Social manipulation svårare att upptäcka än du tror

Social manipulation utgör lejonparten av alla cyberattacker, men en rapport från Proofpoint pekar på fem vanliga antaganden kring social manipulation som inte bara är fel utan också upprepade gånger utnyttjas i attackerna.

Cyberkriminella är beredda att ta till kreativa och ibland ovanliga metoder för att utföra socialt manipulativa kampanjer, vilket gör det ännu svårare för användare att inte falla offer för dem. Här tar vi upp fem missuppfattningar, såsom de presenteras av Proofpoint, kring social manipulation, och som kan förvärra attackerna.

1. Hotaktörer för inte samtal med måltavlor

Tanken att angripare inte investerar tid och möda till att konversera med offren för att skapa en förbindelse är bristfällig. Under det senaste året har det observerats många angripare som skickat oförargliga mejl för att initiera en konversation.

”Effektiv social manipulation handlar om att skapa känslor hos en användare som mentalt driver dem till att ta del av innehåll. Genom att skicka oförargliga mejl i syfte att lura in användaren i en falsk känsla av säkerhet kan angriparen lägga grunden för en relation som blir enklare att utnyttja”, står det i rapporten.

2. Legitima tjänster är säkra från missbruk av social manipulation

Användare kan bli mer villiga att interagera med innehåll om det ser ut att komma från en källa de känner igen och har förtroende för. Men angriparna missbrukar regelbundet tjänster som molnlagring och innehållsnätverk (content distribution networks, CDN) för att lagra och distribuera skadlig kod likväl som portaler för att samla in inloggningsuppgifter.

”Hotaktörer kan föredra att distribuera skadlig kod via legitima tjänster för att sannolikheten att slinka igenom skyddsmekanismer i e-postsystemen är större jämfört med skadliga dokument. Att skydda sig mot hot via legitima tjänster kan bli svårt eftersom det sannolikt involverar en implementation av robusta system för upptäckt, eller policy-baserad blockering av tjänster som är relevanta för företagets verksamhet”, står det i rapporten.

Analyser på kampanjnivå identifierade Onedrive som den tjänst som mest missbrukas av de största hotaktörerna, följt av Google Drive, Dropbox, Discord, Firebase och Sendgrid.

3. Angripare använder endast datorer, inte telefoner

Det finns en tendens till att anta att sociala manipulationsattacker begränsas till e-post, men det har skett en ökning av attacker som involverar interaktion över telefoner. Dessa drar nytta av ett robust ekosystem av callcenter-baserade e-posthot.

”Själva e-postmeddelandet innehåller inga skadliga länkar eller bifogade filer och individerna måste proaktivt ringa till ett falskt kundtjänstnummer inkluderat i meddelandet för att interagera med hotaktören. Proofpoint observerar varje dag över 250 000 av denna typ av attacker.”

Rapporten har identifierat två typer av aktiviteter här – en som använder gratis, legitima mjukvaror för fjärrassistans för att stjäla pengar, och en annan typ som använder skadlig kod inbäddat i ett dokument för att kompromettera en dator. Den senare typen associeras ofta med skadlig kod som BazaLoader, eller BazaCall med ett annat namn.

Offren kan förlora tiotusentals dollar på grund av dessa attacker. Det finns exempel där en person förlorade nästan 50 000 dollar i en attack där förövaren utgav sig för att vara en representant för Norton Lifelock.

4. Det är säkert att svara på existerande e-postkonversationer

Den känsla av förtroende och säkerhet som omger existerande e-postkonversationer utnyttjas av bedragare genom konversationskapning. ”En angripare som använder den här metoden utnyttjar offrets tillit till existerande e-postkonversationer. En mottagare förväntar sig typiskt ett svar från avsändaren och blir därmed mer benägen att interagera med ett injekterat innehåll”, säger rapporten.

För att framgångsrikt kapa en existerande konversation behöver angriparen få tillgång till legitima användares inkorgar, vilket kan uppnås på olika sätt inklusive nätfiske, skadlig kod, tillgängliga inloggningsuppgifter på hackerforum, eller lösenordsattacker.

Angripare kan också kapa en hel e-postserver eller hela e-postboxar och automatiserat skicka svar från botnät som kontrolleras av angriparna.

5. Bedragare använder endast affärsrelaterat innehåll som bete

Medan illvilliga aktörer ofta riktar in sig på anställda på företagen är det fel att anta att de bara använder arbetsrelaterat innehåll som beten. Faktum är att aktörerna i hög utsträckning kapitaliserar på aktuella händelser, nyheter och populärkultur för att få folk att engagera sig i skadligt innehåll. Rapporten nämner flera kampanjer från förra året som använde den här metoden:

• BazaLoader-attacker som utnyttjar Alla hjärtans dag med teman som blommor och underkläder.
• TA575 som riktade sig till användare i USA och distribuerade banktrojanen Dridex med teman kring Netflix-serien Squid Game.
• En kampanj för att lura till sig personuppgifter med ett tema från amerikanska skatteverket IRS som utlovade extra skatteåterbäring.
• I genomsnitt sex miljoner bedrägliga mejl per dag under 2021 på temat COVID-19.

Företag måste träna anställda i taktiker kring social manipulation och punktera missuppfattningar

Med tanke på både kreativiteten inom social manipulation och de missuppfattningar kring de metoder som bedragare använder måste organisationer engagera sig tillsammans med medarbetarna för att öka vaksamheten för de reella hot som social manipulation innebär och vända de mentaliteter som gör oss sårbara.

”För alla organisationer gäller att den mest effektiva vägen framåt är att förändra kulturen fram mot en inställning där identifiering av inkommande hot uppfattas som både relevant och nödvändigt. Detta innebär att uppmuntra till att man bekantar sig med den breda flora av innehåll som hotaktörer kan utnyttja och att minska hindren för att mer regelbundet flagga innehåll som potentiellt farligt”, skriver Proofpoint i sin rapport.

För säkerhetskonsulten Raef Meeuwisse, som även författat boken ”How to Hack a Human: Cybersecurity for the Mind”, behöver anställda förstå att de mest övertygande lurendrejerierna kring social manipulation ofta framstår som minst lika autentiska som de saker de interagerar med i sina dagliga arbeten.

– Lapsus$ gick så långt som att skicka ut äkta begäranden om flerfaktorsautentisering över mobilen via den riktiga säkerhetsplattformen till riktiga användare, och många av de falska begärandena godkändes av mottagarna, säger Raef Meeuwisse.

Meeuwisse säger att det bästa sättet att få anställda att få upp ögonen för social manipulation är att göra dem uppmärksamma på situationer som skapar plötslig panik eller en brådska att gripa till handling, med tillägg att om användaren upplever bägge dessa symptom tillsammans, är det i 99,99 procent av fallen en social manipulation de är mitt uppe i.

– Och, naturligtvis borde anställda få träning i att rapportera potentiella sociala manipulationsaktiviteter till den grupp som tar hand om incidentrapporter, och som kan ge råd i osäkra fall, säger Raef Meeuwisse.

Men när det kommer till att punktera myterna om social manipulation ger Meeuwisse även rådet till företagen att vara uppmärksamma på att riskerna inte alltid kommer från utsidan.

– Det som glöms bort eller förbises är metoderna för att rapportera, kolla och övervaka folk som avsiktligt nästlat sig in i en position för att exploatera organisationen, säger Meeuwisse.

– Det här är ett betydligt större problem än vad många organisationer tror eftersom stora intrång till följd av en skurk på insidan sällan förmedlas till media, men statistiken visar att problemet med insiders är stort.

Om en organisation inte gör tillräckliga bakgrundskontroller, inte har några mekanismer för anonyma visselblåsare, eller (som i de två fall han sett) har en insider vars uppgift är att granska andra insiders, då har organisationen en stor lucka i sitt försvar mot social manipulation, enligt Raef Meeuwisse.