Mới đây, Cục Điều tra Liên bang Mỹ (FBI) đã đưa ra cảnh báo về một mối đe dọa lớn liên quan đến việc các hacker lợi dụng các yêu cầu dữ liệu khẩn cấp giả mạo để đánh cắp thông tin cá nhân của người dùng. Theo FBI, những kẻ tấn công này đã xâm nhập vào các tài khoản email của chính phủ và cơ quan công an, sau đó gửi yêu cầu dữ liệu giả mạo đến các công ty công nghệ lớn của Mỹ, từ đó lấy cắp thông tin nhạy cảm như email, số điện thoại và các dữ liệu cá nhân khác.

Đây là một hình thức tấn công khá mới mẻ và nguy hiểm, khi các hacker giả mạo mình là lực lượng thực thi pháp luật để yêu cầu các công ty cung cấp thông tin của người dùng mà không cần có lệnh tòa án. Điều này có thể dẫn đến những hậu quả nghiêm trọng, bao gồm việc tiết lộ thông tin cá nhân của hàng triệu người dùng, tạo điều kiện cho các hành vi tội phạm như quấy rối, lừa đảo tài chính và các cuộc tấn công xã hội.

Các Yêu Cầu Dữ Liệu Khẩn Cấp và Quy Trình Pháp Lý

Trong hệ thống pháp lý của Mỹ, để cơ quan thực thi pháp luật có thể yêu cầu các công ty cung cấp thông tin cá nhân của người dùng, họ cần phải có lý do hợp lý và thông qua các thủ tục pháp lý như lệnh khám xét hoặc trát đòi hầu tòa. Tuy nhiên, có một thủ tục đặc biệt được gọi là yêu cầu dữ liệu khẩn cấp, trong đó các cơ quan thực thi pháp luật có thể yêu cầu thông tin ngay lập tức nếu có nguy cơ cấp bách liên quan đến tính mạng hoặc tài sản của ai đó, mà không cần chờ đợi quyết định của tòa án.

Tuy nhiên, thủ tục này hiện đang bị lợi dụng bởi các tội phạm mạng. FBI cho biết, trong khoảng thời gian từ tháng 8 năm 2023, họ đã phát hiện một sự gia tăng đáng kể trong việc đăng tải các thông báo trên các diễn đàn tội phạm mạng, thông báo về khả năng tiếp cận các tài khoản email của cơ quan công an Mỹ và một số quốc gia khác. Những hacker này đã sử dụng các tài khoản email bị xâm nhập để gửi các yêu cầu giả mạo tới các công ty công nghệ lớn yêu cầu cung cấp thông tin người dùng.

Các Mối Nguy Hiểm và Tác Hại

FBI cho biết những kẻ tấn công đã thành công trong việc giả mạo các yêu cầu hợp pháp và khiến các công ty như Apple, Meta, Google và Snapchat cung cấp các thông tin nhạy cảm của người dùng. Các dữ liệu này, bao gồm tên người dùng, email, số điện thoại và thậm chí là vị trí gần đúng của người dùng, đã bị lộ ra ngoài và có thể bị tội phạm sử dụng cho các mục đích xấu như quấy rối, doxxing (tiết lộ thông tin cá nhân), và các vụ lừa đảo tài chính.

Đặc biệt, theo báo cáo của Bloomberg vào năm 2022, các nhóm tội phạm mạng, bao gồm cả những nhóm thanh thiếu niên như Recursion Team và Lapsus$, đã thực hiện các yêu cầu giả mạo này, dẫn đến việc các công ty như Apple, Meta, và Snapchat bị xâm nhập. Những nhóm này sau đó đã trở thành các nhóm hacker nổi tiếng, hack vào các công ty lớn như Uber.

FBI cảnh báo rằng việc sử dụng các yêu cầu khẩn cấp giả mạo không chỉ tạo ra mối đe dọa đối với các cá nhân mà còn gây tổn hại đến uy tín và bảo mật của các công ty công nghệ lớn. Mỗi năm, các công ty như Apple, Google, Meta và Snapchat đều nhận hàng nghìn yêu cầu dữ liệu khẩn cấp từ cơ quan thực thi pháp luật, do đó, họ luôn phải cảnh giác và áp dụng các biện pháp bảo mật tối đa.

Biện Pháp Bảo Vệ

Trước mối nguy cơ này, FBI khuyến nghị các cơ quan công an và các tổ chức pháp lý cần cải thiện các biện pháp bảo mật của mình, đặc biệt là việc sử dụng mật khẩu mạnh và xác thực đa yếu tố (MFA) để ngăn ngừa việc xâm nhập vào các tài khoản email của họ. FBI cũng khuyến cáo các công ty công nghệ nên nâng cao nhận thức và thực hiện kiểm tra kỹ lưỡng đối với các yêu cầu dữ liệu khẩn cấp để đảm bảo không có yêu cầu nào bị lợi dụng bởi các tội phạm mạng.

Bên cạnh đó, các công ty cũng cần thiết lập quy trình kiểm tra và xác thực yêu cầu dữ liệu khẩn cấp, đồng thời cần phải nhận thức rằng các tội phạm mạng hiểu rõ nhu cầu cấp bách trong việc yêu cầu dữ liệu và sẽ lợi dụng điều này để thực hiện các cuộc tấn công.

Kết Luận

Mối đe dọa từ các yêu cầu dữ liệu khẩn cấp giả mạo là một vấn đề ngày càng nghiêm trọng trong bối cảnh các tội phạm mạng trở nên ngày càng tinh vi hơn. FBI đã cảnh báo rằng việc bảo vệ thông tin cá nhân của người dùng không chỉ là trách nhiệm của các công ty công nghệ mà còn là nhiệm vụ của các cơ quan thực thi pháp luật. Những nỗ lực phối hợp giữa các cơ quan bảo mật và các công ty công nghệ là rất quan trọng để ngăn chặn những mối đe dọa này và bảo vệ quyền riêng tư của người dân.