รับข้อมูลเชิงลึกจากผู้เชี่ยวชาญโดยตรงในพ็อดแคสต์ Microsoft Threat Intelligence ฟังเลย
ในตอนแรก Simeon Kakpovi อยากเป็นหมอ แต่ไม่นานก็ตระหนักได้ว่าการเป็นหมอไม่ใช่สิ่งที่เขาต้องการ “ฉันเปลี่ยนวิชาเอกสองสามครั้งและจบลงที่เทคโนโลยีสารสนเทศ ฉันเข้าสู่การรักษาความปลอดภัยทางไซเบอร์ เพราะที่ปรึกษาของฉันอยู่ในสาขานี้”
ในฐานะนักศึกษาปีที่สองที่ Howard University เขาได้เข้าเรียนหลักสูตรการรักษาความปลอดภัยทางไซเบอร์เพิ่มเติมที่วิทยาลัยชุมชนท้องถิ่น ซึ่งท้ายที่สุดก็นำเขาไปสู่การแข่งขันนักวิเคราะห์ทางไซเบอร์ที่ Lockheed Martin “พวกเขาส่งธัมบ์ไดรฟ์ที่มีข้อมูลขนาด 80 กิกะไบต์มาให้เรา สิ่งที่เกิดขึ้นต่อไปคือหนึ่งในความสนุกที่สุดที่ฉันเคยเจอ”
การแข่งขันนี้ทำให้ผู้เข้าร่วมต้องวิเคราะห์การบุกรุกทางไซเบอร์เต็มรูปแบบโดยใช้การจับแพ็กเก็ตและไฟล์หน่วยความจำ “ด้วยกระบวนการนั้น ฉันตระหนักถึงภาพรวมของการรักษาความปลอดภัยทางไซเบอร์ และคิดว่า ‘ฉันอยากจะทำเช่นนี้เพื่อหาเลี้ยงชีพ’”
และด้วยเหตุผลนั้นจึงนำไปสู่การฝึกงานที่ Lockheed Martin และทำให้เขาร่วมสร้างเกมทักษะทางไซเบอร์ KC7 “ชั้นเรียนการรักษาความปลอดภัยทางไซเบอร์จำนวนมากสอนโดยใช้คำย่อและแนวคิดที่คลุมเครือ เนื่องจากไม่สามารถเข้าถึงข้อมูลจริงได้ สิ่งนี้สร้างปัญหาแบบต่อเนื่อง เพราะคุณไม่สามารถมีทักษะได้จนกว่าคุณจะได้งาน แต่คุณไม่สามารถหางานได้ เว้นแต่คุณจะมีทักษะ”
ปัจจุบัน Simeon เป็นผู้นำทีมนักวิเคราะห์ของ Microsoft ที่ติดตามกลุ่มชาวอิหร่านมากกว่า 30 กลุ่ม แม้ว่าจะมีแรงจูงใจและกิจกรรมที่แตกต่างกันออกไป แต่ Simeon ก็ตั้งข้อสังเกตว่า ผู้คุกคามชาวอิหร่าน ทุกคนมีคุณลักษณะที่เหมือนกัน นั่นคือ ความดื้อรั้น
“เราพบมาโดยตลอดว่าชาวอิหร่านมีความแน่วแน่และอดทน และเต็มใจที่จะใช้ความพยายาม เวลา และทรัพยากรเพื่อโจมตีเป้าหมายของพวกเขา ผู้คุกคามที่มีความเชื่อมโยงกับชาวอิหร่านมีเครื่องเตือนใจที่ดีว่าคุณไม่จำเป็นต้องใช้ซอฟต์แวร์ที่มีช่องโหว่แบบ 0-day หรือเทคนิคที่น่ารังเกียจใหม่ๆ เพื่อให้ประสบความสำเร็จ สิ่งที่จำเป็นต้องใช้ในการโจมตีอีเมลคือ การฟิชชิ่งข้อมูลประจำตัว การโจมตีแบบวิศวกรรมสังคม และการใช้ข้อมูลบางอย่าง
“การโจมตีแบบวิศวกรรมสังคมไม่ได้ง่ายอย่างที่คิดเสมอไป เราได้เห็นผู้ดำเนินการภัยคุกคามใช้ประโยชน์จากข้อมูลส่วนบุคคลที่ผู้คนเปิดเผยเกี่ยวกับตนเองในโซเชียลมีเดีย ระหว่างแคมเปญการโจมตีแบบวิศวกรรมสังคม”
ตัวอย่างเช่น Crimson Sandstorm ใช้โปรไฟล์โซเชียลมีเดียปลอม (ฮันนีพอต) โดยกำหนดเป้าหมายไปที่บุคคลตามงานที่พวกเขาแสดงไว้ในโปรไฟล์ LinkedIn จากนั้นในช่วงไม่กี่เดือน พวกเขาพยายามที่จะสร้างความสัมพันธ์เชิงชู้สาวโดยใช้ระบบอัจฉริยะที่รวบรวมจากโปรไฟล์สาธารณะเพื่อสร้างความไว้วางใจและความเป็นมิตร ในที่สุดก็ส่ง BEC ไฟล์ที่เป็นอันตรายไปยังเป้าหมายที่หลอกลวงว่าเป็นวิดีโอหรือแบบสำรวจ แต่เนื่องจากความสัมพันธ์เหล่านี้มีการพัฒนาในช่วงเวลาที่ยาวนาน เป้าหมายจึงมีแนวโน้มที่จะเพิกเฉยต่อการแจ้งเตือนด้านความปลอดภัยเมื่อพวกเขาเรียกใช้ไฟล์
Simon สังเกตว่า ผู้ดำเนินการภัยคุกคาม ชาวอิหร่านได้รับแรงบันดาลใจจากเหตุผลหลายประการ “เมื่อติดตาม Mint Sandstorm และการโจมตีหน่วยงานที่ทำงานร่วมกับรัฐบาล บางครั้งนโยบายนิวเคลียร์ก็เป็นแรงขับเคลื่อน ด้วยกลุ่มผู้เชี่ยวชาญหรือสถาบันการศึกษา การเผยแพร่ข้อมูลที่วิพากษ์วิจารณ์รัฐบาลอิหร่านสามารถเพิ่มความโกรธแค้นให้กับกลุ่มผู้ดำเนินการภัยคุกคามได้ นั่นแสดงให้เห็นว่าพวกเขาอาจรู้ว่าสหรัฐฯ หรือประเทศตะวันตกอื่นๆ จะวางตำแหน่งตนเองในแง่ของนโยบายอย่างไร และกำหนดเป้าหมายบุคคลด้วยข้อมูลที่เป็นประโยชน์ต่อรัฐบาลของพวกเขา”
ติดตาม Microsoft