Em vez de complexos ataques de malware, um grupo organizado de hackers descobriu uma tática de engenharia social incrivelmente eficaz: falsificar solicitações de emergência policial. Este método simples, mas devastador, tem levado grandes empresas de tecnologia, como a Apple, Amazon e Charter Communications, a entregar voluntariamente dados pessoais de usuários.
O grupo, especializado em "doxing como serviço" (venda de informações pessoais), explora a única vulnerabilidade que o sistema não consegue ignorar: a urgência de uma ameaça à vida.
Vulnerabilidade no "alerta de emergência"
Nos Estados Unidos, as agências policiais podem enviar "Solicitações de Dados de Emergência" (EDRs, na sigla em inglês) quando há risco iminente à vida. Diferentemente de intimações ou mandados judiciais, que levam dias para serem processados, os EDRs contornam a verificação de rotina e exigem uma resposta imediata das empresas.
Hackers como o autodenominado "Exempt" exploram essa pressa, usando técnicas sofisticadas de personificação:
- Falsificação de domínio: eles registram domínios de e-mail quase idênticos aos legítimos de departamentos de xerifes.
- Engenharia social: utilizam nomes, números de distintivo e citações legais copiadas de policiais e documentos reais para dar credibilidade à fraude.
Em um caso, um e-mail falso de um policial da Flórida levou a Charter Communications a fornecer dados completos de um usuário em menos de 20 minutos. Um membro do grupo alegou ter executado até 500 ...
Matérias relacionadas
As alucinações da IA estão afetando um setor muito específico: o dos bibliotecários
