Embora golpes phishing já sejam uma estratégia amplamente utilizada para manipular vítimas a fornecerem informações sensíveis, um grupo de hackers foi capaz de enganar até mesmo a Apple e a Meta implementando técnicas de engenharia social.
No caso, os cibercriminosos passaram-se por agentes de aplicação da lei para enviar falsas “solicitações de dados de emergência” às empresas. O incidente ocorreu no ano passado, sendo que a Apple e a Meta responderam aos pedidos, fornecendo dados como endereço, número de telefone e endereço IP de usuários.
Geralmente, solicitações que envolvem informações sensíveis são fornecidas apenas com um mandado de busca ou intimação assinados por um juiz. No entanto, no caso de solicitações de emergência, o procedimento é mais simples e não exige uma ordem judicial.
A Snap Inc, dona do Snapchat, também recebeu uma solicitação falsa dos mesmos hackers, mas ainda não informações se a empresa chegou a fornecer algum dado.
Solicitações de emergência
De acordo com pesquisadores de cibersegurança, a suspeita é que os hackers tenham menos de 18 anos e estejam localizados nos Estados Unidos e no Reino Unido. Acredita-se ainda que um deles seja um dos principais responsáveis pelo grupo Lapsus$, que já invadiu sistemas de gigantes como Microsoft, Samsung e Nvidia.
Tanto a Apple como a Meta afirmaram que contam com procedimentos de segurança para avaliar as solicitações provenientes de agentes de aplicação da lei e bloquear atividades consideradas suspeitas.
Apesar da maioria dos documentos que contêm pedidos desse tipo serem assinados por um juiz, alguns deles podem ser substituídos por solicitações de emergência em casos de perigo iminente, dispensando a necessidade da assinatura.
As informações obtidas pelos hackers através desses golpes podem ser utilizadas principalmente em fraudes financeiras. Com os dados da vítima em mãos, isso permite que eles também tentem burlar mecanismos de segurança para realizar a autenticação nas contas de usuários.
E-mails hackeados
Os incidentes fazem parte de uma campanha iniciada em janeiro de 2021 e que tinha como alvo diversas empresas de tecnologia. A suspeita é de que as solicitações falsas tenham sido enviadas através de domínios de e-mail hackeados que pertenciam a agentes de aplicação da lei em diferentes países.
Alguns dos documentos incluíam ainda assinaturas falsificadas de indivíduos reais ou fictícios. Segundo investigações, ao comprometer os sistemas de e-mail, os hackers podem ter obtido acesso a solicitações legítimas que foram utilizadas para forjar as versões fraudulentas.
Na terça-feira, a plataforma Discord confirmou que havia recebido um pedido judicial falso. Segundo a empresa, a equipe de segurança verificou que a solicitação era proveniente de uma fonte legítima, mas que a conta do remetente estava comprometida.
Ao identificar essa atividade suspeita, o Discord afirma que iniciou uma investigação do caso e que já notificou os agentes de aplicação da lei sobre a conta de e-mail que estava comprometida.
De acordo com dados divulgados pelas próprias empresas, entre julho e dezembro de 2020, a Apple recebeu 1.162 solicitações de emergências em 29 países, sendo que a companhia atendeu 93% delas.
Já a Meta afirma ter recebido 21.700 pedidos desse tipo entre janeiro e junho de 2021, fornecendo os dados solicitados em 77% dos casos.