EU Departamento Federal de Investigação (FBI) está instando os departamentos de polícia e governos de todo o mundo a reforçarem a segurança em seus sistemas de e-mail, citando um recente aumento nos serviços de crimes cibernéticos usando contas de e-mail policiais hackeadas para enviar intimações sem mandado e solicitações de dados de clientes para empresas de tecnologia sediadas nos EUA.
Em alerta (PDF) publicado esta semana, o FBI disse ter visto preocupações em postagens da justiça criminal sobre o processo de solicitações de dados emergenciais (EDRs) e a venda de informações de e-mail roubadas para departamentos de polícia e agências governamentais.
“Os cibercriminosos provavelmente obterão acesso a endereços de e-mail de governos dos EUA e de governos estrangeiros e os usarão para fazer solicitações fraudulentas de dados de emergência de empresas sediadas nos EUA, divulgando informações de clientes para que possam ser usadas posteriormente para fins criminosos”, alertou o FBI.
Nos Estados Unidos, quando as agências de aplicação da lei federais, estaduais ou locais desejam obter informações sobre uma conta de um fornecedor de tecnologia – como o endereço de e-mail da conta ou quais endereços de Internet uma determinada conta de telefone celular usou no passado – elas devem apresentar uma ordem judicial ou intimação.
Quase todas as grandes empresas de tecnologia que atendem um grande número de usuários na Internet possuem departamentos que costumam analisar e processar tais solicitações, que são aprovadas (eventualmente, e pelo menos parcialmente), desde que os documentos apropriados sejam fornecidos e a solicitação pareça vir. de um endereço de e-mail vinculado ao nome real do departamento de polícia.
Em alguns casos, um hacker se oferecerá para criar uma intimação autorizada pelo tribunal e enviá-la por meio de uma conta de e-mail policial ou governamental hackeada. Mas cada vez mais, os ladrões confiam em EDRs falsos, que permitem aos investigadores provar que as pessoas serão fisicamente feridas ou mortas, a menos que um pedido de dados de conta seja concedido imediatamente.
O problema é que estes EDRs geralmente não passam por nenhuma revisão legal e não exigem que o requerente forneça quaisquer documentos aprovados pelo tribunal. Além disso, é difícil para uma empresa que recebe um desses EDRs determinar rapidamente se ele é legítimo.
Nesta situação, a empresa receptora encontra-se presa entre dois resultados indesejáveis: o não cumprimento imediato do EDR – e a possibilidade de ter o sangue de alguém nas mãos – ou possivelmente a fuga de um registo de cliente para a pessoa errada.
Talvez surpreendentemente, o cumprimento de tais pedidos é muitas vezes muito elevado. Por exemplo, no seu último relatório de transparência (PDF) Verizon disse que recebeu mais de 127.000 demandas legais por dados de clientes no segundo semestre de 2023 – incluindo mais de 36.000 EDRs – e que a empresa forneceu registros em resposta a cerca de 90% das solicitações.
Um hacker que fala inglês e atende pelo apelido de “Uma estrela” e “Onipotente” tem vendido serviços EDR falsos em fóruns de crimes cibernéticos em russo e inglês. Seus preços variam de US$ 1.000 a US$ 3.000 por solicitação bem-sucedida e afirmam controlar “e-mails governamentais de mais de 25 países”, incluindo Argentina, Bangladesh, Brasil, Bolívia, República Dominicana, Hungria, Índia, Quênia, Jordânia, Líbano, Laos, Malásia. . , México, Marrocos, Nigéria, Omã, Paquistão, Panamá, Paraguai, Peru, Filipinas, Tunísia, Turquia, Emirados Árabes Unidos (EAU) e Vietnã.
“Não posso garantir 100% que todos os pedidos serão atendidos”, explica Pwnstar. “Isto é engenharia social de alto nível e às vezes haverá tentativas fracassadas. Não desanime. Você pode usar o depósito e eu lhe reembolsarei integralmente se o EDR não for aprovado e você não obtiver suas informações.”
Anúncio da Pwnstar para serviços EDR falsos.
Uma análise dos fornecedores de EDR em fóruns de crimes cibernéticos mostra que alguns fornecedores de EDR falsos vendem a capacidade de enviar solicitações policiais falsas para determinadas redes, incluindo documentos judiciais falsos. Outros simplesmente vendem o acesso a contas de e-mail hackeadas do governo ou da polícia e deixam ao comprador a tarefa de fazer qualquer documentação necessária.
“Quando você cria uma conta, ela é sua, sua conta, seu crédito”, diz o anúncio de outubro. BreachFóruns. “Aplicativos ilimitados de dados de emergência. Depois de pagos, os logins são totalmente seus. Redefinir ao seu gosto. Você precisará fazer a documentação para ter sucesso na solicitação de dados de emergência.”
Alguns vendedores de serviços EDR falsos afirmam vender contas roubadas ou falsas Códiceuma startup que visa ajudar empresas de tecnologia a fazer um trabalho melhor na verificação de solicitações de dados fraudulentas. A Kodex está tentando resolver o problema dos EDRs falsos, trabalhando diretamente com os provedores de dados para coletar informações sobre a polícia ou funcionários do governo que enviam essas solicitações, com o objetivo de facilitar a identificação de um EDR não autorizado por todos.
Se a polícia ou funcionários do governo desejarem solicitar registros sobre clientes da Coinbase, por exemplo, eles devem primeiro registrar uma conta no Kodexglobal.com. Os sistemas Codex atribuem então a esse requerente uma pontuação ou classificação de crédito, onde os funcionários com um longo historial de apresentação de candidaturas formais terão uma classificação mais elevada do que alguém que submete um EDR pela primeira vez.
Não é incomum ver fornecedores falsos de EDR alegando ter a capacidade de enviar solicitações de dados através do Kodex, alguns até compartilhando capturas de tela modificadas de contas policiais com o Kodex.
Matt Donahue um ex-agente do FBI que fundou o Codex em 2021. Donahue disse que só porque alguém pode usar um departamento de polícia legítimo ou um e-mail do governo para criar uma conta Kodex não significa que o usuário poderá postar qualquer coisa. Donahue disse que mesmo que um cliente receba uma solicitação fraudulenta, a Kodex é capaz de evitar que a mesma coisa aconteça com outro.
Kodex disse ao KrebsOnSecurity que nos últimos 12 meses processou um total de 1.597 EDRs e que 485 dessas solicitações (~30%) falharam na verificação de segundo nível. Kodex relata que deteve quase 4.000 usuários policiais no ano passado, incluindo:
-1.521 da região Ásia-Pacífico;
-1.290 candidaturas provenientes da Europa, Médio Oriente e Ásia;
-460 de departamentos e agências de polícia dos Estados Unidos;
-385 de organizações da América Latina, e;
-285 do Brasil.
Donahue disse que 60 empresas de tecnologia agora enviam todas as solicitações de dados policiais por meio do Kodex, incluindo um número crescente de instituições financeiras e plataformas de criptomoeda. Ele disse que uma das preocupações dos futuros clientes é que os criminosos queiram usar solicitações legais para congelar e, em alguns casos, tirar dinheiro de determinadas contas.
“O que é combinado [with EDRs] é qualquer coisa que não envolva a assinatura formal de um juiz ou processo legal”, disse Donahue. “Isso pode incluir o controle de dados, como a suspensão de uma conta ou uma solicitação de backup.”
Num exemplo hipotético, um golpista usa uma conta de e-mail governamental hackeada para solicitar que um provedor de serviços confisque um banco específico ou uma conta criptografada suspeita de estar sujeita a uma ordem de penhora ou parte de um crime sancionado internacionalmente, como o terrorismo. financiamento ou exploração infantil.
Alguns dias ou semanas depois, o imitador regressa com um pedido para confiscar os fundos da conta ou transferir o dinheiro para um fundo final alegadamente controlado por investigadores do governo.
“Em termos de ataques de engenharia social, quanto mais você se relacionar com alguém, mais essa pessoa confiará em você”, disse Donahue. “Se você enviar a eles uma ordem de suspensão, é uma forma de estabelecer confiança, porque [the first time] eles não pedem informações. Eles apenas dizem: 'Ei, você pode me fazer um favor?' E isso faz com que [recipient] Eu me senti importante.”
Ecoando o alerta do FBI, Donahue disse que muitos departamentos de polícia nos Estados Unidos e em outros países não têm segurança de conta limpa e muitas vezes não usam medidas básicas de segurança – como exigir autenticação multifatorial para resistir ao phishing.
Como os hackers normalmente obtêm acesso às contas de e-mail da polícia e do governo? Donahue disse que ainda é um phishing baseado em e-mail, com informações roubadas por infecções oportunistas de malware e vendidas na dark web. Mas à medida que as coisas pioram em todo o mundo, disse ele, muitas agências de aplicação da lei nos Estados Unidos ainda têm muito espaço para melhorar a segurança das contas.
“Infelizmente, muitas delas são campanhas de phishing ou malware”, disse Donahue. “A maioria das agências policiais do mundo não tem uma higiene rigorosa em matéria de segurança cibernética, mas até os e-mails ponto-gov dos EUA são pirateados. Nos últimos nove meses, entrei em contato com a CISA (Agência de Segurança Cibernética e de Infraestrutura) mais de uma dúzia de vezes sobre o comprometimento de endereços de e-mail .gov e o desconhecimento da CISA.”
