Des criminels sont parvenus à se faire passer pour les forces de l’ordre auprès de plusieurs entreprises afin d’obtenir des informations personnelles sur leurs utilisateurs.
Une pratique qui se répand. Début avril, il a été révélé que des hackers ont réussi à obtenir des données d’Apple et de Meta après s’être fait passer pour les forces de l’ordre. Les policiers ont la possibilité de demander des informations aux entreprises sur leurs utilisateurs dans le cadre d’enquêtes criminelles. Selon Bloomberg, ces deux géants de la tech ont de nouveau été victimes de cette pratique, tout comme Google, Snap, Twitter et Discord. Des attaquants les ont en effet trompés pour ensuite harceler et extorquer sexuellement des femmes et des mineurs.
Bien que les données fournies par les entreprises varient, elles comprennent généralement le nom, ainsi que les adresses IP, mail et postales. Dans le cas présent, celles obtenues ont permis de pirater les comptes en ligne des victimes ou de se lier d’amitié avec elles avant de les encourager à donner des photos sexuellement explicites. Lorsqu’elles refusaient de se conformer aux demandes, ces derniers ont employé plusieurs techniques de harcèlement pour riposter.
Une pratique avec des conséquences pour les victimes
Parmi les techniques employées, figure une pratique connue sous le nom de swatting. Elle aboutit à l’intervention des forces de l’ordre chez une personne sans qu’elle ne sache pourquoi, à cause d’un canular téléphonique. Des femmes ont été victimes de cette pratique chez elles et à l’école. Des personnes ont également été victimes de doxing, qui consiste à divulguer les données personnelles d’un internaute dans le but de lui nuire. Enfin, les attaquants ont menacé d’envoyer les contenus sexuellement explicites fournies par la victime à ses amis, ainsi qu’aux membres de sa famille et au personnel scolaire.
Selon Bloomberg, les forces de l’ordre ignorent la fréquence à laquelle les demandes de données frauduleuses ont servi à extorquer sexuellement des femmes et des mineurs. De plus, il est difficile pour les entreprises ciblées de savoir quand elles ont été dupées étant donné que les demandes semblent légitimes. Même si la méthode exacte des attaques diffère, elles ont tendance à suivre un schéma. Il consiste à compromettre le système de messagerie d’un organisme d’application de la loi pour ensuite forger une demande de données d’urgence et l’adresser à une entreprise technologique, en affirmant chercher des informations sur le compte d’un utilisateur.
