Fejkpoliser lurar Apple på kontodata – så går knepet till

Så spelar angriparna “myndighet” – och varför det funkar

Upplägget är i grunden social ingenjörskonst med uniform på. Enligt Wired riktar sig aktörerna mot företagens särskilda team som hanterar förfrågningar från polis och myndigheter. Målet är att lura till sig uppgifter om en viss person – för att sedan sälja informationen vidare, skriver WIRED.

Ett återkommande trick är att registrera domäner som ser officiella ut men skiljer sig minimalt från riktiga myndighetsadresser. I andra fall används kapade mejlkonton från verkliga myndighetsanställda, vilket gör falska begäranden betydligt svårare att avslöja. 

Förfalskade domstolspapper – med dagens domare

I materialet som AppleInsider återger beskrivs hur gruppen bakom aliaset “Exempt” lägger stor vikt vid att efterlikna språk, form och juridiska hänvisningar i sina dokument. Vid fejkade stämningar och beslut kan de till och med använda namnet på en domare som faktiskt tjänstgör den dagen – allt för att en snabb kontroll ska ge “rätt” svar. 

Akutförfrågningar: systemet som ska rädda liv – och som kan missbrukas

Den mest känsliga delen handlar om så kallade akuta dataförfrågningar, avsedda för situationer där det finns risk för allvarlig skada eller död. Apple uppger att de hanterar sådana emergency requests och har tydliga riktlinjer för hur de ska skickas in. 

Läs också: Nvidia passerade 4 000 miljarder dollar

Men just “akutspåret” kan bli en genväg när tiden är knapp och verifiering sker via e-post och dokument. Enligt Wired har gruppen utnyttjat den här typen av processer mot flera stora plattformar – och beskriver hur brådska pressar fram beslut.

Vad fick de ut från Apple?

I ett fall som beskrivs i rapporteringen ska angriparna ha fått fram personuppgifter kopplade till ett Apple-konto, som hemadress, e-postadress och telefonnummer. Däremot ska de inte ha fått tillgång till innehåll lagrat i iCloud, som bilder och anteckningar. 

Apple beskriver i sina processdokument att akuta förfrågningar ska skickas från en officiell myndighetsadress och följa särskilda krav i ärenderaden och formuläret. 

Varför du som vanlig användare sällan är måltavla

Det här är inte en bred “massfiske”-attack som skickas till alla. Poängen är tvärtom: att plocka ut en specifik person när någon är beredd att betala för informationen – eller när det finns ett motiv som trakasserier, utpressning eller hämnd. Så beskriver Wired drivkrafterna bakom doxxingmiljön. 

Läs också: Apple vill köpa F1-rättigheterna

Samtidigt: myndighetsfejk sprider sig även i meddelanden

Att kriminella utger sig för att vara myndigheter syns inte bara i mejl. I Singapore har regeringen nyligen beordrat Apple och Google att stoppa spoofing av myndighetsnamn i iMessage och andra meddelandetjänster, enligt Reuters.

Det här kan du göra i praktiken

Även om just den här metoden riktar sig mot företagsprocesser snarare än privatpersoner finns en enkel tumregel: lita inte på “auktoritetston” i digital kommunikation.

• Var extra skeptisk mot mejl och meddelanden som påstår att ditt konto “måste verifieras” eller att en myndighet “kräver åtgärd nu”.
  
• Gå alltid via officiella kanaler (app eller webbplats du själv söker upp) i stället för att klicka på länkar.
  
• Använd tvåfaktorsautentisering och se över återställningsuppgifter för konton.
  

Apple samlar även sina kontaktvägar och krav för myndighetsförfrågningar i sin law enforcement-portal och i sina riktlinjer, vilket ger en bild av hur processen ska fungera när den är legitim. 

Slutsats: ett systemproblem – inte “Apple-hack”

Det mest oroande i rapporteringen är inte att Apple (eller något annat bolag) “blivit hackat” i klassisk mening, utan att e-post, dokument och brådska fortfarande kan räcka för att tränga igenom kontrollsteg som är byggda för att fungera snabbt i krissituationer. Och just där, i gränslandet mellan tidspress och verifiering, försöker angriparna vinna. 

Läs också: Samsung fortsätter med galna priser

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns