Trace Id is missing

Expertprofil: Simeon Kakpovi

Senior Threat Intelligence Analyst, Microsoft Threat Intelligence
 En person i kostym står och ler

Om man vill kompromettera e-post är allt man behöver nätfiske efter autentiseringsuppgifter, social manipulering och ren och skär ihärdighet.

Simeon Kakpovi
Senior Threat Intelligence Analyst, Microsoft Threat Intelligence

Simeon Kakpovi ville till en början bli läkare, men insåg snart att det var inte där hans kall låg. ”Jag bytte huvudämne ett par gånger och det blev till slut informationssystem. Jag fastnade för cybersäkerhet eftersom mina handledare jobbade inom det fältet.”

Som andraårsstudent vid Howard University läste han ytterligare cybersäkerhetskurser vid en lokal högskola, vilket så småningom tog honom till The Lockheed Martin Cyber Analyst Challenge. ”De skickade oss ett USB-minne med 80 gigabyte data. Vad som hände sedan är bland det roligaste jag någonsin upplevt.”

Utmaningen låg i att deltagarna skulle analysera ett fullskaligt cyberintrång med hjälp av paketinspelning och minnesfiler. ”Tack vare den processen fick jag en helthetsbild av cybersäkerhetsproblematiken, och jag tänkte att det här skulle jag älska att jobba med.”

Det ledde i sin tur till en praktikplats hos Lockheed Martin och till att han blev en medskaparna av cyberskicklighetsspelet KC7. ”I många kurser i cybersäkerhet bedrivs undervisningen genom att man använder sig av akronymer och vaga begrepp eftersom man inte har tillgång till faktiska data. Det skapar en moment 22-problematik eftersom du inte kan förvärva några färdigheter förrän du börjar jobba, samtidigt som du å andra sidan inte kan få något jobb om du inte besitter färdigheterna.”

Idag är Simeon chef för Microsofts team av analytiker som spårar mer än 30 iranska grupper. Även om de skiljer sig åt vad gäller motivation och typ av aktivitet, så har Simeon noterat att alla iranska aktörer  har ett drag gemensamt: målmedvetenhet.

”Vi har gång på gång kunnat konstatera att iranierna är mycket ihärdiga och tålmodiga, och villiga att ägna mycket tid, kraft och resurser åt att kompromettera sina mål. Aktörer länkade till Iran utgör en viktig påminnelse om att man inte behöver utnyttja dag noll-sårbarheter eller nya offensiva tekniker för att lyckas. Om man vill kompromettera e-post är allt man behöver  nätfiske efter autentiseringsuppgiftersocial manipulering och ren och skär ihärdighet.”

”Social manipulering är inte alltid så enkelt som det kan framstå. Vi har sett hotaktörer utnyttja den personliga information som människor lägger ut om sig själva på sociala medier  under sociala manipuleringskampanjer.”

 Crimson Sandstorm  använder exempelvis falska profiler i sociala medier (honungsfällor) för att rikta in sig mot personer utifrån de jobb de har angett i sina LinkedIn-profiler. Därefter, under en period på några månader, försöker de etablera romantiska relationer genom att utnyttja den information de samlat in från offrens offentliga profiler för att etablera tillit och ett gott förhållande, varefter de skickar offren e-postmeddelanden med skadliga filer maskerade som videor eller enkäter. Och eftersom dessa relationer utvecklas under lång tid så är sannolikheten relativt stor att offren ignorerar säkerhetsvarningarna när de öppnar filerna.

Simon noterar att iranska  hotaktörer  drivs av flera olika motivationsfaktorer. ”När vi spårade  Mint Sandstorm  och attacker mot organisationer som samarbetar med myndigheter, så kunde vi se att kärnvapenpolitik var en drivkraft. Tankesmedjor eller akademiska institutioner som publicerar information med kritik mot den iranska regeringen kan väcka vrede hos vissa hotaktörsgrupper. Det tyder på att de kan känna till hur USA och andra västländer kommer att positionera sig i kärnvapenfrågan, och att de kan rikta in sig på individer som sitter på information som kan vara användbar för deras regering.”

Relaterade artiklar

En extern attackytas anatomi

Cybersäkerhetsvärlden blir alltmer komplex i takt med att allt fler organisationer flyttar ut i molnet och övergår till decentraliserat arbete. Idag omspänner den externa attackytan flera moln, komplexa digitala försörjningskedjor och enorma ekosystem från tredje part.

Cyber Signals Issue 4: Nya tillvägagångssätt ger upphov till ett ökat antal e-postintrång hos företag

Kompromettering av företags e-post (BEC) är ett växande hot nu när cyberbrottslingarna kan dölja attackernas källa så att de blir ännu mer skadliga. Läs mer om CaaS (Cyber-crime-as-a Service) och hur du kan skydda din organisation.

Cyber Signals Issue 1: Identiteten är det nya slagfältet

Identiteten är det nya slagfältet. Få insikter om framväxande cyberhot och vilka steg du kan vidta för att bli bättre på att skydda din organisation.

Följ Microsoft Security