I en verden som blir stadig mer nettbasert, hvor tillit er både en valuta og en sårbarhet, prøver trusselaktører å manipulere menneskelig atferd og utnytte tendensen til å ville være nyttig. I denne infografikken utforsker vi sosial manipulering, inkludert hvorfor trusselaktører verdsetter profesjonelle identiteter over alle andre, og veileder deg samtidig gjennom noen av måtene de manipulerer menneskets natur for å oppnå målene sine.
Næring fra tillitsøkonomien: svindel med sosial manipulering
Sosial manipulering og den kriminelle fascinasjonen ved phishing
Omtrent 901 prosent av alle phishing-angrep involverer sosiale manipuleringsteknikker som er utformet for å manipulere ofre – vanligvis via e-post – til å avsløre sensitiv informasjon, klikke på skadelige koblinger eller åpne skadelige filer. Phishing-angrep er kostnadseffektive for angripere, tilpasningsdyktige for å bidra til å unngå forebyggingstiltak, og øke høye suksessrater.
Redskaper for menneskelig atferd
Sosiale manipuleringsteknikker har en tendens til å være betinget av angriperens bruk av tillit og overtalelse for å overtale målene til å utføre handlinger som ellers ville vært utypiske. Tre effektive redskaper er viktighet, følelse og vane.2 Viktighet Ingen ønsker å gå glipp av en tidssensitiv mulighet eller ikke klare å overholde en viktig tidsfrist. Følelsen av viktighet kan ofte lure eller rasjonelle mål til å overlevere personlige opplysninger.
Eksempel: Falsk viktighet
«Det som kjennetegner en phishing-e-post, er en tilknyttet tidsramme. De ønsker å presse deg til å ta en beslutning på kort tid».
Jack Mott – Microsoft trusselinformasjon
Følelser
Følelsesmessig manipulering kan gi cyberangripere overtaket, siden mennesker har stor sannsynlighet for å ta risikofylte handlinger i en sterkt følelsesmessig tilstand, særlig hvis frykt, skyldfølelse eller sinne er involvert.
Eksempel: Følelsesmessig manipulering
«Det mest effektive agnet jeg har sett, var en veldig kort e-post hvor det stod at vi hadde blitt leid inn av ektefellen for å klargjøre skilsmissepapirer. Klikk på koblingen for å laste ned en kopi».
Sherrod DeGrippo – Microsoft trusselinformasjon
Vane
Kriminelle følger nøye med på atferd, og de er spesielt opptatt av folks vaner og rutiner som gjøres på «autopilot», uten å måtte tenke noe særlig.
Eksempel: Typisk vane
«Trusselaktører tilpasser seg arbeidsrytmen til bedrifter. De er gode på å distribuere agn som gir mening i konteksten der vi normalt sett får dem».
Jack Mott – Microsoft trusselinformasjon
Grensen mellom den personlige og profesjonelle identiteten til en ansatt kan noen ganger konvergere. En ansatt kan bruke e-posten for arbeid til personlige kontoer de bruker til arbeid. Det hender trusselaktører prøver å utnytte dette ved å ta kontakt mens de fremstår å være ett av disse programmene, slik at de kan få tilgang til bedriftsinformasjonen til en ansatt.
«I svindel med e-post-phishing sjekker cyberkriminelle «agnet» sitt med firma-e-postadresser. Personlige nettpostadresser er ikke verdt det. Arbeidsadresser er mer verdifulle, så de bruker flere ressurser og mer fokus på konkrete tastaturangrep for å tilpasse for disse kontoene.»
Jack Mott – Microsoft trusselinformasjon
Det «langvarige bedrageriet»
Angrep med sosial manipulering er vanligvis ikke raske. Sosiale manipulatorer har en tendens til å bygge tillit hos ofrene sine over tid ved hjelp av krevende teknikker som begynner med undersøkelser. Syklusen for denne typen manipulering kan se slik ut:
- Etterforske: Teknikere indentifiserer et mål og samler bakgrunnsinformasjon som potensielle inngangspunkter eller sikkerhetsprotokoller.
- Infiltrere: Manipulatorene fokuserer på å etablere tillit hos målet. De manipulerer en historie, får målet på kroken, og tar kontroll over samhandlingen for å styre den i en retning som er fordelaktig for manipulatoren.
- Utnytte: Sosiale manipulatorer skaffer seg målets informasjon over tid. Vanligvis gir målet fra seg informasjon frivilling, og manipulatorene kan bruke dette til sin fordel for å få tilgang til enda mer konfidensiell informasjon.
- Koble fra: En sosial manipulator leder samhandlingen til en naturlig slutt. En dyktig manipulator gjør dette uten at målet blir mistenksomt i det helet tatt
BEC-angrep skiller seg ut i cyberkriminalitetsbransjen på grunn av vektleggingen på sosial manipulering og evnen til bedrageri. BEC-angrep som lykkes koster organisasjoner flere hundre millioner dollar hvert år. I 2022 registrerte FBIs (Federal Bureau of Investigation) Internet Crime Complaint Center justerte tap på mer enn USD$2,7 milliarder for 21 832 arkiverte klager.4
De viktigste målene for BEC er direktører og andre overordnede ledere, økonomisjefer, ansatte i personaladministrasjon med tilgang til ansattregistre, som personnumre, trekkoppgaver eller annen personlig identifiserbar informasjon. Nye ansatte som kanskje med mindre sannsynlighet kontrollerer ukjente e-postforespørsler, er også mål.
Nesten alle former for BEC-angrep er på vei oppover. Vanlige BEC-angrepstyper omfatter:5
- Direkte e-post-kompromittering (DEC): Kompromitterte e-postkontoer er vant til å sosialt manipulere interne eller tredjeparts regnskapsroller til å overføre midler til angriperens bankkonto eller endre betalingsinformasjonen til en eksisterende konto.
- Leverandør- e-post-kompromittering (VEC): Sosial manipulering av en eksisterende leverandørrelasjon ved å kapre en betalingstilknyttet e-post og utgi seg for å være ansatte i selskapet for å overbevise en leverandør om å omdirigere en utestående betaling til en ulovlig bankkonto.
- Falsk innboks-svindel: En massesvindel med sosial manipulering som utnytter velkjente bedriftsvaremerker for å overbevise selskaper til å betale falske fakturaer.
- Advokatetterligning: Utnytting av pålitelige relasjoner med store, velkjente advokatfirmaer for å øke troverdigheten hos ledere for små firmaer og nyetableringer, for å fullføre betaling av utestående fakturaer, særlig i forkant av store hendelser som offentlige emisjoner. Omadressering av betaling til en ulovlig bankkonto skjer så fort en avtale om betalingsvilkår er inngått.
Octo Tempest
Octo Tempest er en økonomisk motivert gruppe med trusselaktører med engelsk som morsmål, kjent for å starte omfattende kampanjer med fremtredende adversary-in-the-middle (AiTM) -teknikker, sosial manipulering, og SIM-byttefunksjoner.
Octo Tempest er en økonomisk motivert gruppe med trusselaktører med engelsk som morsmål, kjent for å starte omfattende kampanjer med fremtredende adversary-in-the-middle (AiTM) -teknikker, sosial manipulering, og SIM-byttefunksjoner.
Diamond Sleet
I august 2023 gjennomførte Diamond Sleet en kompromittering av programvareforsyningskjeden til den tyske programvareleverandøren JetBrains, som kompromitterte servere for programvarebyggings-, testings- og utrullingsprosesser. Siden Diamond Sleet har lyktes i å infiltrere byggemiljøer tidligere, anser Microsoft at denne aktiviteten utgjør en spesielt høy risiko for organisasjoner som berøres.
I august 2023 gjennomførte Diamond Sleet en kompromittering av programvareforsyningskjeden til den tyske programvareleverandøren JetBrains, som kompromitterte servere for programvarebyggings-, testings- og utrullingsprosesser. Siden Diamond Sleet har lyktes i å infiltrere byggemiljøer tidligere, anser Microsoft at denne aktiviteten utgjør en spesielt høy risiko for organisasjoner som berøres.
Sangria Tempest6
Sangria Tempest, også kjent som FIN, er kjent for å rette seg mot restaurantbransjen, og stjele betalingskortdata. Ett av de mest effektive agnene involverer en anklage om matforgiftning, der detaljene knyttet til dette kan vises ved å åpne et skadelig dokument.
Sangria Tempest, også kjent som FIN, er kjent for å rette seg mot restaurantbransjen, og stjele betalingskortdata. Ett av de mest effektive agnene involverer en anklage om matforgiftning, der detaljene knyttet til dette kan vises ved å åpne et skadelig dokument.
Sangria Tempest, som primært er østeuropeisk, har brukt skjulte fora for å rekruttere brukere med engelsk som morsmål, som er opplæring i hvordan de kontakter butikker når de leverer e-post-agn. Gruppen har stjålet flere titalls millioner av betalingskortdata gjennom denne prosessen.
Midnight Blizzard
Midnight Blizzard er en trusselaktør med base i Russland, som er kjent for å primært rette seg mot offentlig sektor, diplomatiske instanser, veldedige organisasjoner (NGO-er) og IT-tjenesteleverandører som primært er i USA og Europa.
Midnight Blizzard er en trusselaktør med base i Russland, som er kjent for å primært rette seg mot offentlig sektor, diplomatiske instanser, veldedige organisasjoner (NGO-er) og IT-tjenesteleverandører som primært er i USA og Europa.
Midnight Blizzard utnytter Teams-meldinger for å sende agn som forsøker å stjele legitimasjon fra en målrettet organisasjon ved å engasjere en bruker og utløse godkjenning av ledetekster med godkjenning med flere faktorer (MFA).
Visste du at?
Microsofts navnestrategi for trusselaktører har skiftet til en ny navneklassifisering for trusselaktører som er inspirert av temaer knyttet til været.
Microsofts navnestrategi for trusselaktører har skiftet til en ny navneklassifisering for trusselaktører som er inspirert av temaer knyttet til været.
Selv om angrep med sosial manipulering kan være komplekse, er det ting du kan gjøre for å forebygge dem.7 Hvis du er smart når det gjelder personvern og sikkerhet, kan du bruke angripernes egen strategi mot dem.
For det første må du instruere brukerne i å holde de personlige kontoene personlige, og ikke blande dem med-e-posten for arbeid eller arbeidsrelaterte oppgaver.
Pass også på at du bruker MFA. Sosiale manipulatorer leter vanligvis etter informasjon som påloggingsinformasjon. Ved å aktivere MFA vil ikke angriperen få tilgang til kontoene og personopplysningene dine, selv om vedkommende får brukernavnet og passordet ditt.8
Ikke åpne e-post eller vedlegg fra mistenkelige kilder. Hvis en venn sender deg en kobling du må klikke raskt på, må du sjekke med vennen din om meldingen faktisk kommer derfra. Stopp opp og spør deg selv om senderen er den vedkommende påstår å være, før du klikker på noe.
Stopp opp og bekreft
Vær oppmerksom på tilbud som er for gode til å være sanne. Du kan ikke vinne premie i konkurranser du ikke har deltatt i, og ingen utenlandsk konge kommer til å etterlate deg en haug med penger. Hvis det virker for fristende, foreta et raskt søk for å avgjøre om tilbudet er legitimt eller en felle.
Ikke del for mye på nettet. Sosiale manipulatorer trenger at målene stoler på dem for at svindelen skal lykkes. Hvis de ikke finner personopplysningene dine på sosiale medieprofiler, kan de bruke dem til å få svindelen til å virke mer legitim.
Sikre datamaskiner og enheter. Bruk antivirusprogrammer, brannmurer og e-postfiltre. Hvis en trussel finner veien til enheten din, har du beskyttelse på plass for å holde informasjonen din trygg.
«Når du får en tvilsom telefon eller e-post, er det viktig å bare sette ned farten og bekrefte. Mange gjør feil når de handler for fort, så det er viktig å minne de ansatte på at de ikke må reagere umiddelbart i slike typer situasjoner».
Jack Mott – Microsoft trusselinformasjon
Mer informasjon om hvordan du bidrar til å beskytte organisasjonen ved å se Tillitsrisikoen: Trusler og cyberforsvar for sosial manipulering.
- [2]
Innholdet i denne delen er hentet fra https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, Around 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Obs! Innholdet kommer fra https://go.microsoft.com/fwlink/?linkid=2263229