FBI 警告美国各组织警惕网络犯罪分子提出的虚假紧急数据请求

FBI 警告美国各组织警惕网络犯罪分子提出的虚假紧急数据请求

一个相当有趣的发展是，美国联邦调查局向美国各组织发出紧急警告，称网络犯罪的一种手段日益猖獗：伪造紧急数据请求 (EDR)。网络犯罪分子越来越多地冒充执法人员来利用这一漏洞，使用欺诈性 EDR 从美国公司窃取敏感的个人数据。随着这些攻击越来越猖獗，各组织必须保持警惕，保护客户的隐私并防止数据泄露。

Table of Contents

什么是紧急数据请求？为什么它们很危险？

紧急数据请求允许执法机构在紧急情况下快速向服务提供商索取信息，而无需正式传票。EDR 专为生死攸关的情况而设计，可绕过通常的法律程序，实现快速信息访问。然而，网络犯罪分子已经找到了一种滥用该系统的方法，他们伪造紧急请求，利用政府机构被盗用的电子邮件帐户，使他们的计划看起来合法。

FBI 的警报显示，威胁行为者（包括 Lapsus$ 等知名团体）越来越多地使用虚假 EDR 从大公司收集个人身份信息 (PII)，旨在将这些数据用于各种犯罪目的，从身份盗窃到勒索。通过网络钓鱼和社会工程手段，网络犯罪分子可以访问政府或执法部门的官方电子邮件帐户。他们利用这些帐户向美国公司发出欺诈性 EDR，这些公司通常会在合法紧急情况的假设下发布敏感的客户信息。

网络犯罪论坛在加剧威胁方面的作用

网络犯罪论坛已成为围绕这种方法分享知识的温床。联邦调查局指出，近几个月来，论坛帖子激增，详细介绍了如何利用 EDR。例如，一名网络犯罪分子最近打出广告，出售 .gov 电子邮件地址，吹嘘这些凭证可用于间谍活动、社会工程或发出欺诈性数据请求。

2024 年初，这一趋势进一步升级，当时论坛上的一名威胁行为者声称拥有来自 25 个国家的政府电子邮件地址，并计划在虚假 EDR 中使用它们来获取用户名、电话号码和电子邮件等敏感信息。另一名网络犯罪分子声称，他们试图根据《司法互助条约》(MLAT) 利用欺诈性数据请求来利用 PayPal。尽管 PayPal 最终发现并拒绝了该请求，但这些尝试凸显了管理大量客户数据的组织面临的严重风险。

为何虚假紧急数据请求难以发现

网络犯罪分子利用 EDR 的紧急性来加速其成功。通常，公司（尤其是资源或网络安全经验有限的公司）可能不会像审查标准传票那样仔细审查紧急请求，因为会认为紧急性很严重。通过操纵紧迫感，犯罪分子可以在验证过程中走捷径。

为了使他们的欺诈请求更加可信，这些威胁行为者经常使用复杂的社会工程技术。他们可能会添加篡改的签名、看似真实的徽标或可信的法律参考资料，以使他们的请求看起来合法。联邦调查局警告各组织检查这些请求中的任何差异，例如徽标不一致或与所谓机构通常使用的法律代码不匹配的异常法律代码。

组织可采取哪些措施防范虚假紧急数据请求

随着 FBI 就这一日益严重的威胁发出警报，企业必须采取主动措施，防范虚假 EDR 和类似的社会工程手段。以下是保护您的组织及其数据的关键建议：

加强与 FBI 的沟通渠道：经常收到 EDR 的组织应与 FBI 代表建立并保持良好的关系。与联邦当局密切合作可以确保更快地发现和响应可疑请求。
审查和加强事件响应计划：更新事件响应程序，包括专门用于验证 EDR 真实性的检查。此过程应涉及多层审查和明确的协议，以标记潜在的欺诈性请求。
对员工进行社会工程风险教育：培训员工识别危险信号（例如更改的图像、签名或不寻常的法律参考资料）至关重要。员工应有权质疑任何引起担忧的请求的合法性，尤其是在高压条件下。
实施安全最佳实践：
- MFA 和强密码协议：要求多因素身份验证 (MFA) 和强大的密码管理可减少未经授权访问的机会。
- 管理员帐户的基于时间的访问：将管理访问限制在设置的时间段内，从而限制潜在滥用的时间窗口。
- 定期安全评估：对用户帐户和域控制器进行例行评估，以发现任何受到损害或未经授权访问的迹象。
- 限制远程访问和分段网络：通过远程服务和网络分段控制对敏感数据的访问。划分数据访问可减少发生违规时的风险。
- 漏洞管理：持续更新和修补系统，以减轻网络犯罪分子可能利用的漏洞。
格外小心地验证紧急数据请求：始终交叉引用 EDR 中的法律代码，以确认它们与原始授权机构相匹配。检查任何附加图像是否有篡改或差异的迹象，这些迹象可能表明存在欺诈行为。多花一点时间来验证请求可以防止严重的数据泄露。