Cibercriminosos estão se passando por autoridades para roubar dados sigilosos de usuários de produtos e serviços de grandes empresas de tecnologia como Google, Apple, Meta e Snap, conforme alerta divulgado pelo FBI recentemente. Essas informações são obtidas via falsas solicitações de emergência.
Usando endereços de e-mails comprometidos de autoridades dos Estados Unidos e de outros países, os invasores entram em contato com as big techs por meio dos pedidos de emergência. Tal procedimento é usado para solicitar dados de um indivíduo a uma fornecedora de serviço em situações de urgência, nas quais não há tempo para ordem judicial.
Em alguns casos, os pedidos fraudulentos citam tráfico de pessoas e riscos de morte para acelerar a disponibilização dos dados. Devido à emergência, as empresas não checam a legitimidade do documento e acabam repassando os dados, embora nem todas as tentativas tenham sido bem-sucedidas.
Nomes completos, endereço de e-mail, número de telefone, mensagens enviadas e recebidas são algumas das informações privadas roubadas pelos cibercriminosos, segundo o FBI. Esse tipo de ação tem ocorrido desde 2022, com um aumento das solicitações fraudulentas sendo detectado a partir do ano passado.
O que acontece com os dados roubados?
As informações obtidas pelos criminosos cibernéticos podem ser utilizadas de várias maneiras, como para a aplicação de golpes financeiros e a abertura de contas falsas. Os invasores também podem assediar os donos dos dados, ameaçando divulgá-los se não receberem uma compensação financeira.
Além disso, os responsáveis pela ação estariam faturando com a venda das contas de e-mail governamentais comprometidas em fóruns online, para que outras pessoas tentem realizar as solicitações de emergência.
Para mitigar os riscos, o FBI recomendou às agências governamentais que reforcem suas medidas de segurança usando senhas mais fortes e autenticação de duas etapas para evitar que os e-mails sejam invadidos. Já as gigantes da tecnologia devem atualizar protocolos com o objetivo de identificar mais facilmente as solicitações fraudulentas.