Les pirates inventent toujours des idées et des astuces pour piéger leurs victimes, et chaque fois qu’une de leurs manœuvres est révélée, ils nous surprennent avec une manœuvre plus rusée. Un pirate a toujours besoin d’effectuer des attaques pour obtenir ce qu’il veut ?
Bien sûr que non, le hacker a une humeur volage qui ne veut pas attaquer sa proie tout le temps, mais aime plutôt faire d’elle celle qui vient à lui de son plein gré, alors il recourt au phishing ; Il se fait passer pour une entreprise, une organisation ou une personne de confiance afin qu’il puisse attirer la proie pour lui fournir les informations qu’il souhaite sans aucun problème.L’une des entreprises technologiques les plus importantes et les plus importantes et leur satisfaction et ont prouvé le fait que toute entreprise ou organisation, aussi forte soit-elle numériquement, peut être piratée et devenir victime de pirates !
C’est ainsi qu’un groupe de hackers a réussi à tromper Apple et Meta
Dans un stratagème de fraude élaboré, les pirates ont exploité une faille juridique dans la politique commerciale de l’entreprise qui obligeait Apple et Meta (la société mère de Facebook) à transmettre les données des utilisateurs de leur propre gré et sans qu’il soit nécessaire de mener des attaques, comme un groupe de pirates informatiques s’est fait passer pour un statut de sécurité officiel et a envoyé de fausses demandes à ceux-ci. Les sociétés ont exigé d’obtenir les données d’un certain nombre de clients, et les deux sociétés ont répondu à ces demandes et ont fourni des informations sensibles sur les utilisateurs, y compris leurs adresses IP, téléphone numéros, et même leurs adresses personnelles.
Malgré le système strict suivi par les deux sociétés pour vérifier la légalité de cette procédure avant de transmettre les données, elles ont été la proie d’une escroquerie par hameçonnage et les pirates ont réussi à les tromper, car le porte-parole de Meta, Andy Stone, a déclaré qu’ils avaient des mesures de sécurité pour vérifier les informations légales. demandes, et a ajouté qu »ils bloquent des comptes. Des pirates connus travaillent avec les forces de l »ordre pour répondre aux incidents d »applications frauduleuses présumées, ce qu »ils ont fait cette fois. Email associé à des agences légitimes de confiance.
L’acceptation ou le rejet était une question de vie ou de mort
Lorsque les forces de sécurité mènent des enquêtes criminelles, les agents des forces de l’ordre se tournent souvent vers des entreprises technologiques et des plateformes de médias sociaux pour leur fournir les données nécessaires à certains titulaires de compte pour mener à bien des enquêtes, et que ces entreprises transmettent les données des utilisateurs sont une question légitime et stipulée aux États-Unis. loi, et cela ne se fait qu’en envoyant une demande officielle avec une ordonnance du tribunal – une citation à comparaître ou un mandat de perquisition – en d’autres termes, cette demande doit porter la signature du juge.
En vertu de cette loi, des entreprises telles que Facebook, Apple et d’autres fournissent régulièrement les données requises aux forces de sécurité chaque fois qu’elles reçoivent une demande de leur part, et elles disposent également d’équipes spécialisées pour répondre à ces demandes, mais il existe des cas où le temps est décisif. facteur et donc les demandes sont plus souples afin qu’elles soient envoyées non signées par le juge Appelées « Demandes de données d’urgence (EDR), ces demandes sont conçues pour des situations à haut risque dans lesquelles la vie d’une ou plusieurs personnes est en danger, comme les enlèvements , etc. Fuite des données de l’utilisateur grâce à une réponse rapide et en les fournissant sans vérifier l’identité de l’expéditeur.
Exploiter la vulnérabilité EDR pour tromper Apple et Meta
Les pirates ont découvert cette procédure fluide et ont exploité l’échappatoire EDR à leur avantage, obtenant d’abord un accès illicite aux systèmes de messagerie des services de police, puis usurpant l’identité des forces de l’ordre en falsifiant les signatures des policiers et en utilisant de véritables demandes légales comme modèles pour créer des demandes frauduleuses dans lesquelles ils expliquaient la menace potentielle. En ne recevant pas les données demandées immédiatement, et ils ont envoyé des demandes EDR frauduleuses à la fois à Meta et à Apple pour obtenir des données sensibles pour un certain nombre d’utilisateurs, et à leur tour, ils ont répondu comme d’habitude et ont fourni les données demandées à l’expéditeur de bonne foi, et aucun d’eux ne s’est rendu compte que les demandes étaient falsifiées sauf Trop tard.
Jusqu’à présent, le nombre de fois que des pirates ont envoyé des demandes frauduleuses à ces entreprises n’a pas été déterminé, Meta et Apple ont publié un rapport indiquant leur conformité permanente aux demandes de données d’urgence, et dans la période de juillet à décembre 2020, Apple a reçu 1 162 demandes provenant de 29 pays ayant fourni des données de réponse. Pour 93 % de ces demandes, de janvier à juin 2021, Meta a reçu 21 700 demandes dans le monde, répondant à 77 % de ces demandes.
Un programme chevronné mettant en vedette des héros adolescents
Un rapport de « Bloomberg News » a déclaré que ce piratage était un plan orchestré par une équipe de hackers adolescents basés aux États-Unis et en Angleterre, et le doigt pointe vers un groupe appelé « Recursion Team », bien que ce groupe ne soit plus actif mais encore Ses membres sont engagés dans des activités de piratage sous divers noms et dans le cadre du célèbre réseau de cybercriminalité « $Lapsus », qui a étonné et déconcerté la cybersécurité et a réussi à infiltrer des sociétés de haut rang telles que Microsoft, Nvidia, Samsung et autres, et l’un des participants de l’équipe est susceptible d’être le chef et le cerveau du gang Lapsos, un jeune de 16 ans surnommé « White » qui vit avec ses parents près d’Oxford, aurait gagné 14 millions de dollars grâce à ses activités de piratage.
D’autres entreprises sont tombées dans le piège
Apple et Meta n’étaient pas les deux seules entreprises ciblées, mais ce qui s’est passé avec elles faisait partie d’une campagne de fraude qui a débuté en janvier 2021 et ciblait un large éventail d’entreprises technologiques, dont Snap et Discord.
Discord a admis avoir divulgué des informations personnelles sur les utilisateurs et a déclaré avoir reçu des demandes de données d’urgence d’une source fiable et, conformément à sa politique, il se conforme à ces demandes après avoir vérifié sa source et cela s’est réellement produit, car son processus de vérification a confirmé que toutes les demandes étaient légitimes mais ont appris plus tard qu’ils avaient été piratés et avaient envoyé de fausses demandes à partir d’un compte de messagerie d’origine piraté, et la même chose s’est produite avec Snap, la société mère de Snapchat, où elle a reçu une fausse demande du même gang mais n’a pas dit si elle avait été trompé et a répondu à cette demande.
Les vraies victimes sont les utilisateurs dont les données ont été divulguées
Meta et Apple ont pris les mesures de sécurité nécessaires pour ne plus tomber dans le piège des pirates, mais à quoi cela sert-il après qu’un grand pourcentage des données des utilisateurs ait été divulgué. Après le succès de leur stratagème et l’atteinte de leur objectif, les pirates ont mené des campagnes de harcèlement et d’extorsion d’utilisateurs avec les données divulguées, et on s’attend à ce qu’ils complotent des stratagèmes de fraude financière à réaliser plus tard en utilisant les données qu’ils ont obtenues à travers lesquelles la sécurité les procédures des comptes des victimes peuvent être contournées.
Ce qui s’est passé a dû vous laisser avec une question sur la sécurité de vos données entre les mains des entreprises technologiques et sur la facilité avec laquelle il est possible de les obtenir, et parce que la dure vérité vaut mille fois mieux qu’une illusion confortable, il est nécessaire de réaliser que vos données ne sont pas en sécurité, les entreprises – qui leur confient vos informations sensibles – peuvent à tout moment succomber à des demandes frauduleuses et fournir vos données à des pirates sur un plateau d’argent. Grâce à ces données, les pirates peuvent se faire passer pour vous, saisir vos comptes bancaires et même commettre des crimes en votre nom, vous devez donc être plus prudent et attentif à vos données numériques, où vous les enregistrez, comment et avec qui vous les partagez, et rappelez-vous que peu importe le nombre de méthodes et d’astuces des hackers dans le piratage, leur objectif est un et c’est les données de l’utilisateur.