《彭博社》(Bloomberg)引述多名消息来源报道,黑客伪装成执法人员,以“紧急资料请求”(Emergency Data Request,EDR)的名义向苹果、Meta与其它企业获取用户个人信息,再使用或销售这些个人信息,安全博客《Krebs on Security》也在本周披露了该趋势,且它们都认为该手法可能与近来的Lapsus$黑客攻击有关。
执法机关向企业调用用户个人信息通常需要取得法院同意,但若涉及紧急生命安全事件,则可借由EDR程序绕过法院文件,尽管企业皆强调就算是EDR也会进行审核,由于这类的请求涉及人性考验,多半都会过关。
根据报道,该攻击手法最早始于2021年初,黑客先是黑进了不同国家的执法机关,从它们的电子邮件系统上找到EDR的范本,再伪造上司的签名,以向网络服务供应商、电信企业、科技或社交平台请求特定用户的个人信息,包括地址、电话号码及IP地址等,接着就能利用这些个人信息再进行社交攻击或暴力破解,进一步取得受害者的凭证,而且这是个非常可怕又有效率的途径。
企业的回应证实了此类的诈骗事件的确存在。例如Meta就向《彭博社》表示,该公司会封锁那些已知提出伪造请求的账号,同时配合执法机关调查相关的诈骗请求。Snap也说该公司具备保护措施,得以侦测来自执法部门的诈骗请求。
此外,安全社群也认为这是黑客集团Lapsus$所采用的手法之一。Lapsus$近来接连入侵了Nvidia、Vodafone、Okta与微软,根据微软的分析,Lapsus$主要的入侵渠道是公开对外收购各大企业的凭证,再窃取受害组织的机密资料并进行勒索。
《Krebs on Security》指出,安全研究人员发现,代号为WhiteDoxbin的Lapsus$首脑也曾参与另一个网络犯罪集团Recursion Team,该团队的特色之一就是出售执法机关的资料,包括传票或搜索票服务,目标对象包括苹果、Google与Snap,宣称握有政府的电子邮件账号,可用来向企业请求个人资料。
总之,黑客的攻击手法防不胜防,也让个人身份的保护更形重要,过去安全企业也曾奉劝用户不要于社交网站上披露过多的个人资讯,以免遭到黑客滥用以进行社交工程攻击。