Als je e-mail wilt compromitteren, heb je alleen phishing naar referenties, social engineering en puur lef nodig.
Senior analist van bedreigingsinformatie, Microsoft Bedreigingsinformatie
Simeon Kakpovi wilde eerst een dokter worden, maar hij realiseerde zich al snel dat het niet zijn roeping was. "Ik ben een paar keer overgestapt van hoofdvak en kwam uit bij informatiesystemen. Ik ben beland bij cyberbeveiliging omdat mijn mentoren zich in het veld bevonden."
In het tweede jaar aan Howard University volgde hij extra lessen in cyberbeveiliging op de lokale school voor beroepsonderwijs. Dit leidde tot zijn deelname aan de Lockheed Martin-uitdaging voor cyberanalisten. "Ze stuurden ons een USB-stick met 80 gigabyte aan gegevens. Hierop volgde een hele leuke tijd."
De uitdaging voor deelnemers was om een volledige cyberinbraak te analyseren met gebruik van pakketopname en geheugenbestanden. "Tijdens dat proces realiseerde ik me de grote lijnen van cyberbeveiliging. Ik dacht: 'Hier wil ik mijn beroep van maken.'"
Dat leidde tot een stage bij Lockheed Martin en de cocreatie van de game KC7 voor de ontwikkeling van cybervaardigheden. "In veel lessen in cyberbeveiliging leer je afkortingen en vage concepten, omdat ze geen toegang hebben tot werkelijke gegevens. Dat veroorzaakt een circulair probleem: je kunt de vaardigheden niet opdoen zonder de baan, maar je krijgt de baan niet zonder de vaardigheden."
Tegenwoordig leidt Simeon het Microsoft-team van analisten die meer dan 30 Iraanse groepen volgen. Hoewel ze zich onderscheiden in drijfveren en activiteit, merkt Simeon op dat alle Iraanse actoren een gemeenschappelijke eigenschap hebben: volharding.
"We constateren voortdurend dat Iran volhardend en geduldig is. Ze willen moeite doen, de tijd nemen en middelen uitgeven om hun doelen te compromitteren. Actoren die aan Iran worden gekoppeld, herinneren eraan dat je geen zero-day software of nieuwe aanvalstechnieken hoeft te gebruiken om succesvol te zijn. Als je e-mail wilt compromitteren, heb je alleen phishing naar referenties, social engineering en puur lef nodig."
"Social engineering is niet altijd zo eenvoudig als het misschien lijkt. We hebben gezien dat bedreigingsactoren gebruikmaken van de persoonlijke gegevens die personen over zichzelf onthullen op sociale media tijdens social engineering-campagnes."
Bijvoorbeeld Crimson Sandstorm gebruikt nepprofielen op sociale media ('honeypots') die zich richten op individuen op basis van de functies die ze vermelden op hun LinkedIn-profiel. In een periode van een paar maanden proberen ze vervolgens met vertrouwen en verstandhouding romantische relaties op te bouwen, gebruikmakend van de intelligentie die is verzameld van openbare profielen. Uiteindelijk sturen ze BEC-doelen schadelijke bestanden die vermomd zijn als video's of enquêtes. Omdat deze relaties echter zijn opgebouwd in een langere tijdsperiode, is het waarschijnlijker dat de doelen de beveiligingswaarschuwingen negeren wanneer ze de bestanden uitvoeren.
Simeon observeert dat Iraanse bedreigingsactoren gemotiveerd zijn door uiteenlopende redenen. "Wanneer we Mint Sandstorm en aanvallen op instellingen die met overheden samenwerken volgen, is nucleair beleid soms de drijfveer. Denktanks of academische instellingen die kritische informatie over de Iraanse overheid publiceren, kunnen de woede van een groep bedreigingsactoren veroorzaken. Dat veronderstelt dat ze mogelijk weten hoe de Verenigde Staten of andere westerse landen zichzelf positioneren wat betreft beleid en dat ze zich richten op individuen met informatie die nuttig is voor hun overheid."
Volg Microsoft Beveiliging