A Apple e Meta foram enganadas por um grupo de hackers que se passaram por policiais para obter os dados dos usuários de ambas as empresas.
De acordo com um relatório do Bloomberg, as duas empresas caíram no golpe em meados de 2021 quando os cibercriminosos enviaram falsas solicitações de dados de emergência.
Essas solicitações são enviadas por policiais para plataformas sociais durante investigações criminais para que as empresas forneçam informações sobre endereços IP, números de telefone e endereços residenciais dos usuários.
Normalmente essas solicitações exigem uma intimação ou mandado de busca assinado por um juiz, mas as solicitações de emergência para obter dados não necessitam e são destinadas a casos que envolvem situações de risco de vida.
Segundo o Krebs on Security, um blog que pública e investiga crimes cibernéticos, esse tipo de pratica está se tornando cada vez mais comum.
De acordo com Brian Krebs, autor do Krebs on Security, os hackers estão conseguindo obter acesso aos sistemas de e-mail de departamentos de polícia para praticar os golpes.
Após isso, eles enviam e-mails supostamente legítimos para as empresas assumindo a identidade de um oficial da lei, as mensagens descrevem o potencial perigo caso elas não enviem os dados solicitados imediatamente.
Supostos adolescentes estão usando engenharia social para hackear grandes empresas de tecnologia
Krebs ainda afirma que alguns hackers estão publicando e-mails governamentais online para venda e que a maioria deles são adolescentes.
Outros pesquisadores de segurança cibernética acreditam que o cérebro por trás do grupo de hackers Lapsus$, um suposto adolescente que reside em Oxford, pode estar envolvido na condução desse tipo de golpe.
Na última semana, a polícia de Londres prendeu sete adolescentes suspeitos de ter conexão com o grupo que reivindicou vários hacks as principais grandes empresas de tecnologia.
As autoridades envolvidas na investigação disseram que os hackers acessaram as contas de agências de aplicação da lei em vários países e atacaram diversas empresas a partir de janeiro de 2021.
"Revisamos todas as solicitações de dados para a suficiência legal e usamos sistemas e processos avançados para validar solicitações de aplicação da lei e detectar abusos", disse Andy Stone, diretor de políticas e comunicações da Meta, em comunicado enviado por e-mail ao The Verge.
"Nós bloqueamos contas comprometidas conhecidas de fazer solicitações e trabalhamos com a aplicação da lei para responder a incidentes envolvendo solicitações fraudulentas suspeitas, como fizemos neste caso", acrescentou.
"Se um governo ou agência de aplicação da lei buscar dados do cliente em resposta a uma solicitação de informações de emergência do governo e da lei, um supervisor do governo ou agente da lei que enviou a solicitação emergencial de informações governamentais e policiais podem ser contatados e solicitados a confirmar à Apple que a solicitação de emergência era legítima", disse a Apple em comunicado ao The Verge.
Meta e Apple não são foram as únicas empresas afetadas por fraudes em solicitações de dados de emergência, o relatório afirma que a Snap e o Discord também foram vítimas do golpe.
"Essa tática representa uma ameaça significativa em todo o setor de tecnologia", disse Peter Day, gerente do grupo Discord para comunicações corporativas, em comunicado enviado por e-mail ao The Verge.
"Estamos investindo continuamente em nossos recursos de Confiança e Segurança para abordar questões emergentes como esta", acrescentou.
O mais intrigante nessa história é o uso da engenharia social por supostos hackers adolescentes que conseguiram enganar grandes empresas de tecnologia e agências de segurança governamentais.
Via: Bloomberg
