Gefälschte rechtliche Anfragen, die verwendet wurden, um skandalöses Material aufzuschrecken, das gegen Minderjährige als Waffe eingesetzt wurde
Eine Handvoll Big-Tech-Firmen wurde dazu verleitet, Benutzerdaten als Reaktion auf gefälschte Anfragen von Strafverfolgungsbehörden herauszugeben – Daten, die dann verwendet werden, um diese Benutzer zu erpressen und sexuell zu belästigen, sagten mehrere mit der Angelegenheit vertraute Quellen gegenüber Bloomberg am Dienstag.Unternehmen wie Google, Apple, Meta, Twitter, Snap und Discord werden dazu verleitet, Benutzerdaten an böswillige Akteure weiterzugeben, die diese Informationen dann verwenden, um ihre Opfer zu erpressen Quellen behauptet. Berichten zufolge zielen die gefälschten Strafverfolgungsbeamten auf bestimmte Frauen und Minderjährige ab und zwingen sie manchmal dazu, sexuell explizites Material zu erstellen und zu teilen, indem sie mit Vergeltungsmaßnahmen drohen.Während sich diese Betrügereien ursprünglich darauf zu konzentrieren schienen, ihre Opfer finanziell zu erpressen, sind sexuelle Erpressungssysteme laut Bloombergs Quellen der Strafverfolgungsbehörden erschreckend populär geworden. Sie beginnen in der Regel damit, dass ein Hacker das E-Mail-System einer Strafverfolgungsbehörde kompromittiert und eine „Notfall-Datenanforderung“ fälscht, die auf einen bestimmten Social-Media-Benutzer abzielt. Wenn das Unternehmen die angeforderten Informationen bereitstellt, kann der Hacker sie verwenden, um die Social-Media-Konten des Ziels direkt zu kompromittieren oder sich mit ihm über einen bestimmten Zeitraum anzufreunden und ihn schließlich zu zwingen oder zu erpressen, sexuell eindeutige Fotos oder Videos bereitzustellen.Opfer, die nicht kooperieren, sind einer Reihe von Vergeltungstaktiken ausgesetzt, darunter „Swatting“, ein potenziell tödlicher Streich, bei dem eine vorgetäuschte Drohung bei einem örtlichen 911-Dispatcher angerufen wird. Der Polizei, die zum Haus des Opfers geschickt wird, kann mitgeteilt werden, dass die Person gewalttätig ist, was möglicherweise zu einer Gewalttat führt tötlich Konfrontationen. Andere können ihre persönlichen Daten auf speziellen Doxxing-Websites veröffentlichen und zufällige Schurken einladen, sie nach Belieben zu quälen. Denjenigen, die dazu verleitet werden, sexuell explizites Material bereitzustellen, wird mitgeteilt, dass die anstößigen Fotos an Familienmitglieder, Freunde oder Arbeitgeber gesendet werden.
Da Notfallanfragen keinen von einem Richter unterzeichneten Gerichtsbeschluss erfordern, sind sie relativ einfach zu erstellen, und die Social-Media-Unternehmen selbst müssen die Daten nicht weitergeben. Die meisten liefern die Informationen jedoch trotzdem, insbesondere wenn sich die Anfrage auf eine Situation „drohender Gefahr“ wie Entführung, Selbstmord oder Mord bezieht. Unternehmen geben bereitwillig die Namen, IP-Adressen, E-Mail-Adressen, physischen Adressen und manchmal sogar noch mehr Informationen als Antwort weiter auf solche Anfragen – oft in der gleichen Weise wie auf eine gerichtlich angeordnete Vorladung. Und in einigen Fällen werden die gefälschten Anfragen von der gefälschten Unterschrift eines Richters begleitet, die Berichten zufolge im Dark Web für nur 10 US-Dollar erhältlich ist.Der frühere Chief Security Officer von Facebook, Alex Stamos, forderte Polizeibehörden und Technologieunternehmen auf, ihre Sicherheit zu erhöhen, und forderte Bestätigungsrückrufe und Multi-Faktor-Authentifizierung, um das Spoofing von Anrufen oder E-Mails von den Behörden zu erschweren.Sprecher von Facebook, Google, Discord und Snap bestanden darauf, dass sie mit den Strafverfolgungsbehörden zusammenarbeiten, um legitime Datenanfragen zu „validieren“, während Twitter und Apple sich weigerten, sich zu dieser Angelegenheit zu äußern. Auf Anfrage stellen die Unternehmen die gewünschten Daten in den allermeisten Fällen auch ohne Gerichtsbeschluss zur Verfügung. Berichten zufolge kommt Apple 93 % der Notfallanfragen nach, während Meta angeblich Daten als Antwort auf 77 % der Anfragen liefert.Berichte über Hacker und andere Kriminelle, die Big Tech-Firmen dazu verleitet haben, Benutzerinformationen bereitzustellen, tauchten erstmals im vergangenen Jahr auf, wobei mindestens einer der Schuldigen – ein Teenager – mit dem britischen Cyberkriminalitätsring Lapsus $ verbunden war, einer Gruppe mit einer Geschichte des angeblichen Hackens von Microsoft, Samsung und NVIDIA. Obwohl angenommen wird, dass viele, wenn nicht die meisten der Täter Minderjährige sind, sollte dies die Strafverfolgungsbehörden nicht davon abhalten, sie im vollen Umfang des Gesetzes zu verfolgen, so Allison Nixon, Chief Research Officer der Cybersicherheitsfirma Unit 221b. „Wir erleben jetzt ihren Übergang zum organisierten Verbrechen und all die damit verbundene reale Gewalt und den sexuellen Missbrauch“, sagte sie und forderte die Behörden auf, diese „schweren“ Straftäter als Erwachsene vor Gericht zu stellen.
Da Notfallanfragen keinen von einem Richter unterzeichneten Gerichtsbeschluss erfordern, sind sie relativ einfach zu erstellen, und die Social-Media-Unternehmen selbst müssen die Daten nicht weitergeben. Die meisten liefern die Informationen jedoch trotzdem, insbesondere wenn sich die Anfrage auf eine Situation „drohender Gefahr“ wie Entführung, Selbstmord oder Mord bezieht. Unternehmen geben bereitwillig die Namen, IP-Adressen, E-Mail-Adressen, physischen Adressen und manchmal sogar noch mehr Informationen als Antwort weiter auf solche Anfragen – oft in der gleichen Weise wie auf eine gerichtlich angeordnete Vorladung. Und in einigen Fällen werden die gefälschten Anfragen von der gefälschten Unterschrift eines Richters begleitet, die Berichten zufolge im Dark Web für nur 10 US-Dollar erhältlich ist.Der frühere Chief Security Officer von Facebook, Alex Stamos, forderte Polizeibehörden und Technologieunternehmen auf, ihre Sicherheit zu erhöhen, und forderte Bestätigungsrückrufe und Multi-Faktor-Authentifizierung, um das Spoofing von Anrufen oder E-Mails von den Behörden zu erschweren.Sprecher von Facebook, Google, Discord und Snap bestanden darauf, dass sie mit den Strafverfolgungsbehörden zusammenarbeiten, um legitime Datenanfragen zu „validieren“, während Twitter und Apple sich weigerten, sich zu dieser Angelegenheit zu äußern. Auf Anfrage stellen die Unternehmen die gewünschten Daten in den allermeisten Fällen auch ohne Gerichtsbeschluss zur Verfügung. Berichten zufolge kommt Apple 93 % der Notfallanfragen nach, während Meta angeblich Daten als Antwort auf 77 % der Anfragen liefert.Berichte über Hacker und andere Kriminelle, die Big Tech-Firmen dazu verleitet haben, Benutzerinformationen bereitzustellen, tauchten erstmals im vergangenen Jahr auf, wobei mindestens einer der Schuldigen – ein Teenager – mit dem britischen Cyberkriminalitätsring Lapsus $ verbunden war, einer Gruppe mit einer Geschichte des angeblichen Hackens von Microsoft, Samsung und NVIDIA. Obwohl angenommen wird, dass viele, wenn nicht die meisten der Täter Minderjährige sind, sollte dies die Strafverfolgungsbehörden nicht davon abhalten, sie im vollen Umfang des Gesetzes zu verfolgen, so Allison Nixon, Chief Research Officer der Cybersicherheitsfirma Unit 221b. „Wir erleben jetzt ihren Übergang zum organisierten Verbrechen und all die damit verbundene reale Gewalt und den sexuellen Missbrauch“, sagte sie und forderte die Behörden auf, diese „schweren“ Straftäter als Erwachsene vor Gericht zu stellen.