I en alltmer online-orienterad värld, där förtroende är såväl en valuta och som en sårbarhet, försöker hotaktörerna manipulera människors beteende och dra nytta av deras tendens att vilja vara till hjälp. I den här infografiken kommer vi att utforska social manipulering, och även varför hotaktörer värderar professionella identiteter högre än alla andra. Vi tar också en titt på några av de sätt på vilka brottslingarna använder social manipulering för att uppnå sina mål.
Livnär sig på förtroendeekonomin: bedrägeri med social manipulering
Social manipulering och nätfiskets lockelse för kriminella
Ungefär 901 procent av nätfiskeattackerna inbegriper social manipulering genom vilken offren – vanligtvis via e-post – manipuleras till att avslöja känslig information, klicka på skadliga länkar eller öppna skadliga filer. Nätfiskeattacker är kostnadseffektiva för angriparna, och lätta att anpassa så att motåtgärder kan undvikas, och de har en hög framgångsprocent.
Påtryckningsmedlen för mänskligt beteende
Social manipulering utgår oftast från angriparens förmåga att vinna tillit och genom övertalning förmå sina offer att vidta åtgärder som de i normala fall aldrig skulle göra. Tre effektiva påtryckningsmedel är angelägenhet, känslor och vana.2 Angelägenhet Ingen vill gå miste om en möjlighet innan det är för sent eller inte kunna hålla en viktig deadline. Känslan av angelägenhet, eller brådska, kan ofta få även en i vanliga fall rationell person att lämna ifrån sig personliga uppgifter.
Exempel: Falsk angelägenhet
”Det främsta kännemärket på ett e-postmeddelande med nätfiske är att det ofta innehåller en begränsande tidsram av något slag. De vill pressa dig till att fatta ett beslut inom denna tidsram.”
Jack Mott – Microsoft Threat Intelligence
Känslor
Känslomässig manipulation kan ge cyberangriparna ett övertag, eftersom människor är mer benägna att vidta riskfyllda handlingar när de är känslomässigt påverkade, särskilt om det handlar om känslor som rädsla, skuld eller ilska.
Exempel: Känslomässig manipulation
Det mest effektiva lockbete jag någonsin sett var ett mycket kort e-postmeddelande där det stod att avsändaren hade kontrakterats av min make för att förbereda skilsmässopappren. Sedan stod det: ”Ladda ned en kopia genom att klicka på länken.”
Sherrod DeGrippo – Microsoft Threat Intelligence
Vana
Cyberbrottslingarna är mycket intresserade av mänskligt beteende, och de ägnar särskild uppmärksamhet åt de typer av vanor och rutiner som människor ofta utför ”per automatik”, utan att egentligen tänka på vad de gör.
Exempel: Etablerade vanor
I en teknik som är känd som ”quishing”3, utger sig bedragarna för att representera ett väletablerat företag och ber mottagaren att skanna en QR-kod i e-postmeddelandet. De kan exempelvis säga att du måste skanna koden eftersom din betalning av en faktura inte gått igenom, eller att du måste återställa ditt lösenord.
”Hotaktörerna anpassar sig efter verksamhetens rytm. De är bra på att använda beten som passar in i det sammanhang där vi tar emot dem.”
Jack Mott – Microsoft Threat Intelligence
Gränsen mellan de anställdas personliga och professionella konton kan ibland vara lite oklar. Anställda kan använda sina e-postadresser på arbetet för personliga konton de använder i jobbsyfte. Detta är något som hotaktörer ibland försöker dra nytta av genom att under falskt flagg försöka få tillgång till en anställds företagsinformation.
I nätfiskebedrägerier med e-post utnyttjar cyberbrottslingarna sina ”bulvaner” för att få tag i företagens e-postadresser. Personliga webbmailadresser är inte av intresse. E-postadresserna på arbetet är desto mer värdefulla. Därför försöker de genom tangentbordsattacker komma åt dessa konton.
Jack Mott – Microsoft Threat Intelligence
Det utdragna duperandet
Attacker genom social manipulering tar oftast lite längre tid. Sociala manipulatörer tenderar att bygga upp förtroendet hos sina offer under en längre tid med hjälp av arbetsintensiva tekniker som börjar med efterforskning. Den här typen av manipuleringscykel kan se ut så här:
- Undersökning: Teknikerna identifierar ett offer och samlar in bakgrundsinformation, exempelvis potentiella intrångspunkter eller säkerhetsprotokoll.
- Infiltrera: Teknikerna fokuserar på att etablera förtroende hos offret. De hittar på en historia som offret går på, och tar kontroll över interaktionen så att de kan styra den på ett sätt som gynnar dem.
- Exploatera: Med tiden lyckas de sociala manipulatörerna komma över offrets information. Vanligtvis lämnar offret över denna information villigt, och teknikerna kan använda den till sin fördel för att få tillgång till ännu mer konfidentiell information.
- Avsluta: En social manipulatör kan enkelt avsluta interaktionen på ett naturligt sätt. En skicklig tekniker kan göra detta utan att få offret att misstänka något alls
BEC-attacker står ut inom cyberbrottsindustrin genom deras tonvikt på social manipulering och konsten att bedra. Lyckade BEC-attacker kostar olika organisationer hundratals miljoner dollar varje år. 2022 registrerade Federal Bureau of Investigation (FBI) Internet Crime Complaint Center reglerade förluster på mer än 2,7 mijarder USD för 21 832 fall av kompromettering av företags e-post.4
De populäraste BEC-målen är VD:ar och andra chefer, finansansvariga och personalansvariga med tillgång till personaluppgifter som personnummer, skattebesked och annan personligt identifierbar information. Nyanställda, som kanske är mindre benägna att verifiera e-postbegäranden från obekanta, är också utsatta.
Nästan alla typer av BEC-attacker är på uppåtgående. Vanliga typer av kompromettering av företags e-post är:5
- Direkta e-postangrepp (DEC): Komprometterade e-postkonton används för att genom social manipulering ändra redovisningsroller internt eller för tredje part, så att pengar kan överföras till angriparens bankkonto eller betalningsinformationen ändras för ett befintligt konto.
- Angrepp mot leverantörs e-post (DEC): Social manipulering av en befintlig leverantörsrelation kan göras genom att man kapar ett betalningsrelaterat e-postmeddelande och utger sig för att vara anställd på företaget, så att man kan övertyga en leverantör att omdirigera utestående betalningar till ett annat bankkonto än det normala.
- Bedrägeri med falska fakturor: Social manipulering i stor skala kan vara att man utnyttjar välkända varumärken och lyckas övertyga företag att betala förfalskade fakturor.
- Imitation av juridiskt ombud: Genom att utnyttja betrodda relationer med stora, välkända advokatbyråer kan manipulatören öka sin trovärdighet hos chefer för små och nystartade företag och få dem att slutföra betalning av utestående fakturor, särskilt inför viktiga händelser som börsnoteringar. Omdirigeringen av betalningen till ett otillåtet bankkonto sker i samband med att man når en överenskommelse om betalningsvillkoren.
Octo Tempest
Octo Tempest är en ekonomiskt motiverad grupp av infödda engelsktalande hotaktörer som är kända för att köra omfattande kampenjer som företrädesvis av tekniker som AiTM (Adversary-in-The-Middle), social manipulering och SIM-byte.
Octo Tempest är en ekonomiskt motiverad grupp av infödda engelsktalande hotaktörer som är kända för att köra omfattande kampenjer som företrädesvis av tekniker som AiTM (Adversary-in-The-Middle), social manipulering och SIM-byte.
Diamond Sleet
I augusti 2023 angrep Diamond Sleet den tyska mjukvaruleverantören JetBrains programvaruförsörjningskedja, varvid flera servrar för byggande, testning och distribution av programvara komprometterades. Eftersom Diamond Sleet framgångsrikt har infiltrerat byggmiljöer tidigare, så bedömer Microsoft att den här typen av aktivitet utgör en särskilt hög risk för de organisationer som påverkas.
I augusti 2023 angrep Diamond Sleet den tyska mjukvaruleverantören JetBrains programvaruförsörjningskedja, varvid flera servrar för byggande, testning och distribution av programvara komprometterades. Eftersom Diamond Sleet framgångsrikt har infiltrerat byggmiljöer tidigare, så bedömer Microsoft att den här typen av aktivitet utgör en särskilt hög risk för de organisationer som påverkas.
Sangria Tempest6
Sangria Tempest, även kallade FIN, är kända för att rikta sig in sig på restaurangbranschen och stjäla betalkortsdata. Ett av deras mest effektiva lockbeten gäller en anklagelse om matförgiftning. Mer information utlovas i en bifogad fil med skadligt innehåll.
Sangria Tempest, även kallade FIN, är kända för att rikta sig in sig på restaurangbranschen och stjäla betalkortsdata. Ett av deras mest effektiva lockbeten gäller en anklagelse om matförgiftning. Mer information utlovas i en bifogad fil med skadligt innehåll.
Sangria Tempest, som främst är östeuropeisk, har använt underjordiska forum för att rekrytera personer med engelska som modersmål, och som utbildas i hur man ringer upp offret för e-postbluffen. Gruppen har stulit tiotals miljoner betalkortsdata genom den här processen.
Midnight Blizzard
Midnight Blizzard är en Rysslandsbaserad hotaktör som är känd för att främst rikta in sig på regeringar, diplomatiska organ, icke-statliga organisationer och IT-tjänsteleverantörer främst i USA och Europa.
Midnight Blizzard är en Rysslandsbaserad hotaktör som är känd för att främst rikta in sig på regeringar, diplomatiska organ, icke-statliga organisationer och IT-tjänsteleverantörer främst i USA och Europa.
Midnight Blizzard använder sig av lockbeten i Teams-meddelanden i syfte att stjäla autentiseringsuppgifter från en organisation genom att förmå en användare att genomföra en bedräglig multifaktorautentisering.
Visste du detta?
Microsoft har ändrat sin strategi för namngivning av hotaktörer, och har nu en ny namnklassificering för hotaktörer som hämtar inspiration från väderrelaterade teman.
Microsoft har ändrat sin strategi för namngivning av hotaktörer, och har nu en ny namnklassificering för hotaktörer som hämtar inspiration från väderrelaterade teman.
Även om attacker med social manipulering kan vara sofistikerade, så finns det många saker du kan göra för att förhindra dem.7 Om du är smart när det gäller din integritet och säkerhet kan du besegra angriparna i deras eget spel.
Instruera först användarna att hålla sina personliga konton personliga och att inte använda dem för arbetsrelaterade e-postmeddelanden eller uppgifter.
Var också noga med att se till att multifaktorautentisering alltid används. Den typ av information som sociala manipulatörer oftast söker är inloggningsuppgifter och liknande. Om du har aktiverat multifaktorautentisering kan en angripare inte få tillgång till dina konton eller personliga uppgifter, även om angriparen har kommit över ditt användarnamn och lösenord.8
Öppna inte e-postmeddelanden eller bifogade filer från misstänkta källor. Om en vän skickar en länk till dig som du måste klicka på omgående, så kolla med din vän om meddelandet verkligen kommer från honom eller henne. Avvakta och fråga dig själv om avsändaren verkligen är den som den utger sig för att vara, innan du klickar på något.
Avvakta och verifiera
Var misstänksam mot erbjudanden som verkar vara för bra för att vara sanna. Du kan inte vinna på ett lotteri som du inte deltagit i, och du kan inte helt plötsligt få en stor summa pengar genom utländska royaltyer. Om erbjudandet verkar alltför frestande, så gör en snabb sökning och kontrollera om det är legitimt eller en fälla.
Dela inte för mycket online. De sociala manipulatörerna behöver sina offers förtroende om deras begrägerier ska fungera. Om de kan hitta dina personliga uppgifter via dina sociala medieprofiler, så kan de med hjälp av dessa få sina bedrägerier att verka mer legitima.
Skydda dina datorer och dina enheter. Använd antivirusprogram, brandväggar och e-postfilter. I händelse av att ett hot skulle ta sig ända till din enhet, så har du skydd på plats som håller din information säker.
”När du får ett tvivelaktigt telefonsamtal eller e-postmeddelande, så är nyckeln helt enkelt att ta det lugnt och verifiera. Människor begår ofta misstag när de agerar för snabbt. Därför är det viktigt att påminna de anställda om att de inte behöver reagera omedelbart i den här typen av situationer.”
Jack Mott – Microsoft Threat Intelligence
Lär dig mer om hur du kan bidra till att skydda din organisation, genom att titta på Tillitens risker: Hoten från social manipulering och cyberförsvar.
- [2]
Innehållet i det här avsnittet har hämtats från https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, cirka 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Obs! Innehållet kommer från https://go.microsoft.com/fwlink/?linkid=2263229