Supimos el mes pasado que Apple estaba engañado para que divulgue datos personales a los piratas informáticos, después de que se hicieran pasar por funcionarios encargados de hacer cumplir la ley con solicitudes de datos de emergencia. Un informe de seguimiento revela que algunos de estos datos se utilizaron para extorsionar sexualmente a menores.
El último informe también arroja luz sobre cómo los piratas informáticos pudieron engañar a Apple y otros gigantes tecnológicos, incluidos Facebook, Google, Snap, Twitter y Discord…
Fondo
Por lo general, una empresa solo divulgará los datos de los clientes a los funcionarios encargados de hacer cumplir la ley al recibir una orden judicial, e incluso entonces examinará la solicitud con cuidado, a veces ofreciendo proporcionar solo una parte de los datos solicitados.
Como este proceso lleva tiempo, existe un procedimiento de solicitud de datos de emergencia que se utiliza cuando existe un riesgo inmediato de daño para una o más personas. En estos casos, las empresas verifican que la solicitud provenga de un contacto legítimo de las fuerzas del orden, pero primero brindan la información y luego hacen las preguntas.
Los piratas informáticos utilizaron solicitudes de datos de emergencia falsas para persuadir a Apple y otras empresas de que liberaran los datos de los usuarios. Un nuevo informe explica cómo se hizo mal uso de los datos y proporciona información sobre cómo se engañó a las empresas.
Cómo engañaron a Apple
Bloomberg informa que el ataque generalmente se basa en poder usar piratería o phishing para obtener acceso a los sistemas de correo electrónico de las fuerzas del orden, de modo que la fuente de las solicitudes parezca genuina.
El método exacto de los ataques varía, pero tienden a seguir un patrón general, según los agentes del orden. Comienza cuando el perpetrador compromete el sistema de correo electrónico de una agencia de aplicación de la ley extranjera.
Luego, el atacante falsificará una “solicitud de datos de emergencia” a una empresa de tecnología, buscando información sobre la cuenta de un usuario, dijeron los oficiales. Las fuerzas del orden utilizan estas solicitudes para obtener información sobre cuentas en línea en casos que implican un peligro inminente, como suicidio, asesinato o secuestro. […]
Los datos proporcionados varían según las empresas, pero generalmente incluyen el nombre, la dirección IP, la dirección de correo electrónico y la dirección física. Algunas empresas proporcionan más datos.
Ataques en cascada utilizados para extorsionar a las víctimas
Aunque los datos no parecen ser demasiado, proporcionan suficiente información para permitir que se lleven a cabo más hacks y ataques de phishing contra víctimas individuales. Se informa que tanto los perpetradores como las víctimas incluyen niños.
Los atacantes han usado la información para piratear las cuentas en línea de las víctimas o para hacerse amigos de las mujeres y los menores antes de alentarlos a proporcionar fotos sexualmente explícitas, según las personas. Se cree que muchos de los perpetradores son adolescentes en los EE. UU. y en el extranjero, según cuatro de las personas.
Bloomberg informa que algunos de los casos fueron terriblemente extremos.
Los perpetradores han amenazado con enviar material sexualmente explícito proporcionado por la víctima a sus amigos, familiares y administradores escolares si no cumplen con las demandas, según las personas. En algunos casos, se ha presionado a las víctimas para que graben el nombre del perpetrador en su piel y compartan fotografías de él.
La toma de 9to5Mac
El uso de solicitudes de datos de emergencia falsas de direcciones de correo electrónico legítimas de las fuerzas del orden es un gran problema porque corre el riesgo de dañar la forma en que las empresas respondan. Si liberan datos con controles mínimos, corren el riesgo de entregar información personal a los piratas informáticos. Si se demoran lo suficiente en verificaciones más complicadas, puede que sea demasiado tarde para ayudar a las víctimas en casos genuinos.
El riesgo obvio es que esto se convierta en una táctica cada vez más común. Es necesario dedicar recursos significativos a la prevención y detección de este delito, y el castigo debe reflejar la gravedad de las posibles consecuencias.
Foto: Alexander Krivitsky/Unsplash
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
Visite 9to5Mac en YouTube para obtener más noticias de Apple: