Dagens hackere er kjent for å ofte benytte sofistikerte metoder for å oppnå målene sine, men noen ganger kan de «enkleste» teknikkene vise seg å være bemerkelsesverdig effektive. Det har vi nå fått et nytt eksempel på.
Som blant andre avisen Daily Mail rapporterer skal en gjeng unge hackere ha klart å lure gigantene Apple og Facebook-eieren Meta til å gi fra seg persondata «frivillig», simpelthen ved å utgi seg for å være representanter for offentlige myndigheter.
Det var nettstedet Bloomberg som først meldte om saken.
Falske nødforespørsler
Hendelsen fant sted i fjor og gikk ut på at hackerne kompromitterte et antall e-postkontoer tilhørende politimyndigheter. Disse ble benyttet til å sende nødforespørsler om utlevering av persondata til de to teknologiselskapene.
Som kjent mottar aktører ofte forespørsler om utlevering av data i forbindelse med for eksempel etterforskning av kriminalitet, men slike krever som oftest rettsordrer for å kunne gjennomføres.
I nødstilfeller, ved det som på engelsk kalles Emergency Data Request (EDR), kan imidlertid dette kravet fravikes. Dette utnyttet altså hackerne, ifølge kildene Bloomberg var i kontakt med.
Dataene som gjerningspersonene fikk tak i på denne måten omfattet blant annet IP-adresser, telefonnumre og hjemadresser. Informasjonen skal ha blitt brukt til å utføre økonomisk kriminalitet gjennom identitetstyveri, og i tillegg skal dataene også ha blitt brukt til å trakassere ofrene for lekkasjen.
Har trolig tilknytning til Lapsus$
Det er en hackergruppe ved navn Recursion Team som antas å stå bak. Gruppen skal nå være oppløst, men bestod angivelig av unge hackere i tenårene. Noen av de tidligere medlemmene skal ha tilknytning til hackergruppen Lapsus$, deriblant den britiske 16-åringen som antas å være hjernen bak denne gruppen.
Lapsus$ er kjent for å bruke uortodokse hackemetoder, som blant annet omfatter sosial manipulering og forsøk på rekruttering av interne spioner hos bedriftene som gruppen angriper.
En talsperson for Facebook sa i en kommentar til Daily Mail at selskapet nøye vurderer hver eneste forespørsel om utlevering av data, og at det benyttes avanserte systemer og prosesser for å verifisere at forespørslene er ekte.
I dette tilfellet kan det med andre ord se ut til å ha skjedd en heller alvorlig glipp i prosedyrene.
Den kjente IT-sikkerhetsskribenten Brian Krebs omtalte den nye hackemetoden på bloggen sin nylig, hvor han omtaler trenden som både skremmende og svært effektiv.
En sikkerhetsspesialist Krebs var i kontakt med uttalte at problemet med falske nødforespørsler er svært vanskelig å fikse, blant annet fordi det ikke finnes en sentralisert liste over personer som er autorisert til å sende ut slike forespørsler.
Sikkerhets-etterforskere: Hjernen bak Lapsus$ er 16 år og bor hos moren sin utenfor Oxford
