Hacker lừa cả Apple, Google, Facebook

Sau khi giả danh cơ quan pháp lý, các nhóm tin tặc lấy trộm thông tin để tống tiền, tống tình nữ giới, trẻ em sử dụng mạng xã hội.

Theo Bloomberg, hàng loạt công ty công nghệ lớn đã bị lừa để cung cấp thông tin riêng tư của người dùng cho hacker. Những thông tin này sau đó sẽ được đối tượng xấu sử dụng nhằm mục đích quấy rối hoặc tống tình, tống tiền trẻ dưới tuổi vị thành niên.

Nạn nhân bất lực

Apple, Meta, Google, Twitter, Snap và Discord là nạn nhân của trò lừa đảo này. Cụ thể, nhóm hacker xâm nhập email của các cơ quan thực thi pháp luật ngoài Mỹ, sau đó yêu cầu hãng công nghệ cung cấp dữ liệu.

Theo Bloomberg, những thông tin cá nhân được các mạng xã hội lưu trữ vốn dùng để giải quyết các trường hợp khẩn cấp như tự tử, giết người hay bắt cóc. Nhưng khi qua tay tin tặc, chúng lại trở thành công cụ để tống tiền, tống tình những đối tượng yếu thế như trẻ em và phụ nữ.

Hacker chủ yếu nhắm đến nữ giới và trẻ em dưới tuổi vị thành niên, ép họ phải gửi các video, hình ảnh nhạy cảm hoặc thậm chí là dọa trả thù nếu họ từ chối.

Họ sử dụng những dữ liệu này để xâm nhập vào các tài khoản mạng xã hội hoặc giả vờ kết bạn với nạn nhân, sau đó buộc họ gửi ảnh nhạy cảm. Nếu nạn nhân không đồng ý, nhóm người này sẽ liên tục quấy rối và tìm cách trả đũa họ.

Ngoài ra, nhóm hacker sau khi giả mạo yêu cầu dữ liệu cũng có thể chọn cách làm lộ những thông tin như số điện thoại, địa chỉ của nạn nhân và gia đình ra ngoài. Họ thậm chí còn đe dọa gửi những nội dung nhạy cảm đến gia đình, bạn bè hoặc trường học của nạn nhân nếu họ không làm theo yêu cầu của chúng. Nhiều người vì quá sợ hãi đã nghe lời và xăm tên của kẻ xấu lên cơ thể mình, sau đó chụp hình lại.

Đây là cách thức lừa đảo mới nhằm thu thập trái phép thông tin cá nhân của người dùng, sau đó dùng chúng để tống tiền, quấy rối các nạn nhân hoặc gian lận tài chính. Trong đó, điều đáng quan ngại là các đối tượng xấu đã có thể giả mạo yêu cầu pháp lý. Điều này khiến người dùng không biết cách phản kháng. Cách duy nhất họ có thể làm là ngừng sử dụng các dịch vụ mạng xã hội bị tấn công.

Số lượng các vụ lừa đảo dựa trên hình thức này đang có dấu hiệu tăng cao.

“Mặc dù biết rõ những yêu cầu cung cấp dữ liệu này sẽ được sử dụng cho các trường hợp khẩn cấp ngoài đời thực, nhưng thật trớ trêu là phương thức này lại bị nhóm người xấu lợi dụng để tống tình, tống tiền trẻ em”, Alex Stamos, cựu Giám đốc mảng an ninh của Facebook, chia sẻ.

Các hãng công nghệ lên tiếng

Phản hồi về vấn đề này, người đại diện của Google cho rằng hãng đã nhận ra vấn đề trong năm 2021 và đang cải thiện khâu xác thực.

"Hiện chúng tôi vẫn liên tục làm việc với các cơ quan luật pháp cũng như các tổ chức có liên quan để nhận diện và ngăn chặn tình trạng làm giả các yêu cầu pháp lý”, Bloomberg dẫn lời phản hồi của Google.

Về phía Facebook, nhân viên của hãng sẽ đánh giá từng yêu cầu dữ liệu một nhằm đảm bảo tính chính thống, đồng thời sử dụng các hệ thống tân tiến để xác thực yêu cầu và nhận diện các hành vi sai phạm. Bên cạnh đó, Rachel Racusen, đại diện của Snap, cho biết công ty này cũng áp dụng cách thức đánh giá tương tự để bảo đảm tính hợp lệ và cảnh giác trước những yêu cầu giả mạo.

Thông thường, những yêu cầu thông tin chỉ được phép thông qua nếu có lệnh và chữ ký từ thẩm phán. Tuy nhiên, các yêu cầu khẩn cấp lại không tuân theo quy định trên.

Đầu tháng 4, Bloomberg từng tiết lộ Apple và Meta đã cung cấp nhầm những dữ liệu người dùng như địa chỉ, số điện thoại và IP cho hacker từ năm 2021. Tin tặc đã xâm nhập vào email của các cơ quan pháp luật để yêu cầu 2 công ty cung cấp dữ liệu người dùng nhằm mục đích quấy rối và các âm mưu gian lận tài chính.

Có thể thấy, những nhóm hacker trong vụ việc gần đây hay hồi đầu tháng 4 dùng chung một cách thức tấn công. Đó là xâm nhập vào hệ thống email nhằm giả danh cơ quan thực thi pháp luật, sau đó thu thập dữ liệu trái phép.