$1500 — и ты полицейский: хакеры торгуют доступом к email копов США. Apple и Meta выдадут любые данные жертвы

На подпольных форумах появился особенно неприятный товар: доступ к верифицированным почтовым ящикам американских полицейских управлений и к порталу Kodex Global, через который правоохранительные органы отправляют повестки, ордера и экстренные запросы на выдачу данных. По данным Dataminr, один и тот же продавец сначала выставил на продажу отдельную учётную запись Kodex Global за 2000 долларов, а спустя 9 дней расширил предложение и добавил туда служебные email-аккаунты полиции США по 1000 долларов за каждый. За доплату покупателю обещали поддельное удостоверение сотрудника правоохранительных органов и инструкции, как пользоваться таким доступом дольше и не привлекать лишнего внимания.

Опасность здесь не в самом факте продажи учётных данных, а в том, что такой доступ позволяет выдавать себя за реального сотрудника полиции при запросе данных у крупных интернет-платформ. Kodex Global используют как посредника для юридически значимых обращений, включая Emergency Data Requests - экстренные запросы, которые подают, когда ждать решения суда якобы нельзя из-за угрозы жизни или другой неотложной ситуации. В обычных условиях для выдачи информации нужен судебный документ, например повестка или ордер. Экстренный запрос работает по более короткой схеме и потому сам по себе открывает удобное окно для злоупотреблений.

Если злоумышленник получает доступ к настоящему полицейскому почтовому ящику и одновременно к рабочему аккаунту в Kodex Global, поддельное обращение начинает выглядеть куда убедительнее. Платформа, онлайн-сервис или оператор связи видит не анонимное письмо, а запрос, который внешне приходит по знакомому каналу и оформлен так, как оформляют подобные обращения правоохранительные органы. Соответственно, резко растёт риск мошенничества, фишинга, выманивания персональных данных и незаконного получения сведений о конкретных людях.

Kodex Global в такой истории играет ключевую роль. Через портал обрабатывают повестки, ордера и экстренные запросы, а значит система связана с большим массивом чувствительной информации о тех, кого затрагивают юридические процедуры. Речь может идти о персональных данных, технических атрибутах, транзакционной информации и других сведениях, которые компании передают в рамках официальных запросов. Попадание такого инструмента в руки преступников опасно не только из-за отдельного инцидента, но и потому, что даёт готовую инфраструктуру для легитимно выглядящих злоупотреблений.

Dataminr зафиксировала первую публичную публикацию о продаже отдельной правоохранительной учётной записи Kodex Global 17 февраля 2026 года в 18:27. Спустя 9 дней, 26 февраля в 00:44, исследователи обнаружили новое объявление от того же продавца. Во второй версии лот уже включал более широкий набор: учётные данные почты американских полицейских управлений, поддельные удостоверения и доступ к Kodex Global. Такой апгрейд особенно показателен. Продавец предлагал не один скомпрометированный сервис, а почти готовый набор для имитации официального запроса от имени правоохранительных органов.

Продавец использовал ник lucy. На форуме у него был высокий статус GOD и дополнительная отметка Twisted Spider, которая, как отдельно подчёркивается, не связана с одноимённой известной группировкой. По описанию сделки покупатель получал полный комплект для входа: адрес электронной почты и действующий пароль, причём передача должна была происходить сразу после подтверждения оплаты. Поддельное удостоверение сотрудника правоохранительных органов продавали ещё за 500 долларов. В комплект также входило руководство по настройке и рекомендациям, которые должны были помочь сохранить доступ и снизить риск обнаружения со стороны платформ, куда будут отправляться запросы.

Набор способов оплаты тоже выглядит типично для криминального рынка: продавец принимал BTC, LTC, ETH, SOL, USDT и Monero, причём Monero называл предпочтительным вариантом. Такая деталь обычно говорит о желании сильнее скрыть финансовый след сделки. Мотивация у продавца, судя по описанию, была прямолинейной: заработать на перепродаже доступа с высокой ценностью. Но последствия выходят далеко за рамки обычной торговли учётными записями. Когда на чёрном рынке продают возможность выдать себя за полицейского, дальше в цепочке появляются уже другие преступления: незаконная выгрузка данных, преследование конкретных людей, доксинг, давление на жертв и атаки с социальной инженерией.

Подобные злоупотребления уже случались раньше. В 2021 году Apple и Meta* отвечали на поддельные экстренные запросы и передавали базовые сведения об абонентах, включая адреса, номера телефонов, email-адреса и IP-адреса. В 2024 году ФБР выпустило отдельное уведомление для частного сектора, где сообщило о росте числа таких схем. Текущий эпизод показывает, что проблема никуда не исчезла, а криминальные продавцы начали торговать не только поддельными документами, но и полноценным доступом к каналам, через которые такие запросы обычно проходят.

История с Kodex Global особенно наглядно показывает слабое место всей процедуры. Когда компания получает срочный запрос якобы от полиции, сотрудники комплаенса могут ориентироваться на знакомый домен, официальный вид документа и привычный канал связи. Если злоумышленник использует настоящий почтовый ящик ведомства или рабочий аккаунт в профильном портале, стандартных визуальных признаков подделки может уже не хватить. В такой ситуации опасно полагаться только на формальные атрибуты письма или заявки.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.