2/5/2022
Okazuje się, że choć nasze dane na serwerach Apple, Facebooka, Twittera i Google są całkiem nieźle zabezpieczone przed typowymi włamywaczami, to mogą je wyciągnąć przestępcy, którzy …udają policjantów. Bloomberg opisał szajkę oszustów podszywa się pod funkcjonariuszy i pozyskuje informacje na temat konkretnych użytkowników, aby później ich prześladować.
Jak to możliwe?!
Zacznijmy od przypomnienia dwóch oczywistości:
- Nawet jeśli nasze dane w chmurze tej czy innej firmy są składowane w formie zaszyfrowanej, niemożliwej do odszyfrowania przez pracowników firmy, to wciąż firma ta zbiera sporo niezaszyfrowanych danych na nasz temat, np. dane teleadresowe, które podaliśmy podczas rejestracji konta, czy adres IP, a w niektórych przypadkach także dokładną lokalizację pochodzącą z aplikacji lub wprost systemu operacyjnego naszego smartfona.
- Policja może zgodnie z prawem żądać informacji o użytkowniku. To czy te dane otrzyma i w jakim zakresie, to już inna kwestia (por. Polska w TOP10 krajów proszących Google o dane użytkowników). Ponieważ ten proces wnioskowania o dane użytkownika jest długi, a bywają nagłe sytuacje, gdzie nie tyle dane użytkownika są potrzebne, co informacje na jego temat — np. adres zamieszkania — to firmy udostępniają organom ścigania specjalne interfejsy dla funkcjonariuszy lub odpowiednią ścieżkę przyśpieszonego wnioskowania. Chodzi np. o sytuacje w których użytkownik napisał na swoim profilu, że zrobi(ł) sobie lub innym krzywdę.
I właśnie mechanizm tego przyśpieszonego żądania o dane wykorzystywali oszuści podszywający się pod funkcjonariuszy. Co robili z danymi? Prześladowali swoje ofiary, wykorzystywali ich dane do oszustw finansowych, a część z ofiar szantażowali — domagając się “odważnych” zdjęć w zamian za nieujawnianie informacji jakie pozyskali od serwisów, w których ofiara miała konta.
Które serwisy przekazały dane oszustom?
Wedle Bloomberga, podszywaczom udało się wyłudzić dane o użytkownikach od:
-
Meta (Facebook, Instagram)
Apple
Snapchata
Twittera
Discorda
Zanim w całości zrzucicie winę na pracowników tych firm, warto wspomnieć że namierzanie “lewych” żądań jest o tyle trudne, że oszuści korzystają z prawdziwych skrzynek funkcjonariuszy. Firmy wiedzą o problemie. Część żądań była na tyle podejrzana, że samo Google wyłapało je jako fałszywki. Brawo!
Artykuł Bloomberga o tym nie wspomina, ale ciekawi nas jak przestępcy wchodzą na skrzynki policjantów. Czy to klasyczny phishing czy może korumpują funkcjonariuszy tak, jak ostatnio robią to z pracownikami gangi ransomware’owe? Wygląda na to, że tego problemu nie uda się wyeliminować bez hardeningu policyjnej infrastruktury (np. wymuszenia używania kluczy U2F) oraz jakiegoś lepszego i wiarygodnego mechanizmu potwierdzania żądania np. kanałem telefonicznym.
Mam konto na Facebooku, Google, Instagramie, Twitterze… Co robić, jak żyć?
Niestety, jeśli chodzi o Ciebie, to przed tym rodzajem ataku nic Cię nie uchroni, nawet długie hasła, nieklikanie w podejrzane linki i skonfigurowanie klucza U2F. Bo jeśli pracownicy serwisu w którym masz konto dadzą się zmanipulować, to informacje na Twój temat (zazwyczaj: numer telefonu, adres, pełne dane osobowe, lokalizację) przekażą oszustom.
Prywatności i ochronie swoich danych poświęciliśmy kilkudziesięciominutową sekcję na naszym wykładzie “Jak nie dać się zhackować?” który już w maju odbędzie się w kilku miastach:
Zapraszamy Was z rodzicami i dziećmi (14+), bo to przystępnie podana konkretna piguła wiedzy, którą dziś już nie tylko powinien, ale musi posiadać każdy, kto korzysta z internetu na komputerze lub smartfonie. Poza tym jak chronić swoją prywatność na wykładzie pokażemy wiele ataków na żywo i przekażemy zestaw solidnych rad jak zabezpieczyć swoje dane przed wyciekiem a pieniądze przed kradzieżą. Bilety możecie kupić na tej stronie.
Ciekawi mnie, czy ze wzgledu na wprowadzone nie dawno absurdalne uprawnienia dla policji, tego typu sprawa mogla by wogole zaistniec obecnie w Australii – czy tam po prostu masz p* jak w jakiejs dziczy i musisz jakos zyc (jesli typ ataku to umozliwia) z policja oferujaca swoje/uzytkownikow informacjie przestepcom…
Ciekaw jestem ile danych zostało pobrane i z jakich krajów…
Jakieś to naciągane trochę… :) Przejeli mój adres zamieszkania i szantażują mnie, że wykorzystają go jeśli nie spełnię warunków?
Ty sobie zartujesz?
Poczawszy od informacji wystarczajacych do zaciagniecia lipnych kredytow itp. prywatnych dokumentow (chmura) danych lokalizacyjnych (sledzenie), numeru telefonu i danych identyfikacyjnych z nim powiazanych, wszystkiego co te firmy zbieraja w ramach uslug dla agencji rzadowych do calego multum innych danych wrazliwych — gdzie ty widzisz tylko adres, nawet gdyby to bylby tylko ten wlasnie adres, ty myslisz ze malo jest psycholi ktorzy wykorzystali by okazje zeby dobrac sie do ladnej lasce czy wzglednie zamoznemu facetowi do du*?
Znam prostszy sposób. Nigdy nie zakładaj konta na podanych 5 serwisach i jemu podobnych. Myślisz że czemu wyłudzają numer telefonu gdy połączysz się przez Tora?
Właściwie dobry test na prywatność serwisu – załóz konto z Tora i zobacz jak wiele informacji chce i czy w ogóle działa przez tą sieć.
Znam prostszy sposób. Nigdy nie zakładaj konta na podanych 5 serwisach i jemu podobnych. Myślisz że czemu wyłudzają numer telefonu gdy połączysz się przez Tora?
Właściwie dobry test na prywatność serwisu – załóż konto z Tora i zobacz jak wiele informacji chce i czy w ogóle działa przez tą sieć.
Znam prostszy sposób. Nigdy nie zakładaj konta na podanych 5 serwisach i jemu podobnych. Myślisz że czemu żądają numer telefonu, gdy połączysz się przez Tora?
Właściwie dobry test na prywatność serwisu – załóż konto z Tora i zobacz jak wiele informacji chce i czy w ogóle działa przez tą sieć.