1 điểm bởi GN⁺ 2023-12-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Quy trình xử lý yêu cầu từ cơ quan thực thi pháp luật của nhà mạng đã bị qua mặt, khiến Verizon Wireless giao địa chỉ và nhật ký cuộc gọi của nạn nhân cho một kẻ giả danh cảnh sát
  • Robert Michael Glauner đã dùng địa chỉ Proton Mail và lệnh khám xét giả để yêu cầu thông tin của nạn nhân, còn Verizon không lọc được yêu cầu không đến từ sở cảnh sát hay tên miền cơ quan chính phủ
  • Tài liệu giả mạo có tên “Detective Steven Cooper” thuộc Sở Cảnh sát Cary không tồn tại và chữ ký giả của một thẩm phán thật, đồng thời cũng không có AOC-CR-119, mẫu bắt buộc đối với lệnh khám xét ở North Carolina
  • Sau khi Verizon cung cấp thông tin vào ngày 5/10/2023, Glauner liên tục liên hệ với gia đình và nơi làm việc của nạn nhân, đồng thời gửi tin nhắn đe dọa nạn nhân
  • Khi dữ liệu thuê bao nhạy cảm bị rò rỉ chỉ bằng một yêu cầu giả mạo, hành vi bám đuôi trực tuyến có thể dẫn đến đe dọa ngoài đời thực

Thông tin thuê bao Verizon bị rò rỉ qua yêu cầu giả mạo cơ quan thực thi pháp luật

  • Verizon Wireless đã cung cấp địa chỉ và hồ sơ điện thoại của một nữ nạn nhân cho Robert Michael Glauner, người giả danh cảnh sát
  • Sau đó Glauner bị bắt gần nơi ở của nạn nhân và khi đó đang mang theo dao
  • Nhà chức trách cho biết sau khi biết được địa chỉ của nạn nhân, ông ta đã di chuyển từ New Mexico đến Raleigh, North Carolina
  • Trước khi đến nơi, ông ta bị cáo buộc đã gửi cho nạn nhân tin nhắn đe dọa “if I can’t have you no one can”, và còn đe dọa gửi ảnh khỏa thân của nạn nhân cho gia đình cô
  • Glauner bị truy tố tại Tòa án Liên bang Quận Đông North Carolina về tội bám đuôi và gian lận “liên quan đến việc lấy hồ sơ điện thoại mật”
  • Vụ việc trước đó đã được 404 Media đưa tin

Liên lạc tiếp diễn sau khi mối quan hệ trực tuyến chấm dứt

  • Glauner và nạn nhân gặp nhau vào tháng 8 hoặc tháng 9/2023 trên xhamster.com, một trang web khiêu dâm có tính năng hẹn hò, rồi có quan hệ tình cảm trực tuyến
  • Sau khi nạn nhân chấm dứt mối quan hệ, Glauner vẫn tiếp tục liên hệ hoặc tìm cách liên hệ
  • Yêu cầu gửi tới Verizon được chuyển đến địa chỉ email của Verizon Security Assistance Team (VSAT), vsat.cct@one.verizon.com
  • VSAT là bộ phận xử lý các yêu cầu pháp lý, và website của Verizon cho biết công ty xử lý bảo mật các yêu cầu pháp lý như lệnh của tòa, lệnh khám xét, trát đòi hầu tòa, đồng thời tuân thủ luật liên quan
  • Cùng trang này cho biết VSAT chỉ tiếp nhận yêu cầu pháp lý hợp lệ đối với các yêu cầu cung cấp hồ sơ

Cảnh sát giả và lệnh khám xét giả mạo

  • Ngày 26/9/2023, một email được gửi đến Verizon từ địa chỉ steven1966c@proton.me
    • Email nói rằng có đính kèm PDF lệnh khám xét và cần dữ liệu điện thoại “để tìm và bắt giữ nghi phạm”
    • Email cũng yêu cầu họ tên đầy đủ của thuê bao Verizon là nạn nhân và số điện thoại mới được cấp
  • Tài liệu đính kèm bao gồm một bản khai giả được ngụy tạo như thể do “Detective Steven Cooper” thuộc Sở Cảnh sát Cary, North Carolina soạn thảo
    • Sở Cảnh sát Cary xác nhận không có cảnh sát nào tên Steven Cooper thuộc biên chế của họ
  • Cùng ngày, VSAT nhận được cuộc gọi từ một người đàn ông tự xưng là Cooper
    • Người này nói cần thông tin về một nghi phạm giết người
    • Người này cũng nói rằng người liên quan đã đổi số điện thoại
  • Bản khai giả yêu cầu số điện thoại mới, nhật ký cuộc gọi đi và đến, thông tin vị trí, cùng tin nhắn văn bản gửi và nhận
  • Tài liệu thể hiện như thể lệnh khám xét đã được Thẩm phán Tòa Thượng thẩm Gale Adams phê chuẩn
    • Adams là thẩm phán thật, nhưng xác nhận chữ ký trong tài liệu không phải chữ ký của bà
    • “Lệnh khám xét” này cũng không có mẫu AOC-CR-119 bắt buộc đối với lệnh khám xét của bang North Carolina

Dữ liệu Verizon cung cấp và các yêu cầu tiếp theo

  • Sau khi xem xét email và tài liệu do “Cooper” gửi, Verizon đã cung cấp hồ sơ điện thoại của nạn nhân vào ngày 5/10/2023
    • Hồ sơ được cung cấp bao gồm địa chỉ và nhật ký cuộc gọi
  • Verizon không phản hồi ngay lập tức trước yêu cầu bình luận về vụ việc này, còn người phát ngôn của Verizon nói với 404 Media rằng công ty đang hợp tác với cơ quan thực thi pháp luật
  • Ngày 9/10, VSAT lại nhận được cuộc gọi từ “Officer Cooper”
    • Người gọi hỏi cách đọc dữ liệu
    • Nội dung cuộc gọi được ghi âm xác nhận rằng Glauner đã nhận được hồ sơ từ Verizon Wireless
    • Người gọi nói thuê bao đã đổi số điện thoại và ông ta đã lấy được số mới
  • Vẫn có khả năng vào thời điểm đó Glauner thực ra chưa có được số điện thoại mới
    • Sau đó VSAT tiếp tục nhận các email yêu cầu số điện thoại của nạn nhân và các thông tin khác
    • Một “lệnh khám xét” khác yêu cầu tọa độ GPS của số điện thoại đó và toàn bộ ảnh gửi, nhận

Liên lạc lan sang gia đình và nơi làm việc của nạn nhân

  • Ngày 13/10/2023, mẹ của nạn nhân nhận được tin nhắn thoại nói rằng Glauner đang cố liên hệ với nạn nhân
  • Từ ngày 13/10 đến 22/10, mẹ của nạn nhân tiếp tục nhận 10 tin nhắn thoại từ Glauner
    • Nội dung các tin nhắn là ông ta sẽ không dừng lại cho đến khi liên hệ được với nạn nhân
  • Ngày 16/10, cha của nạn nhân nhận được một tin nhắn kèm ảnh nạn nhân và dòng chữ “Do you know this girl?”
  • Glauner cũng được cho là đã nhiều lần gọi đến cơ sở kinh doanh ở Raleigh nơi nạn nhân làm việc
  • Ngày 15/10, có một cuộc gọi khẩn cấp yêu cầu kiểm tra phúc lợi tại nơi được cho là địa chỉ của nạn nhân; cảnh sát đến hiện trường xác định cuộc gọi này là giả
  • Ngày 23/10, cảnh sát xin được lệnh khám xét đối với tài khoản Google liên kết với số điện thoại mà “Officer Cooper” dùng để liên hệ Verizon
  • Cảnh sát cũng xác nhận Glauner đang bị San Diego Sheriff’s Office truy nã vì cáo buộc bám đuôi bạn gái cũ
    • Báo cáo cảnh sát trong vụ việc ở California ghi rằng nạn nhân “đã đổi số điện thoại 4 lần trong 4 tháng qua, nhưng bằng cách nào đó Glauner vẫn tiếp tục biết được số mới”

Bị bắt ngay sau khi đến North Carolina

  • Ngày 26/10, nạn nhân ở North Carolina mua một chiếc Tracphone để giảm số cuộc gọi đến bạn bè, gia đình và chủ lao động, rồi cho Glauner biết số này
  • Ngày 5/11, nạn nhân báo rằng cô nhận được thông tin Glauner đang đến North Carolina
    • Một tin nhắn dài có nội dung sẽ tìm súng và đạn, cùng lời đe dọa “if I can’t have you no one can”
  • Vì lo ngại cho tính mạng và an toàn, nạn nhân đã chuyển thông tin vị trí của Glauner khi ông ta di chuyển từ New Mexico đến Raleigh cho cơ quan thực thi pháp luật
  • Ngày 6/11, cảnh sát xin được lệnh bắt Glauner
    • Các cáo buộc gồm tống tiền vì đe dọa công khai ảnh khỏa thân của nạn nhân cho gia đình cô, bám đuôi, bám đuôi qua mạng và truyền thông mang tính đe dọa
  • Cảnh sát giám sát địa chỉ mà Glauner đang hướng tới trong khi nạn nhân và gia đình đã rời khỏi nhà suốt buổi tối
  • Khoảng 21:00 ngày 6/11, Glauner đến nơi trên một chiếc Jeep Cherokee mang biển số New Mexico và bị bắt
    • Ông ta dừng ngay trước địa chỉ đó, rồi đi vào sân nhà hàng xóm và đứng trong bóng tối
    • Khi khám xét lúc bắt giữ, cảnh sát phát hiện một con dao cạo gập màu đen và 2 điện thoại di động
    • Màn hình khóa của một điện thoại hiển thị hình ảnh nạn nhân, và trên màn hình có thông báo tin nhắn từ “Victim 1”
  • Khi khám xét chiếc Jeep Cherokee, cảnh sát phát hiện một ống thủy tinh dùng để hút meth, 8g chất nghi là methamphetamine, và 2 cuộn dây thừng mới còn bọc nhựa
  • Ngoài các cáo buộc ở North Carolina, Glauner còn bị truy tố là Fugitive from Justice do lệnh truy nã chưa xử lý ở California, và bị giam tại Wake County Jail với tiền bảo lãnh 550.000 USD

1 bình luận

 
GN⁺ 2023-12-10
Ý kiến trên Hacker News
  • Giả mạo lệnh tư pháp là việc rất dễ. Verizon hay các công ty khác không có cách nào biết được biểu mẫu mà một quận cụ thể trong hơn 1.700 quận của Mỹ đang dùng
    Trát đòi hầu tòa liên bang có biểu mẫu thống nhất và được nộp kín nên còn dễ hơn. Verizon cũng không thể gọi cho văn phòng thư ký tòa để hỏi “đại bồi thẩm đoàn có thực sự phát hành trát đòi hầu tòa không?”, và tài liệu thì chỉ là giấy in photocopy bình thường, chẳng có tính năng bảo mật nào. Nếu điều này lan rộng thì có lẽ sẽ còn xảy ra nhiều hơn. Việc khởi kiện ở tòa án khiếu nại nhỏ để xin phát hành trát đòi hầu tòa cũng đủ dễ, và thường cũng chẳng có ai đứng ra xin hủy trát đó. Trát đòi hầu tòa dân sự mất thêm chút thời gian so với trát hình sự và còn phải trả phí tống đạt, nhưng đó không phải rào cản lớn

    • Verizon thực ra có thể gọi điện xác minh. Trên trát phải có thông tin liên hệ, và Verizon có thể kiểm tra xem thông tin đó có hợp pháp không rồi tự liên hệ để xác minh tính xác thực của trát
      Trong ngành y tế cũng có chuyện như vậy, và vì hình phạt khi phản hồi một yêu cầu giả mạo còn nặng hơn rất nhiều nên nhân viên y tế được đào tạo để làm quy trình xác minh này. HIPAA không bỏ qua chỉ vì bạn bị lừa mà tiết lộ thông tin thuộc HIPAA
      https://www.hipaaexams.com/blog/medical-record-subpoena
    • Khoan đã, ý là những lệnh như thế này thật sự được gửi dưới dạng bản in trên giấy sao?
      Một mệnh lệnh chính thức yêu cầu nhà mạng giao dữ liệu liên lạc cá nhân lại không được gửi dưới dạng tệp có chữ ký số có thể dễ dàng xác minh bằng khóa công khai của cơ quan ban hành, mà lại là sắc tố in trên lớp bột gỗ mỏng manh?
    • Tôi không biết ai quyết định rằng “Verizon không thể gọi cho văn phòng thư ký tòa để hỏi ‘đại bồi thẩm đoàn có thực sự phát hành trát đòi hầu tòa không?’”. Tôi không biết quy tắc hay luật nào cấm người nhận trát xác minh tính hợp pháp của nó với tòa án
      Luôn sẽ có người nộp đơn xin hủy trát. Chính là người nhận trát. Thông thường sẽ có hai bên có thể làm vậy: bên nhận trát và bên đối phương. Trên trát liên bang, quy tắc về thủ tục xin hủy còn được ghi ngay trên chính trát
      https://www.uscourts.gov/sites/default/files/ao088b.pdf
      Nói thêm thì có rất nhiều luật và án lệ có thể áp dụng khi lấy bản ghi cuộc gọi. Tùy đã yêu cầu cái gì mà thậm chí có thể không cần đến trát
    • Lệnh khám xét không phải là trát kín, và ít nhất phải luôn có cách xác minh rằng người đã ban hành nó là có thật và có thẩm quyền
      Tôi cũng hy vọng có thể xác minh được mã định danh và các chi tiết chính, nhưng tôi chỉ biết hệ thống pháp luật Đức chứ không phải Mỹ nên khó khẳng định chắc
    • Nói rằng giả mạo lệnh tư pháp là dễ cũng giống như nói giả mạo thư lừa đảo hoàng tử Nigeria là dễ. Verizon nên cực kỳ xấu hổ vì chuyện này. Yêu cầu ban đầu được gửi từ một tài khoản Proton, còn có cả lỗi chính tả và lỗi ngữ pháp kiểu trẻ con
      Tôi không biết nội bộ Verizon xử lý thế nào, nhưng tôi có một người bạn làm ở “bộ phận phản hồi yêu cầu từ cơ quan thực thi pháp luật” của một công ty trong nhóm FAANG. Công ty đó nhận số lượng cực lớn các yêu cầu pháp lý đòi cung cấp thông tin, có rất nhiều yêu cầu giả mạo, và cũng có nhiều yêu cầu thật từ cơ quan nhà nước nhưng đáng ngờ nên bị tranh chấp. Vì vậy họ có quy trình và công nghệ rất chi tiết để xử lý. Verizon là nhà mạng di động lớn nhất nước Mỹ, đáng ra cũng phải có năng lực tối thiểu để không trông như một màn hề cẩu thả hoàn toàn trong lĩnh vực này
  • Việc Verizon đưa ra nguyên văn câu trả lời sáo rỗng kiểu “chúng tôi đang hợp tác với cơ quan thực thi pháp luật trong vụ việc này” có lẽ trong trường hợp này nên được chỉnh sửa đôi chút
    Thực ra không phải chuyện để cười, nhưng nghe vẫn khá buồn cười. Tôi làm thêm cho một ISP địa phương nhỏ và đã từng xử lý hai yêu cầu pháp lý. Lần đầu nhận được thì tôi băn khoăn không biết phải xác thực thế nào, và quy trình của chúng tôi thành ra là bỏ qua mọi thông tin liên hệ ghi trên lệnh, rồi tìm thông tin liên hệ mới từ nguồn đáng tin cậy để gọi xác minh. Cả hai lần đều tìm từ website chính thức của bang. Nếu Verizon cũng dùng quy trình này thì có lẽ đã chặn được vụ này, vì Sở Cảnh sát Cary xác nhận không có cảnh sát nào tên Steven Cooper cả

    • Việc phát hành lệnh khám xét giả có lẽ là tội phạm, nên nói Verizon đang hợp tác với cơ quan thực thi pháp luật về chuyện đó thì cũng đúng
  • Thật ngạc nhiên khi cách chính để xác minh đó là lệnh đã được thẩm phán phê duyệt lại là kiểm tra chữ ký, thứ rất dễ làm giả

    • Chỉ riêng việc giả mạo chữ ký của thẩm phán cũng có thể bị phạt tù. Ở đa số bang, giả danh cảnh sát cũng vậy. Kẻ theo dõi này khi dùng cách đó để tìm một phụ nữ về cơ bản là tự chốt vé vào tù cho mình
      Có khá nhiều trường hợp kẻ theo dõi làm những chuyện thực sự đáng sợ nhưng vẫn không phải ngồi tù. Tuy vậy điều này khác nhau khá nhiều giữa các bang, và đáng ngạc nhiên là không phải bang nào cũng coi đó là trọng tội; ít nhất ở một bang, còn phải có ý định trục lợi từ quyền hạn được trao thì mới thành trọng tội
    • Chuyện này trông giống trách nhiệm của chính phủ hơn. Trong những lĩnh vực quan trọng khác dù chỉ một chút người ta còn dùng hệ thống xác thực tốt hơn và tiên tiến hơn, vậy mà các chính phủ trên thế giới vẫn dựa vào chữ ký
      Chỉ cần một tờ giấy ghi mật khẩu để tra cứu thông tin xác thực trên website của tòa án, hoặc email, hay một số điện thoại tự động hoặc địa chỉ email cho phép xác thực trực tuyến là cũng đủ rồi
  • Tôi lờ mờ nhớ có một cảnh tương tự trong phim truyền hình Mr. Robot
    Nhân vật được giao nhiệm vụ tìm một đối tượng quan tâm bằng số điện thoại, và hình như đã giả mạo hoặc chiếm đường fax của NYPD. Cách làm là làm giả tài liệu mà NYPD dùng rồi gửi fax cho nhà mạng để lấy dữ liệu và chờ phản hồi. Chắc chắn nó tinh tế hơn việc gửi tài liệu giả mạo từ địa chỉ Proton Mail, nhưng rốt cuộc vẫn là cùng một cách
    Tìm thấy rồi: https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
    Xem lại thì có vẻ họ dùng Wi-Fi công cộng để giữ ẩn danh và còn giả số fax của NYPD để trông thuyết phục hơn. Chắc tôi phải xem lại bộ phim này quá

  • Thật đáng ngạc nhiên khi email đó còn có cả chữ ký mặc định của Proton là “sent with Proton Mail secure email”. Dù có thể bỏ sót ở trường người gửi thì còn hiểu được, nhưng thật khó hiểu vì sao điều đó lại không bị xem là một dấu hiệu nguy hiểm
    Cũng sẽ không bất ngờ nếu câu trả lời là vì cảnh sát thường xuyên dùng tài khoản cá nhân cho những việc như thế này

    • Tôi từng làm việc cạnh văn phòng của đội phụ trách liên hệ với cơ quan thực thi pháp luật tại một nhà mạng, nên đã nghe rất nhiều cuộc gọi và cuộc trò chuyện. Tất cả đều là cựu cảnh sát, và họ có xu hướng rất mạnh là hễ được yêu cầu gì thì cũng chuyển giao. Nói thật là họ cũng không sắc sảo lắm
    • Kevin Mitnick đã dạy từ nhiều thập kỷ trước rằng trong bất kỳ môi trường nào, mắt xích yếu nhất vẫn là con người. Social engineering dễ hơn nhiều so với người ta tưởng
    • Cũng có thể đơn giản là chẳng ai đọc hay nhìn chữ ký email cả
    • Cũng có thể chúng cố tình làm vậy để sàng lọc những nhân viên quá cảnh giác về bảo mật
  • Ngoài sự lố bịch của chính vụ việc này, điều khiến tôi ngạc nhiên nhất là chi tiết nạn nhân và Glauner gặp nhau trên hamster.com, một trang web khiêu dâm có tính năng hẹn hò, rồi phát triển thành quan hệ tình cảm trực tuyến
    Tôi không biết rằng tính năng hẹn hò trên các trang web khiêu dâm tự nó không nhất thiết là lừa đảo hay phishing

    • Một số nhà sáng tạo nội dung OF dùng những nền tảng như vậy để quảng bá nội dung của họ
  • Kiểu giả mạo này rất phổ biến
    Đặc biệt là khi gắn thêm áp lực về tính khẩn cấp, tức vấn đề sống còn, rồi nhắc đến luật và hình phạt sẽ áp dụng nếu không xử lý nhanh, lại còn kèm cả luật và hình phạt về việc không được tiết lộ, thì càng dễ thành công hơn. Rồi sẽ có một luật sư tội nghiệp nào đó phải tự quyết định nên làm gì. Những vụ bị phanh phui chỉ là phần nổi của tảng băng chìm, và quy mô thực tế phải được ước tính là lớn hơn nhiều
    Tôi cũng muốn trách Verizon hay các tổ chức khác, nhưng cốt lõi là cách xử lý kiểu trát này hoàn toàn không còn phù hợp với thời đại internet. Giả mạo vốn dĩ là tội phạm, nên trước đây gửi trát qua thư giấy vẫn tương đối an toàn. Vì có thể lần theo tội phạm qua địa chỉ gửi trả và những dấu vết tương tự. Nhưng trên internet thì mọi chuyện đã khác. Một người ở nước khác hoặc gần như ẩn danh có thể làm giả trát và gửi đi với chi phí gần như bằng 0. Mẫu biểu trông chân thực có thể dễ dàng lấy từ một đồn cảnh sát bị hack, đôi khi còn lấy được cả quyền truy cập email. Cán cân chi phí - lợi ích - rủi ro đã nghiêng về phía kẻ tấn công, và việc phần lớn các quốc gia đều muốn xử lý những yêu cầu này nhanh hơn cũng không giúp ích gì

  • Sắp tới, vì AI, tội phạm sẽ có thể làm giả mọi khía cạnh của kiểu lừa đảo này một cách tinh vi đến mức khó tin
    Bao gồm biểu mẫu, trường luật giả, website trường học giả, website pháp lý giả, đánh giá giả, v.v. Ngay cả việc xác minh một chi tiết nhỏ cũng sẽ ngày càng tốn nhiều nguồn lực hơn

  • Đây là lý do bạn sẽ bị nhìn bằng ánh mắt kỳ quặc nếu nói rằng mình không muốn giao nộp thông tin cá nhân

  • Có vẻ như những email kiểu này nên được gắn chữ ký PGP

    • Làm sao để xác lập rằng một khóa PGP cụ thể đang được một bên có thẩm quyền dùng với tư cách chính thức và cho một mục đích hợp lệ?
      Nếu là S/MIME thì còn hợp lý, vì có hệ thống CA X.509. Nhưng với PGP dùng web of trust (WoT) thì trong trường hợp này đó hoàn toàn là sai công cụ
    • Mô hình tin cậy của PGP đã lỗi thời, nên có lẽ cũng không giúp được nhiều trong trường hợp này