Forretningssikkerhet
Hvordan å ha på seg en "sokkedukke" kan hjelpe innsamlingen av åpen kildekode-intelligens samtidig som den isolerer "dukkeføreren" fra risiko
Januar 11 2024 • , 4 min. lese
I det utallige området av nettbasert informasjon og kommunikasjon blir evnen til å finne signalet i støyen og skjelne autentisiteten til data og kildene stadig mer kritisk.
Vi har tidligere sett på mekanikk for åpen kildekode-intelligens (OSINT), praksisen med å samle inn og analysere offentlig tilgjengelig informasjon for etterforskningsformål, og spesielt hvordan cyberforsvarere kan bruke den til å ligge et skritt foran angripere.
I denne artikkelen vil vi fokusere på et verktøy som vanligvis brukes i OSINT: såkalte sokkedukkekontoer, hvordan de opprettes og brukes, sammen med risikoene som bruken av dem kan medføre.
Hva er sokkedukker?
Enkelt sagt er sokkedukkekontoer fiktive identiteter som gir mesterne deres anonymitet mens de bruker sosiale medieplattformer, diskusjonstavler, e-post og andre nettjenester. De kan brukes til OSINT-undersøkelser for å vurdere nye nettrusler, samle informasjon om svindel, misbruk og andre ulovlige aktiviteter på nettet og samle bevis på slike overtredelser, spore ekstremistiske ideologier eller få annen innsikt i spesifikke trender eller problemer.
Informasjonen som samles inn av disse forskningskontoene går ofte dypere enn den lett avslørte informasjonen og kan kreve å etablere relasjoner med andre mennesker. Enhetene som utnytter disse kontoene kjører spekteret og spenner fra politi, private etterforskere og journalister til etterretningsanalytikere, nettverksforsvarere og andre sikkerhetsutøvere, inkludert for innsats rettet mot å oppdage og redusere potensielle trusler.
På den annen side kan disse falske personaene også utplasseres for å gjøre bud fra ondsinnede aktører, som kan bruke sokkedukker for å hjelpe til med å spre spam eller trekke ut informasjon fra eller på annen måte manipulere målene deres. Disse beretningene brukes også ofte i desinformasjonsforsøk for å hjelpe til med å styre diskusjoner i en bestemt retning, forsterke falske fortellinger, forme offentlig diskurs og til slutt påvirke meninger om et bredere samfunnsspørsmål eller en organisasjon.
Sokkedukker i OSINT
Sokkedukkekontoer gjør det mulig for OSINT-utøvere å blande seg inn i nettsamfunn og samle informasjon uten å avsløre sin sanne identitet og uten frykt for represalier, spesielt der deres personlige sikkerhet kan bli satt i fare. De kan gi sine "dukkeførere" tilgang til lukkede eller private grupper som ellers ville vært utilgjengelige for eksterne observatører.
Å lage sokkedukker krever en god del strategisk planlegging som tar hensyn til variabler som valg av plattformer som er hjemmet til den største mengden informasjon om mål hele veien til å tenke gjennom og deretter praktisere riktige operasjonelle sikkerhetstiltak.
For å unngå å avsløre eierens sanne IP-adresse og av andre driftssikkerhetsgrunner, brukes disse kontoene ofte sammen med verktøy som f.eks. virtuelle private nettverk (VPN-er), Tor (spesielt når du får tilgang til mørk web) og proxy-tjenester eller, der bruken av dem ikke er tillatt, en offentlig Wi-Fi-tilkobling.
Når du setter opp og administrerer sokkedukkekontoer, kan det også være nødvendig med en brennermobiltelefon. Det samme gjelder dedikert passordadministrasjonsverktøy som KeePass og praktiske verktøy som Firefox Multi Account-beholdere som skiller hver av etterforskerens digitale liv.
Tydeligvis er ikke alle sokkedukker laget like. Hvis man ser bort fra midlertidige ad-hoc-kontoer, som blir forkastet når jobben deres (som å registrere seg på et nettsted eller sende en e-post) er fullført, er kanskje den vanligste og mest interessante brukssaken kontoer på sosiale medier, og de krever mye mer innsats.
Dette starter med opprettelsen av en e-postkonto som ikke kan spores tilbake til eieren og deretter en realistisk identitet med detaljert (men selvfølgelig fiktiv) personlig informasjon. Det er like viktig å lage en troverdig bakgrunnshistorie og bruke en konsistent stemme og tone som støttes ytterligere av vedvarende aktivitet over tid i form av kommentarer, innlegg og bilder. En plan som legger opp kontoens aktiviteter – for eksempel å identifisere og besøke andre kontoer, legge inn kommentarer og opprettholde en realistisk personlighet – bidrar til å unngå å utløse alarmklokker.
Identifisere potensielle sokkedukker
Sokkedukkekontoer kan sees av:
- atferdsmønsteranalyse: sokkedukker kan følge lignende atferdsmønstre, som å legge ut de samme meldingene på nytt eller bruke repeterende språk, eller vise mangel på interaksjoner med ekte brukere eller lite eller ingen engasjement som sådan.
- undersøke profildetaljer: for eksempel mangel på detaljert personlig informasjon og bruk av arkivbilder er klare utdelinger.
- krysssjekking og verifisering: sammenligne informasjon gitt av sokkedukker med andre kilder, noe som hjelper til med å validere innsamlede data.
Sokkedukker i aksjon
Sokkedukker spiller en sentral rolle i OSINT, og gir utøverne et kraftig verktøy for å samle informasjon samtidig som de opprettholder anonymiteten. Men å forstå de tilhørende truslene og potensielle fallgruvene er også avgjørende for å gjennomføre effektive og etiske undersøkelser. For det første må etterforskere unngå risikoen for oppdagelse og være godt kjent med å identifisere sokkedukkekontoer som kan brukes til kontraetterretningsformål.
Viktigere er at bruken av sokkedukkekontoer også involverer etiske hensyn og mulige juridiske risikoer eller begrensninger, og den må samsvare med de tiltenkte målene og unngå å forårsake utilsiktet skade. 'Dukkeførerne' bør også nøye veie fordelene og ulempene med disse personas og sikre at bruken av dem stemmer overens med etiske standarder, juridiske krav og de overordnede målene for ansvarlig informasjonsinnsamling.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.welivesecurity.com/en/cybersecurity/peek-curtain-sock-puppet-accounts-osint/
- :er
- :ikke
- :hvor
- $OPP
- a
- evne
- Om oss
- misbruk
- adgang
- Tilgang
- Logg inn
- kontoer
- Aktiviteter
- aktivitet
- aktører
- adresse
- fremover
- Aid
- sikte
- alarm
- justere
- Justerer
- alike
- Alle
- langs
- også
- beløp
- forsterke
- an
- analyse
- analytikere
- analyserer
- og
- anonymitet
- ER
- Artikkel
- AS
- side
- vurdere
- assosiert
- At
- autentisitet
- tilgjengelig
- unngå
- tilbake
- BE
- blir
- bak
- bjeller
- Fordeler
- Blend
- bredere
- by
- CAN
- kan ikke
- nøye
- saken
- Kategori
- forårsaker
- valg
- fjerne
- stengt
- samle
- Samle
- samling
- kommentarer
- Felles
- vanligvis
- Kommunikasjon
- Communities
- sammenligne
- Terminado
- gjennomføre
- tilkobling
- betraktninger
- anser
- konsistent
- Containere
- kunne
- Kurs
- lage
- opprettet
- skaperverket
- troverdig
- kritisk
- gardin
- cybertrusler
- dato
- dedikert
- dypere
- Defenders
- utplassert
- detaljert
- detaljer
- digitalt
- retning
- skjelne
- Å avsløre
- diskurs
- Funnet
- diskusjon
- diskusjoner
- desinformasjon
- visning
- do
- ulemper
- hver enkelt
- Effektiv
- innsats
- innsats
- emalje
- Emery
- muliggjøre
- håndhevelse
- engasjement
- sikre
- enheter
- spesielt
- avgjørende
- etablere
- etisk
- bevis
- eksempel
- utvendig
- trekke ut
- rettferdig
- forfalskning
- falsk
- frykt
- Finn
- Firefox
- Fokus
- følge
- Til
- skjema
- svindel
- fra
- videre
- Gevinst
- samle
- samle
- trekninger
- Mål
- Går
- størst
- Gruppens
- hånd
- praktisk
- skade
- utnyttet
- hjelpe
- hjelper
- Hjemprodukt
- Hvordan
- Men
- HTTPS
- identifisering
- identiteter
- Identitet
- ideologier
- ulovlig
- bilder
- viktig
- in
- utilgjengelige
- Inkludert
- stadig
- informasjon
- innsikt
- Intelligens
- tiltenkt
- interaksjoner
- interessant
- inn
- Undersøkelser
- etterforskende
- etterforskerne
- IP
- IP-adresse
- utstedelse
- saker
- IT
- DET ER
- jan
- Jobb
- Journalister
- bare
- maling
- Språk
- Law
- rettshåndhevelse
- Lays
- forlater
- Lovlig
- Leverage
- i likhet med
- lite
- Bor
- så
- Lot
- laget
- Vedlike
- skadelig
- ledelse
- administrerende
- mario
- max bredde
- Kan..
- målinger
- Media
- meldinger
- minutter
- formildende
- Mobil
- mobiltelefon
- mer
- mest
- multi
- fortellinger
- nødvendig
- Trenger
- behov
- nettverk
- Nei.
- Bråk
- mål
- observatører
- of
- off
- ofte
- on
- gang
- på nett
- nettsamfunn
- åpen
- åpen kildekode
- operasjonell
- Meninger
- or
- rekkefølge
- organisasjon
- osint
- Annen
- ellers
- ut
- enn
- samlet
- eieren
- Spesielt
- Mønster
- mønstre
- Ansatte
- kanskje
- personlig
- telefon
- Bilder
- sentral
- fly
- planlegging
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- mulig
- innlegg
- potensiell
- kraftig
- praksis
- tidligere
- privat
- Profil
- ordentlig
- gi
- forutsatt
- gi
- proxy
- offentlig
- offentlig
- formål
- område
- lett
- ekte
- realistisk
- grunner
- registrering
- Relasjoner
- repeterende
- krever
- Krav
- Krever
- forskning
- ansvarlig
- restriksjoner
- avslørende
- Risiko
- risikoer
- Rolle
- Kjør
- Sikkerhet
- samme
- sikkerhet
- Sikkerhetstiltak
- sending
- Tjenester
- innstilling
- Form
- bør
- Signal
- lignende
- ganske enkelt
- selskap
- sosiale medier
- sosiale medieplattformer
- samfunnsmessig
- kilde
- Kilder
- spam
- spesifikk
- spre
- standarder
- startere
- starter
- opphold
- styre
- Trinn
- lager
- Strategisk
- slik
- Støttes
- Sway
- tandem
- mål
- midlertidig
- enn
- Det
- De
- deres
- deretter
- Disse
- de
- tenker
- denne
- De
- selv om?
- trusler
- Gjennom
- tid
- til
- TONE
- verktøy
- verktøy
- spor
- Trender
- sant
- Til syvende og sist
- forståelse
- Untold
- bruke
- bruk sak
- brukt
- Brukere
- ved hjelp av
- VALIDERE
- Verifisering
- bevandret
- Voice
- VPN
- Vei..
- Nettsted
- veie
- VI VIL
- når
- hvilken
- mens
- HVEM
- Wi-fi
- med
- uten
- ville
- zephyrnet