Video: Cara Melindungi Diri Dari Covid 19 (Oktober 2024)
Rekayasa sosial adalah apa yang memberdayakan email phishing, dan situs web berbahaya yang berpakaian agar terlihat seperti situs web yang aman dan populer. Saat berdiskusi dengan Chris Hadnagy, Kepala Peretas Manusia di Social-Engineer Inc., saya bertanya kepadanya bagaimana cara menemukan penipuan ini. Nasihatnya sesuai dengan yang sering kami sampaikan kepada pembaca: selalu curiga.
Lebih dari penipu
Dari diskusi saya dengan Hadnagy, jelas bahwa beberapa dari apa yang kita sebut rekayasa sosial adalah trik yang sama yang digunakan orang untuk mempengaruhi keputusan selama bertahun-tahun. Industri makanan cepat saji, misalnya, terkenal menjelajahi warna apa yang akan mendorong orang untuk makan lebih cepat. Spiritualis palsu dari abad ke-19 (yang termasuk anggota keluarga saya) dan hari ini menggunakan taktik yang disebut "membaca dingin" untuk mengelabui korban agar mengungkapkan informasi tentang diri mereka.
Tapi ada lebih banyak rekayasa sosial daripada trik murah, seperti yang ditunjukkan oleh Kompetisi Rekayasa Sosial Capture Bendera yang diadakan di Def Con. Di sini, para kontestan mendapatkan poin untuk informasi yang mereka peroleh dari perusahaan riset dan dari menghubungi perusahaan-perusahaan itu secara langsung. Hadnagy mengatakan bahwa kontestan penilaian terbaik juga melakukan penelitian terbanyak, yang menunjukkan betapa berguna untuk mengetahui target Anda.
Sayangnya, sekarang adalah waktu yang tepat untuk menjadi insinyur sosial yang melakukan penelitian, atau pengumpulan informasi sumber terbuka. Hadnagy menjelaskan bahwa perusahaan dan individu memposting banyak informasi di media sosial, banyak di antaranya dapat digunakan dalam serangan rekayasa sosial. Sebelumnya, kami melihat bagaimana scammers mencoba menggunakan informasi yang diperoleh dari Facebook untuk membuat penipuan mereka tampak lebih menarik - terkadang dengan hasil yang lucu.
Menargetkan Emosi
Salah satu taktik rekayasa sosial terbaik adalah menjaga Anda dari berpikir kritis, biasanya dengan menargetkan emosi. Hadnagy mengatakan bahwa satu serangan yang hampir membodohinya mengaku sebagai email pengiriman Amazon. "Itu adalah sesuatu yang pribadi, sesuatu yang mempengaruhi hidup saya, dan sesuatu yang penting bagi saya, " katanya.
Dalam serangan khusus ini, Hadnagy menerima email yang mengatakan bahwa salah satu perintah penting Amazon tertunda karena nomor kartu kreditnya menurun. Pada hari-hari menjelang konferensi besar, Hadnagy mengatakan bahwa ia terlalu banyak bekerja dan mengklik tautan di email - alih-alih mengunjungi Amazon secara langsung. Halaman yang dia bawa dibuat dengan baik, tapi untungnya dia memperhatikan domain ".ru" sebelum memasukkan informasi pribadi apa pun.
Meskipun sederhana, taktik ini sangat efektif. "Saya orang yang, karena apa yang saya lakukan, menghabisi lebih dari 190.000 orang dalam beberapa bulan terakhir, " kata Hadnagy, merujuk pada pekerjaan konsultasi. "Aku hampir jatuh cinta pada serangan ini."
Keuntungan lain dari menarik emosi adalah tidak memerlukan jenis penelitian yang dilakukan oleh insinyur sosial terbaik. "Apa yang akan kita lihat adalah memilih hal-hal yang penting bagi massa." Hadnagy menjelaskan bahwa ini termasuk pengiriman UPS, pesanan Amazon, dan transfer PayPal.
Seruan massa juga berfungsi dengan baik untuk menyiarkan secara massal, taktik lain yang sering dilakukan. "Mereka mengirim ini ke jutaan orang sekaligus, jadi mereka tidak peduli jika mereka mendapatkan 100 persen, " kata Hadnagy. "10 persen masih ribuan akun yang disusupi."
Tetap Aman
Banyak taktik yang digunakan untuk mengenali email phishing juga berlaku untuk rekayasa sosial. Apa pun yang terdengar terlalu bagus untuk menjadi kenyataan - atau terlalu buruk untuk menjadi kenyataan - mungkin tidak benar. Taktik seperti melayang di atas tautan untuk melihat URL lengkap, memasukkan alamat web secara manual, dan menghindari tautan yang tiba-tiba muncul adalah taktik yang bagus.
Tetapi bagian panggilan langsung dari kompetisi Capture the Flag menyoroti aspek lain dari rekayasa sosial: kepercayaan institusional. Tahun ini, banyak kontestan menyamar sebagai rekan kerja atau vendor, yang memberikan alasan langsung kepada karyawan di perusahaan target untuk memercayai mereka. Terkadang, membayar pertanyaan ketika seseorang yang mengaku sebagai CEO perusahaan Anda memanggil Anda secara pribadi.
Hadnagy telah membuat karier menjelaskan rekayasa sosial, tetapi dia tidak khawatir jika penyerang mengambil triknya. "Orang jahat tidak mencari data tentang bagaimana melakukan ini, " katanya kepada SecurityWatch. "Mereka sudah tahu caranya. Masalahnya adalah orang baik tidak." Melalui karyanya, Hadnagy percaya bahwa ia dapat mengajar perusahaan di Amerika dan orang-orang biasa cara berpikir kritis tentang interaksi sehari-hari mereka, dan bagaimana merespons dalam skenario terburuk. Hadnagy menjelaskannya seperti ini: "Daripada mempersenjatai orang-orang jahat, itu mempersenjatai orang-orang baik."
Gambar melalui pengguna Flickr Travis V.
