12:22
2/5/2022

Okazuje się, że choć nasze dane na serwerach Apple, Facebooka, Twittera i Google są całkiem nieźle zabezpieczone przed typowymi włamywaczami, to mogą je wyciągnąć przestępcy, którzy …udają policjantów. Bloomberg opisał szajkę oszustów podszywa się pod funkcjonariuszy i pozyskuje informacje na temat konkretnych użytkowników, aby później ich prześladować.

Jak to możliwe?!

Zacznijmy od przypomnienia dwóch oczywistości:

  • Nawet jeśli nasze dane w chmurze tej czy innej firmy są składowane w formie zaszyfrowanej, niemożliwej do odszyfrowania przez pracowników firmy, to wciąż firma ta zbiera sporo niezaszyfrowanych danych na nasz temat, np. dane teleadresowe, które podaliśmy podczas rejestracji konta, czy adres IP, a w niektórych przypadkach także dokładną lokalizację pochodzącą z aplikacji lub wprost systemu operacyjnego naszego smartfona.
  • Policja może zgodnie z prawem żądać informacji o użytkowniku. To czy te dane otrzyma i w jakim zakresie, to już inna kwestia (por. Polska w TOP10 krajów proszących Google o dane użytkowników). Ponieważ ten proces wnioskowania o dane użytkownika jest długi, a bywają nagłe sytuacje, gdzie nie tyle dane użytkownika są potrzebne, co informacje na jego temat — np. adres zamieszkania — to firmy udostępniają organom ścigania specjalne interfejsy dla funkcjonariuszy lub odpowiednią ścieżkę przyśpieszonego wnioskowania. Chodzi np. o sytuacje w których użytkownik napisał na swoim profilu, że zrobi(ł) sobie lub innym krzywdę.

 
I właśnie mechanizm tego przyśpieszonego żądania o dane wykorzystywali oszuści podszywający się pod funkcjonariuszy. Co robili z danymi? Prześladowali swoje ofiary, wykorzystywali ich dane do oszustw finansowych, a część z ofiar szantażowali — domagając się “odważnych” zdjęć w zamian za nieujawnianie informacji jakie pozyskali od serwisów, w których ofiara miała konta.

Które serwisy przekazały dane oszustom?

Wedle Bloomberga, podszywaczom udało się wyłudzić dane o użytkownikach od:

    Meta (Facebook, Instagram)
    Apple
    Google
    Snapchata
    Twittera
    Discorda

Zanim w całości zrzucicie winę na pracowników tych firm, warto wspomnieć że namierzanie “lewych” żądań jest o tyle trudne, że oszuści korzystają z prawdziwych skrzynek funkcjonariuszy. Firmy wiedzą o problemie. Część żądań była na tyle podejrzana, że samo Google wyłapało je jako fałszywki. Brawo!

Artykuł Bloomberga o tym nie wspomina, ale ciekawi nas jak przestępcy wchodzą na skrzynki policjantów. Czy to klasyczny phishing czy może korumpują funkcjonariuszy tak, jak ostatnio robią to z pracownikami gangi ransomware’owe? Wygląda na to, że tego problemu nie uda się wyeliminować bez hardeningu policyjnej infrastruktury (np. wymuszenia używania kluczy U2F) oraz jakiegoś lepszego i wiarygodnego mechanizmu potwierdzania żądania np. kanałem telefonicznym.

fot. depositphotos.com

Mam konto na Facebooku, Google, Instagramie, Twitterze… Co robić, jak żyć?

Niestety, jeśli chodzi o Ciebie, to przed tym rodzajem ataku nic Cię nie uchroni, nawet długie hasła, nieklikanie w podejrzane linki i skonfigurowanie klucza U2F. Bo jeśli pracownicy serwisu w którym masz konto dadzą się zmanipulować, to informacje na Twój temat (zazwyczaj: numer telefonu, adres, pełne dane osobowe, lokalizację) przekażą oszustom.

Wniosek nasuwa się sam. Warto podczas tworzenia kont w serwisach, w miarę możliwości przekazywać dane, których ujawnienie nie będzie dla nas problemem. Nie jest to jednak łatwe, bo w wielu serwisach trzeba podpiąć metodę płatności, która powoduje, że o anonimowości możemy zapomnieć. Istnieje jednak kilka technik tzw. OPSEC-u, o których już wspominaliśmy na Niebezpieczniku wielokrotnie w poprzednich artykułach, które mogą być pomocne w zminimalizowaniu ryzyk związanych z deanonimizacją.

Prywatności i ochronie swoich danych poświęciliśmy kilkudziesięciominutową sekcję na naszym wykładzie “Jak nie dać się zhackować?” który już w maju odbędzie się w kilku miastach:

Zapraszamy Was z rodzicami i dziećmi (14+), bo to przystępnie podana konkretna piguła wiedzy, którą dziś już nie tylko powinien, ale musi posiadać każdy, kto korzysta z internetu na komputerze lub smartfonie. Poza tym jak chronić swoją prywatność na wykładzie pokażemy wiele ataków na żywo i przekażemy zestaw solidnych rad jak zabezpieczyć swoje dane przed wyciekiem a pieniądze przed kradzieżą. Bilety możecie kupić na tej stronie.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet w naszym internetowym sklepie.

4 komentarzy

Dodaj komentarz
  1. Ciekawi mnie, czy ze wzgledu na wprowadzone nie dawno absurdalne uprawnienia dla policji, tego typu sprawa mogla by wogole zaistniec obecnie w Australii – czy tam po prostu masz p* jak w jakiejs dziczy i musisz jakos zyc (jesli typ ataku to umozliwia) z policja oferujaca swoje/uzytkownikow informacjie przestepcom…

  2. Ciekaw jestem ile danych zostało pobrane i z jakich krajów…

  3. Jakieś to naciągane trochę… :) Przejeli mój adres zamieszkania i szantażują mnie, że wykorzystają go jeśli nie spełnię warunków?

    • Ty sobie zartujesz?

      Poczawszy od informacji wystarczajacych do zaciagniecia lipnych kredytow itp. prywatnych dokumentow (chmura) danych lokalizacyjnych (sledzenie), numeru telefonu i danych identyfikacyjnych z nim powiazanych, wszystkiego co te firmy zbieraja w ramach uslug dla agencji rzadowych do calego multum innych danych wrazliwych — gdzie ty widzisz tylko adres, nawet gdyby to bylby tylko ten wlasnie adres, ty myslisz ze malo jest psycholi ktorzy wykorzystali by okazje zeby dobrac sie do ladnej lasce czy wzglednie zamoznemu facetowi do du*?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: