Social manipulation

Når malwareskabere bruger teknikker til social manipulation, der kan lokke en uforsigtige bruger til at åbne en inficeret fil eller åbne et link til en inficeret hjemmeside. Mange e-mailorme og andre former for malware bruger disse metoder.

Ormeangreb

Den cyberkriminelle vil forsøge at henlede brugerens opmærksomhed på linket eller den inficerede fil – og så få brugeren til at klikke på den.

Eksempler på denne type angreb kan være:

• Ormen LoveLetter, som overbelastede mange virksomheders e-mailservere i 2000. Ofrene modtog en mail, som opfordrede dem til at åbne det vedhæftede kærlighedsbrev. Da de åbnede den vedhæftede fil, kopierede ormen sig selv til alle kontakter i ofrets adressebog. Ormen betragtes stadig som en af de mest ødelæggende – med hensyn til de tab, den var årsag til.
• E-mailormen Mydoom – som viste sig på internettet i januar 2004 – anvendte tekster, der imiterede tekniske meddelelser udstedt af mailserveren.
• Ormen Swen udgav sig for at være en meddelelse, der var blevet sendt fra Microsoft. Den hævdede, at den var en systemrettelse, der ville fjerne sårbarheder i Windows. Det er næppe overraskende, at mange mennesker tog påstanden alvorligt og forsøgte at installere den falske "systemrettelse" - selv om det var en orm.

Leveringskanaler for malwarelinks

Links til inficerede websteder kan sendes via e-mail, ICQ og andre IM-systemer – eller endda via IRC-chatrum. Mobilvira leveres ofte via sms-besked.

Uanset hvilken metode, der anvendes, vil meddelelsen som oftest indeholde iøjnefaldende eller fængslende ord, der opmuntrer den intetanende bruger til at klikke på linket. Denne metode til at trænge ind i et system gør det muligt for malwaren at omgå mailserverens antivirusfiltre.

Peer-to-peer (P2P) netværksangreb

P2P-netværk anvendes også til at distribuere malware. En orm eller en trojansk virus vises på P2P-netværket, men navngives på en måde, der sandsynligvis vil tiltrække opmærksomhed og få brugere til at downloade og åbne filen – f.eks.:

• AIM & AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• Play Station emulator crack.exe

Sikring af, at ofrene ikke rapporterer malwareinficeringen

I nogle tilfælde kan malwareskabere og -distributører sørge for, at sandsynligheden for, at ofre rapporterer en inficering, reduceres:

Ofre reagerer f.eks. på et falsk tilbud om et gratis hjælpeprogram eller en guide, som lover:

• Gratis internet og mobilkommunikation
• Mulighed for at downloade en generator til kreditkortnumre
• En metode til at forøge offerets online kontobalance… eller andre ulovlige fordele

I disse tilfælde, når downloaden viser sig at være en trojansk virus, vil offeret gerne forhindre at blive afsløret i deres egne ulovlige hensigter. Derfor vil ofret sandsynligvis ikke give rapportere infektionen til myndigheder.

Et andet eksempel på denne teknik var den trojanske virus, som blev sendt til e-mailadresser, der blev taget fra et rekrutteringswebsted. Personer, der var registreret på webstedet modtog falske jobtilbud - men tilbuddene indeholdt en trojansk virus. Angrebene var primært målrettet virksomheders e-mailadresser – og de cyberkriminelle vidste, at de medarbejdere, der modtog den trojanske virus, ikke ønskede at fortælle arbejdsgiverne, at de var blevet inficeret, mens de søgte anden beskæftigelse.

Usædvanlige metoder til social manipulation

I nogle tilfælde har cyberkriminelle benyttet komplekse måder til at gennemføre deres cyberangreb, herunder:

• Da en banks kunder modtog en falsk e-mail, der hævdede at være fra banken – hvor de blev bedt om at bekræfte deres adgangskoder – var bekræftelsesmåden ikke via de sædvanlige e-mail/internetruter. I stedet blev kunden bedt om at printe formularen i e-mailen ud, udfylde oplysninger om dem og faxe den udfyldte formularen til den cyberkriminelles telefonnummer.
• I Japan brugte cyberkriminelle en hjemmeleveringsservice til at distribuere cd'er, der var inficeret med trojaner-spyware. Cd'erne blev leveret til kunderne i en japansk bank. Kundernes adresse var tidligere blevet stjålet fra bankens database.