altre società della disponibilità dei dati degli utenti. Il nuovo rapporto descrive in dettaglio come i dati sono stati sottratti indebitamente e come le aziende sono state ingannate.

Come Apple è stata ingannata

Bloomberg segnala che l'attacco generalmente si basa sulla possibilità di utilizzare l'hacking o il phishing per accedere ai sistemi di posta elettronica delle forze dell'ordine, in modo che la fonte delle richieste appaia genuina.

Sebbene i metodi esatti degli attacchi varino, tendono tutti a seguire lo stesso schema secondo le forze dell'ordine. L'autore compromette il sistema di posta elettronica delle forze dell'ordine straniere.

L'attaccante creerà quindi una "richiesta di emergenza" a un'azienda tecnologica alla ricerca di informazioni relative a un account utente. Tali richieste vengono utilizzate dalle forze dell'ordine per ottenere informazioni sull'importo degli account online in casi che comportano un pericolo imminente come suicidio, omicidio o rapimenti […]

I dati che fornisci variano da azienda ad azienda, ma generalmente contengono il tuo nome, indirizzo e indirizzo email. Alcune aziende forniscono più dati.

Attacco a cascata utilizzato per estorcere vittime

Sebbene i dati non sembrino molto, forniscono informazioni sufficienti per consentire l'esecuzione di ulteriori hack e attacchi di phishing contro singole vittime. Si dice che sia gli autori che le vittime includano bambini.

Gli aggressori hanno utilizzato queste informazioni per hackerare gli account delle vittime online o per fare amicizia con le vittime prima di chiedere loro di inviare immagini esplicite. Secondo quattro persone, si ritiene che molti degli autori siano loro stessi adolescenti con sede negli Stati Uniti e all'estero.

Bloomberg riporta che alcuni dei casi erano orribilmente estremi.

Gli autori hanno minacciato di inviare materiale sessualmente esplicito fornito dalla vittima ai loro amici, familiari e amministratori scolastici se non rispettano le richieste, secondo le persone. Gli autori sono stati talvolta costretti a rendere visibile il nome della vittima sulla loro pelle e a scattare foto

.

Take di 9to5Mac

Le false richieste di dati di emergenza inviate da indirizzi e-mail legali rappresentano un problema serio. Le aziende possono essere danneggiate se non rispondono. Corrono il rischio che gli hacker ottengano l'accesso ai dati personali se li rilasciano senza ulteriori controlli. Potrebbero non essere in grado di assistere le vittime nei casi reali se aspettano troppo a lungo per controlli più dettagliati.

L'ovvio pericolo è che questa tattica diventi più comune. È necessario destinare risorse significative alla prevenzione e all'individuazione di questo crimine e la punizione deve riflettere la gravità delle potenziali conseguenze.

Foto: Aleksandr Krivitskij /Spruzza

youtube incorporare