Sähköpostin vaarantamiseen tarvitaan vain tunnistetietojen kalastelua, käyttäjän manipulointia ja pelkkää sisua.
Vanhempi uhkatietämyksen analyytikko, Microsoft Threat Intelligence
Simeon Kakpovi halusi alun perin lääkäriksi, mutta ymmärsi pian, ettei se ollut häntä varten. "Vaihdoin pääainettani muutaman kerran ja päädyin opiskelemaan tietojärjestelmiä. Valitsin kyberturvallisuuden, koska mentorini toimivat alalla."
Howard Universityn toisen vuoden opiskelijana hän osallistui paikallisen Community Collegen kyberturvallisuusopetukseen, mikä johti Lockheed Martin Cyber Analyst Challenge -haasteeseen osallistumiseen. "He lähettivät meille postitse muistitikun, jossa oli 80 gigatavua dataa. Siitä seurasi ehkä hauskin asia, jota olen koskaan kokenut."
Haasteessa osallistujien tuli analysoida täysi kyberhyökkäys paketin sieppaamisen ja muistitiedostojen avulla. "Prosessin kautta ymmärsin kyberturvallisuutta suuressa mittakaavassa ja mietin, että sen parissa olisi mahtavaa työskennellä."
Tämä johti harjoittelupaikkaan Lockheed Martinilla sekä kybertaitopeli KC7:n luomiseen yhdessä muiden kanssa. "Monilla kyberturvallisuustunneilla opetetaan lyhenteitä ja epämääräisiä käsitteitä, koska oikean datan käyttömahdollisuutta ei ole. Tämä luo kehämäisen ongelman, koska taitoja ei voi kehittää ennen työpaikan saamista, mutta et voi saada työpaikkaa ilman taitoja."
Tänä päivänä Simeon johtaa Microsoftin analyytikkotiimiä, joka seuraa yli 30 iranilaista ryhmää. Vaikka tarkoitusperät ja toiminta vaihtelee, Simeonin mukaan kaikkia iranilaisia toimijoita yhdistää yksi piirre: sinnikkyys.
"Olemme johdonmukaisesti huomanneet, että Iran on hellittämätön ja kärsivällinen sekä valmis näkemään vaivaa ja käyttämään aikaa ja resursseja kohteidensa vaarantamiseksi. Iraniin yhdistettävät toimijat ovat hyvä muistutus siitä, että onnistumiseen ei tarvita nollapäivähaavoittuvuuden heikkoutta hyödyntäviä ohjelmia tai uusia hyökkäystekniikoita. Sähköpostin vaarantamiseen tarvitaan vain tunnistetietojen kalastelua, käyttäjän manipulointia ja pelkkää sisua."
"Käyttäjän manipulointi ei aina ole niin helppoa, kuin miltä se voi vaikuttaa. Olemme nähneet uhkaavien toimijoiden hyödyntävän niitä henkilökohtaisia tietoja, joita ihmiset kertovat itsestään sosiaalisessa mediassa käyttäjän manipulointikampanjoissa."
Esimerkiksi Crimson Sandstorm käyttää tekaistuja sosiaalisen median profiileja (hunajapurkkeja) ihmisiin kohdentamiseen heidän LinkedIn-profiilissaan julkaisemiensa työpaikkojen perusteella. Sitten muutaman kuukauden jakson aikana pyritään luomaan romanttinen suhde julkisista profiileista kerättyjen tietojen avulla luottamuksen ja yhteyden luomiseksi. Lopulta kohteelle lähetetään haitallisia BEC-tiedostoja, jotka on naamioitu videoiksi tai kyselyiksi. Koska suhteita kehitettiin pitkällä aikavälillä, kohteet ohittivat todennäköisemmin suojaushälytykset tiedostoja suoritettaessa.
Simon on havainnut, että iranilaisia uhkaavia toimijoita motivoi suuri joukko syitä. "Kun seurataan Mint Sandstormia ja valtionhallintojen kanssa toimiviin tahoihin kohdistuneita hyökkäyksiä, joskus ydinpolitiikka on ollut ajava tekijä. Kun kyseessä on ajatushautomo tai akateeminen oppilaitos, Iranin hallintoa kritisoivien tietojen julkaiseminen voi herättää uhkaavien toimijoiden ryhmän ärtymyksen. Tämä viittaa siihen, että ryhmät saattavat tietää Yhdysvaltojen tai muiden länsimaiden aseman käytäntöihin liittyen ja kohdentaa hyökkäyksiä henkilöihin, joilla on valtionhallinnolle hyödyllisiä tietoja."
Seuraa Microsoft Securitya