Verizon ถูกหลอกด้วย "หมายค้น" ปลอม จนส่งข้อมูลโทรศัพท์ของเหยื่อให้สตอล์กเกอร์

 (arstechnica.com)
1 คะแนน โดย GN⁺ 2023-12-10 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Verizon ถูกตำรวจปลอมและหมายค้นปลอมหลอกให้ส่งที่อยู่และบันทึกการโทรของเหยื่อให้สตอล์กเกอร์
  • สตอล์กเกอร์ Robert Michael Glauner ถูกจับกุมใกล้บ้านของเหยื่อ และขณะนั้นพกมีดอยู่ด้วย
  • Glauner เคยมีความสัมพันธ์เชิงโรแมนติกทางออนไลน์กับเหยื่อ แต่ยังพยายามติดต่อหลังจากความสัมพันธ์ยุติลง

ตำรวจปลอม ลายเซ็นผู้พิพากษาปลอม

  • Glauner หลอก Verizon โดยส่งอีเมลปลอมและหมายค้นปลอมไปยังทีม Verizon Security Assistance Team (VSAT)
  • Verizon ไม่ทันสังเกตว่าคำขอดังกล่าวเป็นการฉ้อโกง ทั้งที่อีเมลถูกส่งมาจากที่อยู่ Proton Mail
  • ในหมายค้นมีชื่อเจ้าหน้าที่ตำรวจที่ไม่มีตัวตนจริงและลายเซ็นผู้พิพากษาที่ปลอมแปลง

Verizon ส่งที่อยู่และบันทึกการโทรให้

  • หลังตรวจเอกสารปลอมแล้ว Verizon ได้ส่งที่อยู่และบันทึกการโทรของเหยื่อให้ Glauner
  • ตามข้อมูลบนเว็บไซต์ของ Verizon ระบุว่า VSAT จัดการคำร้องตามกฎหมายอย่างเป็นความลับและปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมด
  • Verizon ระบุว่ากำลังให้ความร่วมมือกับหน่วยงานบังคับใช้กฎหมายในคดีนี้

ความเห็นของ GN⁺

ประเด็นสำคัญที่สุดของบทความนี้คือกรณีที่ Verizon ถูกตำรวจปลอมและหมายค้นปลอมหลอก จนเปิดเผยข้อมูลส่วนบุคคลของเหยื่อ เหตุการณ์ลักษณะนี้สะท้อนให้เห็นถึงความเปราะบางของการคุ้มครองข้อมูลส่วนบุคคลและระบบรับมือคำขอตามกฎหมายขององค์กร ซึ่งเป็นหัวข้อที่น่าสนใจสำหรับคนจำนวนมาก โดยเฉพาะผู้ที่สนใจด้านความมั่นคงปลอดภัยไซเบอร์และความเป็นส่วนตัว กรณีนี้อาจเป็นตัวอย่างการเรียนรู้ที่สำคัญได้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-12-10
ความเห็นบน Hacker News

  • การปลอมแปลงคำสั่งศาลทำได้ง่ายมาก

    • Verizon หรือบริษัทอื่นไม่มีทางรู้ได้ว่ามีการใช้แบบฟอร์มเฉพาะแบบใดบ้างในกว่า 1,700 เคาน์ตีทั่วสหรัฐฯ
    • หมายเรียกของรัฐบาลกลางมีรูปแบบมาตรฐานเดียวกันและยื่นแบบไม่เปิดเผยต่อสาธารณะ จึงยิ่งปลอมได้ง่ายกว่า
    • Verizon ไม่สามารถโทรไปที่สำนักงานเสมียนศาลเพื่อยืนยันได้ว่ามีการออกหมายเรียกจริงหรือไม่
    • เอกสารถูกพิมพ์ลงบนกระดาษถ่ายเอกสารธรรมดาและไม่มีคุณสมบัติด้านความปลอดภัย
    • การยื่นฟ้องคดีเรียกร้องมูลค่าน้อยเพื่อให้มีการออกหมายเรียกก็ทำได้ง่ายเช่นกัน
    • หมายเรียกทางแพ่งอาจใช้เวลานานกว่าหมายเรียกทางอาญาเล็กน้อยและต้องจ่ายค่าบริการส่งเอกสาร แต่ก็ไม่ใช่อุปสรรคอะไร

  • โฆษกของ Verizon ระบุว่ากำลังให้ความร่วมมือกับหน่วยงานบังคับใช้กฎหมายเกี่ยวกับกรณีนี้

  • คนหนึ่งที่ทำงานพาร์ตไทม์ให้ ISP ชุมชนขนาดเล็กเคยมีปฏิสัมพันธ์กับระบบกฎหมายสองครั้ง

    • ตอนที่ได้รับคำขอครั้งแรก เขาต้องคิดหนักว่าจะตรวจสอบความแท้จริงได้อย่างไร
    • ขั้นตอนที่กำหนดไว้คือทิ้งข้อมูลติดต่อทั้งหมดที่อยู่ในหมายค้น แล้วหาข้อมูลติดต่อใหม่จากแหล่งที่เชื่อถือได้ เช่น หน้าเว็บทางการของรัฐ เพื่อใช้ยืนยัน
    • ถ้า Verizon ใช้ขั้นตอนนี้เหมือนกัน ก็น่าจะจับความผิดปกติของกรณีนี้ได้

  • ในรายการทีวี 'Mr. Robot' ก็มีการพรรณนากรณีคล้ายกัน

    • ตัวเอกแอบอ้างหรือดักสายแฟกซ์ของ NYPD เพื่อระบุตัวบุคคลจากหมายเลขโทรศัพท์มือถือ และปลอมเอกสารที่ NYPD ใช้เพื่อขอข้อมูลจากผู้ให้บริการโทรคมนาคม
    • เขาส่งแฟกซ์ปลอมแล้วรอการตอบกลับ
    • เขาใช้ Wi‑Fi สาธารณะเพื่อรักษาความไม่เปิดเผยตัวตน และปลอมหมายเลขแฟกซ์ของ NYPD เพื่อให้ดูน่าเชื่อถือยิ่งขึ้น

  • วิธีหลักในการตรวจสอบความถูกต้องของคำสั่งที่ผู้พิพากษาเซ็นคือดูที่ลายเซ็น ซึ่งเป็นสิ่งที่ปลอมได้ง่าย

  • ในอีเมลมีลายเซ็นเริ่มต้นของ Proton Mail ที่เขียนว่า 'ส่งด้วยอีเมลปลอดภัยของ Proton Mail'

    • ในช่อง 'จาก' อาจสังเกตไม่เห็นก็ได้ แต่ก็ยังน่าสงสัยว่าเหตุใดสิ่งนี้จึงไม่กลายเป็นสัญญาณเตือน
    • อาจเป็นเรื่องปกติที่ตำรวจจะใช้บัญชีส่วนตัวจัดการเรื่องแบบนี้

  • การปลอมเอกสารลักษณะนี้เกิดขึ้นบ่อยมาก

    • มักมาพร้อมกับการเน้นความเร่งด่วน เช่น เป็นเรื่องความเป็นความตาย หรือขู่ว่าหากไม่ดำเนินการจะมีความรับผิดทางกฎหมาย หรือหากเปิดเผยจะถูกปรับ
    • ตอนนี้ทนายความต้องเป็นฝ่ายตัดสินใจว่าจะรับมืออย่างไร
    • เหตุการณ์แบบนี้น่าจะเป็นเพียงยอดภูเขาน้ำแข็ง
    • เพราะต้นทุนในการปลอมและส่งเอกสารแทบไม่มีเลย วิธีจัดการหมายค้นแบบนี้จึงไม่เหมาะกับยุคอินเทอร์เน็ตอย่างสิ้นเชิง
    • สถานีตำรวจจำนวนมากถูกแฮ็กจนสามารถเอาเทมเพลตที่ดูสมจริงมาใช้ได้ และบางครั้งยังเข้าถึงอีเมลได้โดยตรงด้วย
    • ความสัมพันธ์ด้านต้นทุน/ผลประโยชน์/ความเสี่ยงเปลี่ยนไปในทางที่เป็นประโยชน์ต่อผู้โจมตี

  • นอกเหนือจากความบ้าคลั่งของเรื่องต้นฉบับแล้ว ยังประหลาดใจกับข้อเท็จจริงที่ว่ากรณีนี้เริ่มจากการพบกันผ่านฟีเจอร์หาคู่ของเว็บไซต์หนังโป๊ Hamster.com

    • ไม่เคยรู้มาก่อนว่าฟีเจอร์หาคู่บนเว็บโป๊มีอยู่จริง ไม่ใช่แค่การหลอกลวงหรือความพยายามฟิชชิง

  • บริษัทขนาดใหญ่อย่าง Verizon ควรมีขั้นตอนเฉพาะสำหรับการตอบสนองต่อคำขอจากหน่วยงานบังคับใช้กฎหมาย

  • ดูเหมือนว่าอีเมลควรถูกลงลายเซ็นด้วย PGP

  • ตอนจัดการทรัพย์สินของแม่ มีคนหนึ่งรู้สึกหวาดกลัวว่าการปลอมเอกสารธรรมดาเพียงสองฉบับที่ตรวจสอบลายเซ็นไม่ได้ ได้แก่ ใบมรณบัตรและหนังสือรับรองการเป็นทายาท จะก่อความเสียหายได้มากเพียงใด

    • แค่สแกนหรือถ่ายรูปส่งทางอีเมล หรือคุยโทรศัพท์อย่างสุภาพ ก็จัดการเรื่องต่าง ๆ ได้แทบทั้งหมด
    • งานบางอย่าง เช่น การปิดบัญชีธนาคาร ยังต้องให้บุคคลไปแสดงตัวพร้อมบัตรประจำตัวเพื่อยืนยัน
    • ถ้ารู้แค่ว่าเอกสารบางอย่างหน้าตาเป็นอย่างไร โลกทั้งโลกก็แทบจะอยู่ใต้ฝ่าเท้า