Zločinní hackeři údajně používají účinnou a záludnou techniku s ukradenými e-maily činnými v trestním řízení, aby ukradli uživatelská data od velkých technologických společností, poskytovatelů internetových služeb, operátorů a společností sociálních médií.
Když se hacker vydává za úředníka
Přesněji řečeno, útočníci se podle novináře Briana Krebse z oblasti kybernetické bezpečnosti zjevně vydávají za úředníky činných v trestním řízení, aby získali privilegovaná data. Obecně platí, že používají kompromitované e-mailové účty orgánů činných v trestním řízení.
Tato taktika se také opírá o typ vládního dotazování nazývaného Emergency Data Request (EDR). Technologické společnosti obvykle předávají uživatelská data pouze se soudním příkazem nebo předvoláním. Orgány však mohou provést EDR v případech, které zahrnují hrozbu bezprostřední újmy nebo smrti – a vynechají tak potřebu soudních dokumentů nebo úředního přezkumu.
Podle Krebse přišli zlomyslní hackeři na to, že pro technologické společnosti a společnosti sociálních médií neexistuje snadný způsob, jak ověřit, zda je EDR legitimní.
„Pomocí svého nezákonného přístupu k policejním e-mailovým systémům pošlou hackeři falešný EDR spolu s potvrzením, že nevinní lidé budou pravděpodobně velmi trpět nebo zemřou, pokud nebudou okamžitě poskytnuta požadovaná data,“ napsal Krebs.
Reportér našel důkazy o tom, že kyberzločinci prodávají „službu soudního příkazu/předvolání“ potenciálním kupcům, o kterých tvrdí, že mohou získat přístup k datům vymáhání práva ze služeb jako Apple, Google a Snapchat.
Problém nemá snadné řešení
Neexistuje ani jednoduchý způsob, jak problém zmírnit. Technologické společnosti, které čelí EDR, mají nepohodlnou volbu vyhovět potenciálně falešnému požadavku nebo odmítnout legitimní – a případně ohrozit něčí život.
Podle bezpečnostního specialisty Nicholase Weavera z Kalifornské univerzity v Berkeley je jediným způsobem, jak odstranit zranitelnost, aby agentura jako FBI fungovala jako „jediný poskytovatel identity pro všechny státní a místní orgány činné v trestním řízení“.
„Ale ani to nemusí nutně fungovat, protože jak veterinář FBI v reálném čase ověří, že nějaká žádost je skutečně od nějakého podunkového policejního oddělení?“ zeptal se Weaver.
Tato taktika však nemusí být tak rozšířená jako jiné způsoby vykořisťování, protože mnoho kyberzločinců ji považuje za „příliš riskantní“.
„Je to velmi riskantní, pokud vás chytí,“ řekl Weaver. „Ale udělat to není věcí dovednosti. Je to vůle. Je to zásadně neřešitelný problém, aniž bychom úplně předělali to, jak přemýšlíme o identitě na internetu v národním měřítku.“
V červenci 2021 američtí zákonodárci představili návrh zákona, který by mohl pomoci. Legislativa by vyžadovala poskytnutí finančních prostředků státním a kmenovým soudům, aby mohly přijmout technologii digitálního podpisu k potlačení padělaných soudních příkazů.
