《彭博社》(Bloomberg)引述多名消息來源報導,駭客偽裝成執法人員,以「緊急資料請求」(Emergency Data Request,EDR)的名義向蘋果、Meta與其它業者索取用戶個資,再使用或銷售這些個資,資安部落格《Krebs on Security》也在本周揭露了此一趨勢,且它們都認為該手法可能與近來的Lapsus$駭客攻擊有關。

執法機關向業者調用使用者個資通常需要取得法院同意,但若涉及緊急生命安全事件,則可藉由EDR程序繞過法院文件,儘管業者皆強調就算是EDR也會進行審核,由於這類的請求涉及人性考驗,多半都會過關。

根據報導,此一攻擊手法最早始於2021年初,駭客先是駭進了不同國家的執法機關,從它們的電子郵件系統上找到EDR的範本,再偽造長官的簽名,以向網路服務供應商、電信業者、科技或社交平臺請求特定用戶的個資,包括地址、電話號碼及IP位址等,接著就能利用這些個資再進行社交攻擊或暴力破解,進一步取得受害者的憑證,而且這是個非常可怕又有效率的途徑。

業者的回應證實了此類的詐騙事件的確存在。例如Meta就向《彭博社》表示,該公司會封鎖那些已知提出偽造請求的帳號,同時配合執法機關調查相關的詐騙請求。Snap也說該公司具備保護措施,得以偵測來自執法部門的詐騙請求。

此外,資安社群也認為這是駭客集團Lapsus$所採用的手法之一。Lapsus$近來接連入侵了Nvidia、Vodafone、Okta與微軟,根據微軟的分析,Lapsus$主要的入侵管道是公開對外收購各大企業的憑證,再竊取受害組織的機密資料並進行勒索。

《Krebs on Security》指出,資安研究人員發現,代號為WhiteDoxbin 的Lapsus$首腦也曾參與另一個網路犯罪集團Recursion Team,該團隊的特色之一就是出售執法機關的資料,包括傳票或搜索票服務,目標對象包括蘋果、Google與Snap,宣稱握有政府的電子郵件帳號,可用來向企業請求個人資料。

總之,駭客的攻擊手法防不勝防,也讓個人身分的保護更形重要,過去資安業者也曾奉勸使用者不要於社交網站上揭露過多的個人資訊,以免遭到駭客濫用以進行社交工程攻擊。


熱門新聞

Advertisement