Federal Soruşturma Bürosu (FBI), ABD merkezli teknoloji şirketlerine yetkisiz mahkeme celpleri ve müşteri verileri talepleri göndermek için saldırıya uğramış polis e-posta hesaplarını kullanan siber suç hizmetlerinde son zamanlarda yaşanan artışa atıfta bulunarak, dünya çapındaki polis departmanlarını ve hükümetleri e-posta sistemlerinin güvenliğini artırmaya çağırıyor.
FBI, bu hafta yayınlanan bir uyarıda (PDF), acil veri talepleri (EDR’ler) süreci ve polis departmanları ile devlet kurumlarından çalınan e-posta kimlik bilgilerinin satışıyla ilgili suç forumlarındaki paylaşımlarda bir artış gördüğünü söyledi.
FBI, “Siber suçlular muhtemelen ele geçirilen ABD ve yabancı hükümet e-posta adreslerine erişim sağlıyor ve bunları ABD merkezli şirketlere sahte acil durum veri talepleri gerçekleştirmek için kullanıyor, müşterilerin kişisel bilgilerini suç amaçlı kullanıma açık hale getiriyor” diye uyardı.
Amerika Birleşik Devletleri’nde federal, eyalet veya yerel kolluk kuvvetleri, bir teknoloji sağlayıcısındaki bir hesap hakkında (hesabın e-posta adresi veya belirli bir cep telefonu hesabının geçmişte hangi İnternet adresi gibi) bilgi edinmek istediğinde, mahkeme kararıyla resmi bir tutuklama emri veya mahkeme celbi gönderin.
Çevrimiçi olarak çok sayıda kullanıcıya hizmet veren neredeyse tüm büyük teknoloji şirketlerinin, bu tür talepleri rutin olarak gözden geçiren ve işleyen departmanları vardır ve bunlar, uygun belgeler sağlandığı ve talebin bir yetkiliden gelmiş gibi göründüğü sürece genellikle (sonunda ve en azından kısmen) kabul edilir. Gerçek bir polis departmanı alan adına bağlı e-posta adresi.
Bazı durumlarda bir siber suçlu, mahkeme onaylı bir mahkeme celbi hazırlamayı ve bunu hacklenmiş bir polis veya hükümet e-posta hesabı aracılığıyla göndermeyi teklif edebilir. Ancak hırsızlar giderek daha fazla sahte EDR’lere güveniyor; bu, araştırmacıların, hesap verileri için bir talep hızlı bir şekilde kabul edilmediği takdirde insanların bedensel zarar göreceğini veya öldürüleceğini kanıtlamasına olanak tanıyor.
Sorun şu ki, bu EDR’ler büyük ölçüde herhangi bir resmi incelemeyi atlıyor ve talepte bulunan kişinin mahkeme tarafından onaylanmış herhangi bir belge sunmasını gerektirmiyor. Ayrıca bu EDR’lerden birini alan bir şirketin, bunun yasal olup olmadığını hemen tespit etmesi zordur.
Bu senaryoda, alıcı şirket kendisini iki hoş olmayan sonuç arasında sıkışmış halde buluyor: Bir EDR’ye derhal uymamak ve muhtemelen birinin kanının ellerine bulaşması veya muhtemelen bir müşteri kaydının yanlış kişiye sızdırılması.
Belki de şaşırtıcı olmayan bir şekilde, bu tür taleplere uyum son derece yüksek olma eğilimindedir. Örneğin, en son şeffaflık raporunda (PDF) Verizon 2023’ün ikinci yarısında müşteri verileri için 36.000’den fazlası EDR dahil 127.000’den fazla emniyet teşkilatı talebi aldığını ve şirketin taleplerin yaklaşık yüzde 90’ına yanıt olarak kayıt sağladığını söyledi.
“” takma adlarını kullanan, İngilizce konuşan bir siber suçluPwnstar” Ve “Çok güçlü” hem Rusça hem de İngilizce siber suç forumlarında sahte EDR hizmetleri satıyor. Fiyatları başarılı talep başına 1.000 ila 3.000 dolar arasında değişiyor ve Arjantin, Bangladeş, Brezilya, Bolivya, Dominik Cumhuriyeti, Macaristan, Hindistan, Kenya, Ürdün, Lübnan, Laos, Malezya dahil olmak üzere “25’ten fazla ülkeden gelen devlet e-postalarını” kontrol ettiklerini iddia ediyorlar. , Meksika, Fas, Nijerya, Umman, Pakistan, Panama, Paraguay, Peru, Filipinler, Tunus, Türkiye, Birleşik Arap Emirlikleri (BAE) ve Vietnam.
Pwnstar, “Her siparişin gerçekleşeceğini %100 garanti edemem” dedi. “Bu en üst düzeyde sosyal mühendisliktir ve zaman zaman başarısız girişimler olacaktır. Cesaretiniz kırılmasın. Emanet hakkını kullanabilirsiniz; EDR’nin işlememesi ve bilgilerinizin tarafınıza ulaşmaması durumunda paranızın tamamını geri öderim.”
Pwnstar’ın sahte EDR hizmetlerine yönelik bir reklamı.
Pek çok siber suç forumunda EDR satıcılarına ilişkin bir inceleme, bazı sahte EDR satıcılarının, sahte mahkeme onaylı belgeler de dahil olmak üzere belirli sosyal medya platformlarına sahte polis talepleri gönderme olanağını sattığını gösteriyor. Diğerleri ise saldırıya uğramış hükümet veya polis e-posta hesaplarına erişimi satıyor ve gerekli belgelerin sahtesini yapma işini alıcıya bırakıyor.
Ekim ayındaki bir reklamda “Hesabı aldığınızda bu sizindir, sizin hesabınızdır, sizin sorumluluğunuzdur” yazıyordu. İhlalForumları. “Sınırsız Acil Durum Veri Talebi. Ödeme Yapıldıktan Sonra Girişler Tamamen Sizindir. İstediğiniz gibi sıfırlayın. Acil Durum Veri Talebi’nin Başarıyla Gerçekleştirilmesi için Belgelerin Sahtesini Yapmanız Gerekecektir.”
Yine diğer sahte EDR hizmet satıcıları, saldırıya uğramış veya sahtekarlıkla oluşturulmuş hesapları Kodteknoloji şirketlerinin sahte kolluk kuvvetleri veri taleplerini eleme konusunda daha iyi bir iş çıkarmalarına yardımcı olmayı amaçlayan bir girişim. Kodex, herkesin yetkisiz bir EDR’yi tespit etmesini kolaylaştırmak amacıyla, bu talepleri gönderen polis veya hükümet yetkilileri hakkındaki bilgileri bir havuzda toplamak için doğrudan veri sağlayıcılarla çalışarak sahte EDR sorununu çözmeye çalışıyor.
Örneğin polis veya hükümet yetkilileri Coinbase müşterileriyle ilgili kayıt talep etmek isterse öncelikle Kodexglobal.com’da bir hesap açmaları gerekir. Kodex’in sistemleri daha sonra talep sahibine bir puan veya kredi notu atar; burada, geçerli yasal talepler gönderme konusunda uzun bir geçmişe sahip olan yetkililer, ilk kez EDR gönderen birinden daha yüksek bir derecelendirmeye sahip olacaktır.
Sahte EDR satıcılarının Kodex aracılığıyla veri istekleri gönderme yeteneğini iddia ettiğini görmek alışılmadık bir durum değil; hatta bazıları Kodex’teki polis hesaplarının düzeltilmiş ekran görüntülerini bile paylaşıyor.
Matt Donahue 2021’de Kodex’i kuran eski FBI ajanıdır. Donahue, birinin Kodex hesabı oluşturmak için meşru bir polis departmanını veya hükümet e-postasını kullanabilmesinin, kullanıcının herhangi bir şey gönderebileceği anlamına gelmediğini söyledi. Donahue, bir müşteriye sahte bir talep gelse bile Kodex’in aynı şeyin bir başkasının başına gelmesini engelleyebileceğini söyledi.
Kodex, KrebsOnSecurity’ye son 12 ay içinde toplam 1.597 EDR’yi işlediğini ve bu taleplerden 485’inin (~ yüzde 30) ikinci düzey doğrulamada başarısız olduğunu söyledi. Kodex, geçen yıl yaklaşık 4.000 kolluk kuvveti kullanıcısını askıya aldığını bildirdi:
-1.521 Asya-Pasifik bölgesinden;
-Avrupa, Orta Doğu ve Asya’dan 1.290 talep;
Amerika Birleşik Devletleri’ndeki polis departmanları ve teşkilatlarından -460;
Latin Amerika’daki kuruluşlardan -385 ve;
-285 Brezilya’dan.
Donahue, sayıları giderek artan finansal kurumlar ve kripto para platformları da dahil olmak üzere 60 teknoloji şirketinin artık kolluk kuvvetlerinden gelen tüm veri taleplerini Kodex aracılığıyla yönlendirdiğini söyledi. Son dönemdeki potansiyel müşteriler tarafından paylaşılan endişelerden birinin, dolandırıcıların, belirli hesaplardaki fonları dondurmak ve bazı durumlarda ele geçirmek için sahte kolluk kuvvetleri taleplerini kullanmaya çalışması olduğunu söyledi.
“Birleştirilen şey [with EDRs] Donahue, “resmi bir hakimin imzasını veya yasal süreci gerektirmeyen herhangi bir şeydir” dedi. “Bu, hesabın dondurulması veya koruma talebi gibi veriler üzerinde kontrolü içerebilir.”
Varsayımsal bir örnekte, bir dolandırıcı, saldırıya uğramış bir devlet e-posta hesabını kullanarak, bir hizmet sağlayıcıdan, haciz kararına tabi olduğu iddia edilen belirli bir banka veya kripto hesabını veya terörist gibi küresel olarak yaptırım uygulanan bir suça taraf olmasını talep eder. finansman veya çocuk istismarı.
Birkaç gün veya hafta sonra, aynı taklitçi, hesaptaki fonlara el konulması veya fonların, hükümet müfettişleri tarafından kontrol edildiği iddia edilen bir saklama cüzdanına aktarılması talebiyle geri döner.
Donahue, “Genel sosyal mühendislik saldırıları açısından, biriyle ne kadar çok ilişkiniz varsa, o kişi size o kadar çok güvenir” dedi. “Onlara dondurma emri gönderirseniz bu güven oluşturmanın bir yoludur, çünkü [the first time] bilgi istemiyorlar. Sadece ‘Bana bir iyilik yapabilir misin?’ diyorlar. Ve bu, [recipient] değerli olduğunu hisset.”
FBI’ın uyarısını yineleyen Donahue, Amerika Birleşik Devletleri ve diğer ülkelerdeki çok sayıda polis departmanının hesap güvenliği hijyeninin zayıf olduğunu ve kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama gibi temel hesap güvenliği önlemlerini çoğunlukla uygulamadığını söyledi.
Siber suçlular genellikle polis ve hükümet e-posta hesaplarına nasıl erişim sağlıyor? Donahue, bunun çoğunlukla e-posta tabanlı kimlik avı olduğunu ve fırsatçı kötü amaçlı yazılım bulaşmaları tarafından çalınan ve karanlık ağda satılan kimlik bilgileri olduğunu söyledi. Ancak uluslararası alanda durum ne kadar kötü olursa olsun, Amerika Birleşik Devletleri’ndeki birçok emniyet teşkilatının hesap güvenliği konusunda hâlâ iyileştirme için çok fazla alana sahip olduğunu söyledi.
Donahue, “Maalesef bunların çoğu kimlik avı veya kötü amaçlı yazılım kampanyalarından oluşuyor” dedi. “Birçok küresel polis teşkilatının sıkı bir siber güvenlik hijyeni yok, ancak ABD nokta-gov e-postaları bile saldırıya uğruyor. Geçtiğimiz dokuz ay boyunca, ele geçirilen ve CISA’nın haberi olmayan .gov e-posta adresleri hakkında CISA’ya (Siber Güvenlik ve Altyapı Güvenliği Ajansı) bir düzineden fazla kez ulaştım.”