Verizon bị lừa bởi "lệnh khám xét" giả, cung cấp dữ liệu điện thoại của nạn nhân cho kẻ theo dõi

 (arstechnica.com)
1 điểm bởi GN⁺ 2023-12-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Verizon đã bị lừa bởi cảnh sát giả và lệnh khám xét giả, từ đó cung cấp địa chỉ và lịch sử cuộc gọi của nạn nhân cho kẻ theo dõi
  • Kẻ theo dõi, Robert Michael Glauner, đã bị bắt gần nhà nạn nhân và khi đó đang mang theo dao
  • Glauner đã thiết lập mối quan hệ tình cảm trực tuyến với nạn nhân, nhưng vẫn tiếp tục tìm cách liên lạc sau khi mối quan hệ kết thúc

Cảnh sát giả, chữ ký thẩm phán bị làm giả

  • Glauner đã đánh lừa Verizon bằng cách gửi email giả và lệnh khám xét giả tới đội hỗ trợ an ninh Verizon (VSAT).
  • Verizon không nhận ra yêu cầu là lừa đảo dù email được gửi từ một địa chỉ Proton Mail
  • Lệnh khám xét có chứa tên của một cảnh sát không tồn tại và chữ ký thẩm phán bị làm giả

Verizon cung cấp địa chỉ và lịch sử cuộc gọi

  • Sau khi xem xét các tài liệu giả, Verizon đã cung cấp địa chỉ và lịch sử cuộc gọi của nạn nhân cho Glauner.
  • Theo trang web của Verizon, VSAT xử lý kín các yêu cầu pháp lý và tuân thủ mọi luật áp dụng
  • Verizon cho biết họ đang hợp tác với cơ quan thực thi pháp luật về vụ việc

Ý kiến của GN⁺

Điểm quan trọng nhất của bài viết này là việc Verizon bị lừa bởi cảnh sát giả và lệnh khám xét giả, dẫn đến việc cung cấp thông tin cá nhân của nạn nhân. Những vụ việc như vậy phơi bày các lỗ hổng trong bảo vệ quyền riêng tư và hệ thống xử lý yêu cầu pháp lý của doanh nghiệp, khiến đây trở thành một chủ đề có thể thu hút sự quan tâm của nhiều người. Đặc biệt, với những ai quan tâm đến an ninh mạng và quyền riêng tư, đây có thể là một trường hợp học tập quan trọng.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-12-10
Ý kiến Hacker News

  • Việc giả mạo lệnh của tòa là cực kỳ dễ

    • Có hơn 1.700 quận hạt tại Mỹ dùng các biểu mẫu riêng, nên Verizon hay công ty khác không có cách nào biết được
    • Trát đòi hầu tòa liên bang được chuẩn hóa và nộp kín, nên còn dễ hơn
    • Verizon không thể gọi cho văn phòng thư ký để xác minh trát đòi hầu tòa có thực sự được ban hành hay không
    • Tài liệu được in trên giấy in thông thường và không có tính năng bảo mật nào
    • Cũng rất dễ nộp một vụ kiện nhỏ để được cấp trát đòi hầu tòa
    • Trát đòi hầu tòa dân sự mất thêm chút thời gian so với trát hình sự và phải trả phí tống đạt, nhưng điều đó không thành vấn đề

  • Người phát ngôn của Verizon cho biết họ đang hợp tác với cơ quan thực thi pháp luật về vụ việc này

  • Một người làm bán thời gian tại một ISP cộng đồng nhỏ từng tiếp xúc với hệ thống pháp lý hai lần

    • Khi nhận yêu cầu đầu tiên, người này đã băn khoăn phải xác minh tính xác thực như thế nào
    • Quy trình được đặt ra là bỏ qua toàn bộ thông tin liên hệ ghi trên lệnh, rồi tìm thông tin liên hệ mới từ một nguồn đáng tin cậy (trang web chính thức của bang) để xác minh
    • Nếu Verizon cũng áp dụng quy trình này thì có lẽ đã phát hiện được vụ việc lần này

  • Chương trình truyền hình 'Mr. Robot' có mô tả một trường hợp tương tự

    • Nhân vật chính giả mạo hoặc chặn đường fax của NYPD để lần ra một người cụ thể qua số điện thoại di động, đồng thời làm giả các tài liệu mà NYPD dùng để lấy dữ liệu từ nhà mạng
    • Gửi fax giả và chờ phản hồi
    • Dùng Wi‑Fi công cộng để giữ ẩn danh và giả mạo số fax của NYPD để trông đáng tin hơn

  • Cách chính để xác minh hiệu lực của một lệnh có chữ ký thẩm phán lại là nhìn vào chữ ký, thứ rất dễ bị giả mạo

  • Email có kèm chữ ký mặc định của Proton Mail: 'Sent with Proton Mail secure email'

    • Ở trường 'from' thì có thể không nhận ra, nhưng thật khó hiểu vì sao điều này lại không tạo ra tín hiệu cảnh báo
    • Có thể việc cảnh sát xử lý những việc như vậy bằng tài khoản cá nhân là chuyện thường ngày

  • Việc các tài liệu kiểu này bị làm giả là chuyện rất phổ biến

    • Kết hợp với tính khẩn cấp (vấn đề sống còn), cùng những lời nhắc về trách nhiệm pháp lý nếu không xử lý hoặc tiền phạt nếu công khai
    • Giờ đây luật sư phải quyết định nên ứng phó như thế nào
    • Những vụ như thế này có lẽ chỉ là phần nổi của tảng băng
    • Vì chi phí để làm giả và gửi tài liệu gần như bằng không, cách xử lý lệnh kiểu này hoàn toàn không còn phù hợp trong thời đại Internet
    • Đã có đủ nhiều sở cảnh sát bị tấn công để lấy được mẫu biểu trông như thật, thậm chí đôi khi còn truy cập được trực tiếp email
    • Tương quan chi phí/lợi ích/rủi ro đang thay đổi theo hướng có lợi cho kẻ tấn công

  • Ngoài điểm điên rồ của câu chuyện gốc, còn ngạc nhiên vì vụ việc bắt đầu từ một tính năng hẹn hò trên trang web khiêu dâm hamsterdotcom

    • Trước giờ không biết các tính năng hẹn hò trên trang web khiêu dâm lại không phải chỉ toàn lừa đảo hay phishing

  • Một tập đoàn lớn như Verizon lẽ ra phải có quy trình cụ thể để phản hồi các yêu cầu từ cơ quan thực thi pháp luật

  • Có vẻ email nên được ký bằng PGP

  • Khi xử lý tài sản của mẹ, có cảm giác rất đáng sợ về mức độ thiệt hại có thể gây ra chỉ bằng cách làm giả hai tài liệu đơn giản không thể xác minh chữ ký (giấy chứng tử và giấy chứng nhận thừa kế)

    • Chỉ bằng cách gửi bản scan hoặc ảnh qua email, hoặc nói chuyện lịch sự qua điện thoại, gần như có thể xử lý mọi thứ
    • Một vài việc như đóng tài khoản ngân hàng thì yêu cầu phải có mặt trực tiếp và xác thực bằng giấy tờ tùy thân
    • Chỉ cần biết tài liệu nào trông ra sao thì gần như cả thế giới nằm dưới chân bạn