Menjadi insinyur sosial. Rekayasa sosial. Apa? Bagaimana? Mengapa? Metode yang menggunakan merek, antivirus yang rusak, dan lotere palsu

Rekayasa sosial

Rekayasa sosial adalah metode akses tidak sah ke informasi atau sistem penyimpanan informasi tanpa menggunakan sarana teknis. Tujuan utama insinyur sosial, seperti peretas dan cracker lainnya, adalah mendapatkan akses ke sistem yang aman untuk mencuri informasi, kata sandi, informasi kartu kredit, dll. Perbedaan utama dari peretasan sederhana adalah bahwa dalam hal ini, bukan mesinnya, tetapi operatornya yang dipilih sebagai sasaran serangan. Oleh karena itu, semua metode dan teknik insinyur sosial didasarkan pada penggunaan kelemahan faktor manusia, yang dianggap sangat merusak, karena penyerang memperoleh informasi, misalnya melalui percakapan telepon biasa atau dengan menyusup ke organisasi di bawah naungan kedok karyawannya. Untuk melindungi diri dari serangan jenis ini, Anda harus mengetahui jenis penipuan yang paling umum, memahami apa yang sebenarnya diinginkan peretas, dan mengatur kebijakan keamanan yang sesuai pada waktu yang tepat.

Cerita

Terlepas dari kenyataan bahwa konsep “rekayasa sosial” muncul relatif baru, orang-orang dalam satu atau lain bentuk telah menggunakan teknik ini sejak dahulu kala. Di Yunani Kuno dan Roma, orang-orang dijunjung tinggi yang dapat meyakinkan lawan bicaranya dengan berbagai cara bahwa dia jelas-jelas salah. Berbicara atas nama para pemimpin, mereka melakukan negosiasi diplomatik. Dengan terampil menggunakan kebohongan, sanjungan, dan argumen yang menguntungkan, mereka sering kali memecahkan masalah yang tampaknya mustahil diselesaikan tanpa bantuan pedang. Di kalangan mata-mata, rekayasa sosial selalu menjadi senjata utama. Dengan menyamar sebagai orang lain, agen KGB dan CIA dapat mengetahui rahasia negara. Pada awal tahun 70an, selama masa kejayaan phreaking, beberapa hooligan telepon menelepon operator telekomunikasi dan mencoba mendapatkan informasi rahasia dari staf teknis perusahaan. Setelah berbagai eksperimen dengan trik, pada akhir tahun 70-an, phreaker telah begitu menyempurnakan teknik memanipulasi operator yang tidak terlatih sehingga mereka dapat dengan mudah mempelajari hampir semua hal yang mereka inginkan dari mereka.

Prinsip dan teknik rekayasa sosial

Ada beberapa teknik umum dan jenis serangan yang digunakan insinyur sosial. Semua teknik ini didasarkan pada fitur pengambilan keputusan manusia yang dikenal sebagai bias kognitif (lihat juga Kognitif). Bias ini digunakan dalam berbagai kombinasi untuk menciptakan strategi penipuan yang paling tepat dalam setiap kasus tertentu. Namun ciri umum dari semua metode ini adalah menyesatkan, dengan tujuan memaksa seseorang untuk melakukan tindakan tertentu yang tidak bermanfaat baginya dan diperlukan bagi insinyur sosial. Untuk mencapai hasil yang diinginkan, penyerang menggunakan sejumlah taktik berbeda: meniru identitas orang lain, mengalihkan perhatian, meningkatkan ketegangan psikologis, dll. Tujuan akhir dari penipuan juga bisa sangat beragam.

Teknik rekayasa sosial

Berpura-pura

Pretexting adalah serangkaian tindakan yang dilakukan menurut skenario (dalih) tertentu yang telah disiapkan sebelumnya. Teknik ini melibatkan penggunaan sarana suara seperti telepon, Skype, dll. untuk memperoleh informasi yang diperlukan. Biasanya, dengan menyamar sebagai pihak ketiga atau berpura-pura bahwa seseorang membutuhkan bantuan, penyerang meminta korban untuk memberikan kata sandi atau masuk ke halaman web phishing, sehingga mengelabui target agar mengambil tindakan yang diinginkan atau memberikan informasi tertentu. Dalam kebanyakan kasus, teknik ini memerlukan beberapa data awal tentang target serangan (misalnya, data pribadi: tanggal lahir, nomor telepon, nomor rekening, dll.) Strategi yang paling umum adalah menggunakan pertanyaan kecil terlebih dahulu dan menyebutkan nama orang-orang nyata dalam organisasi. Kemudian, selama percakapan, penyerang menjelaskan bahwa dia membutuhkan bantuan (kebanyakan orang mampu dan bersedia melakukan tugas yang tidak dianggap mencurigakan). Setelah kepercayaan sudah terbangun, penipu mungkin meminta sesuatu yang lebih substansial dan penting.

Phishing

Contoh email phishing yang dikirim dari layanan email yang meminta “aktivasi ulang akun”

Phishing (phishing bahasa Inggris, dari fishing - fishing, fishing) adalah jenis penipuan Internet, yang tujuannya adalah untuk mendapatkan akses ke data rahasia pengguna - login dan kata sandi. Ini mungkin skema rekayasa sosial yang paling populer saat ini. Tidak ada satu pun kebocoran data pribadi besar yang terjadi tanpa adanya gelombang email phishing yang mengikutinya. Tujuan dari phishing adalah untuk mendapatkan informasi rahasia secara ilegal. Contoh paling mencolok dari serangan phishing adalah pesan yang dikirim ke korban melalui email, dan dipalsukan sebagai surat resmi - dari bank atau sistem pembayaran - yang memerlukan verifikasi informasi tertentu atau pelaksanaan tindakan tertentu. Alasannya bisa bermacam-macam. Ini bisa berupa kehilangan data, kegagalan sistem, dll. Email ini biasanya berisi link ke halaman web palsu yang terlihat persis seperti halaman resmi, dan berisi formulir yang mengharuskan Anda memasukkan informasi sensitif.

Salah satu contoh email phishing global yang paling terkenal adalah penipuan tahun 2003 di mana ribuan pengguna eBay menerima email yang mengklaim bahwa akun mereka telah dikunci dan perlu memperbarui informasi kartu kredit mereka untuk membukanya. Semua email ini berisi link yang mengarah ke halaman web palsu yang tampak persis seperti halaman resmi. Menurut para ahli, kerugian akibat penipuan ini mencapai beberapa ratus ribu dolar.

Cara mengenali serangan phishing

Hampir setiap hari skema penipuan baru bermunculan. Kebanyakan orang dapat belajar mengenali pesan penipuan dengan mengenal beberapa ciri khasnya. Paling sering, pesan phishing berisi:

informasi yang menimbulkan kekhawatiran atau ancaman, seperti penutupan rekening bank pengguna.
janji hadiah uang tunai yang besar dengan sedikit atau tanpa usaha.
permintaan sumbangan sukarela atas nama organisasi amal.
kesalahan tata bahasa, tanda baca, dan ejaan.

Skema phishing yang populer

Penipuan phishing paling populer dijelaskan di bawah ini.

Penipuan menggunakan merek perusahaan terkenal

Penipuan phishing ini menggunakan email atau situs palsu yang memuat nama perusahaan besar atau terkenal. Pesan tersebut mungkin berisi ucapan selamat karena telah memenangkan kompetisi yang diadakan oleh perusahaan, atau tentang kebutuhan mendesak untuk mengubah kredensial atau kata sandi Anda. Skema penipuan serupa yang mengatasnamakan dukungan teknis juga dapat dilakukan melalui telepon.

Lotere palsu

Pengguna mungkin menerima pesan yang menunjukkan bahwa dia telah memenangkan lotre yang diadakan oleh beberapa perusahaan terkenal. Di permukaan, pesan-pesan ini mungkin tampak seolah-olah dikirim atas nama karyawan senior perusahaan.

Program antivirus dan keamanan palsu

IVR atau phishing telepon

Prinsip pengoperasian sistem IVR

Ini tentang quo

Quid pro quo adalah singkatan yang biasa digunakan dalam bahasa Inggris yang berarti "quid pro quo". Jenis serangan ini melibatkan penyerang yang menelepon perusahaan melalui telepon perusahaan. Dalam kebanyakan kasus, penyerang menyamar sebagai karyawan dukungan teknis yang menanyakan apakah ada masalah teknis. Dalam proses "menyelesaikan" masalah teknis, penipu "memaksa" target untuk memasukkan perintah yang memungkinkan peretas menjalankan atau menginstal perangkat lunak berbahaya di mesin pengguna.

Kuda Troya

Terkadang penggunaan Trojan hanyalah bagian dari serangan multi-tahap yang direncanakan terhadap komputer, jaringan, atau sumber daya tertentu.

Jenis Trojan

Trojan paling sering dikembangkan untuk tujuan jahat. Ada klasifikasi di mana mereka dibagi ke dalam kategori berdasarkan bagaimana Trojan menyusup ke sistem dan menyebabkan kerusakan pada sistem. Ada 5 tipe utama:

akses jarak jauh
penghancuran data
pemuat
server
penonaktif program keamanan

Sasaran

Tujuan dari program Trojan dapat berupa:

mengunggah dan mengunduh file
menyalin tautan palsu yang mengarah ke situs web palsu, ruang obrolan, atau situs pendaftaran lainnya
mengganggu pekerjaan pengguna
mencuri data berharga atau rahasia, termasuk informasi otentikasi, untuk akses tidak sah ke sumber daya, mendapatkan rincian rekening bank yang dapat digunakan untuk tujuan kriminal
penyebaran malware lain seperti virus
penghancuran data (penghapusan atau penimpaan data pada disk, kerusakan file yang sulit dilihat) dan peralatan, penonaktifan atau kegagalan layanan sistem komputer, jaringan
mengumpulkan alamat email dan menggunakannya untuk mengirim spam
memata-matai pengguna dan secara diam-diam mengkomunikasikan informasi kepada pihak ketiga, seperti kebiasaan browsing
Mencatat penekanan tombol untuk mencuri informasi seperti kata sandi dan nomor kartu kredit
menonaktifkan atau mengganggu pengoperasian program anti-virus dan firewall

Samaran

Banyak program Trojan yang terletak di komputer pengguna tanpa sepengetahuan mereka. Terkadang Trojan terdaftar di Registri, yang mengarah ke peluncuran otomatisnya saat sistem operasi dimulai. Trojan juga dapat digabungkan dengan file yang sah. Ketika pengguna membuka file tersebut atau meluncurkan aplikasi, Trojan juga ikut diluncurkan.

Cara kerja Trojan

Trojan biasanya terdiri dari dua bagian: Klien dan Server. Server berjalan pada mesin korban dan memonitor koneksi dari Klien. Saat Server berjalan, ia memonitor satu atau beberapa port untuk koneksi dari Klien. Agar penyerang dapat terhubung ke Server, ia harus mengetahui alamat IP mesin yang menjalankannya. Beberapa Trojan mengirimkan alamat IP mesin korban ke pihak penyerang melalui email atau metode lainnya. Segera setelah koneksi ke Server terjadi, Klien dapat mengirimkan perintah ke sana, yang akan dijalankan oleh Server. Saat ini, berkat teknologi NAT, tidak mungkin mengakses sebagian besar komputer melalui alamat IP eksternalnya. Itu sebabnya banyak Trojan saat ini terhubung ke komputer penyerang, yang bertanggung jawab untuk menerima koneksi koneksi, bukan penyerang itu sendiri yang mencoba terhubung ke korban. Banyak Trojan modern juga dapat dengan mudah melewati firewall di komputer pengguna.

Pengumpulan informasi dari sumber terbuka

Penggunaan teknik rekayasa sosial tidak hanya membutuhkan pengetahuan psikologi, tetapi juga kemampuan mengumpulkan informasi yang diperlukan tentang seseorang. Cara yang relatif baru untuk memperoleh informasi tersebut adalah pengumpulannya dari sumber terbuka, terutama dari jejaring sosial. Misalnya, situs seperti livejournal, Odnoklassniki, Vkontakte berisi sejumlah besar data yang biasanya tidak coba disembunyikan oleh orang-orang. pengguna tidak cukup memperhatikan masalah keamanan, meninggalkan data dan informasi dalam domain publik yang dapat digunakan oleh penyerang.

Contoh ilustratifnya adalah kisah penculikan putra Evgeniy Kaspersky. Selama penyelidikan, diketahui bahwa para penjahat mengetahui jadwal harian dan rute remaja tersebut dari postingannya di halaman jejaring sosial.

Bahkan dengan membatasi akses informasi di halaman jejaring sosialnya, pengguna tidak dapat memastikan bahwa informasi tersebut tidak akan jatuh ke tangan penipu. Misalnya, seorang peneliti keamanan komputer asal Brazil menunjukkan bahwa seseorang dapat berteman dengan pengguna Facebook mana pun dalam waktu 24 jam dengan menggunakan teknik rekayasa sosial. Selama percobaan, peneliti Nelson Novaes Neto memilih “korban” dan membuat akun palsu seseorang dari lingkungannya - bosnya. Neto pertama-tama mengirimkan permintaan pertemanan ke teman dari teman bos korban, lalu langsung ke teman-temannya. Setelah 7,5 jam, peneliti meminta “korban” untuk menambahkannya sebagai teman. Dengan demikian, peneliti memperoleh akses ke informasi pribadi pengguna, yang hanya dibagikan kepada teman-temannya.

Apel jalan

Metode serangan ini merupakan adaptasi dari kuda Troya dan terdiri dari penggunaan media fisik. Penyerang menanam "terinfeksi", atau flash, di tempat di mana pembawa dapat dengan mudah ditemukan (toilet, lift, tempat parkir). Media tersebut dipalsukan agar terlihat resmi, dan disertai tanda tangan yang dirancang untuk membangkitkan rasa ingin tahu. Misalnya, seorang penipu dapat menanam surat yang dilengkapi dengan logo perusahaan dan tautan ke situs resmi perusahaan tersebut, dengan tulisan “Gaji eksekutif”. Disk dapat ditinggalkan di lantai lift, atau di lobi. Seorang karyawan mungkin tanpa sadar mengambil disk tersebut dan memasukkannya ke dalam komputer untuk memuaskan rasa penasarannya.

Membalikkan rekayasa sosial

Rekayasa sosial terbalik disebut ketika korban sendiri yang menawarkan informasi yang dibutuhkan penyerang. Ini mungkin tampak tidak masuk akal, namun kenyataannya, individu yang memiliki otoritas di bidang teknis atau sosial sering kali menerima ID pengguna, kata sandi, dan informasi pribadi sensitif lainnya hanya karena tidak ada yang mempertanyakan integritas mereka. Misalnya, staf pendukung tidak pernah menanyakan ID atau kata sandi pengguna; mereka tidak memerlukan informasi ini untuk memecahkan masalah. Namun, banyak pengguna yang secara sukarela memberikan informasi rahasia ini untuk menyelesaikan masalah dengan cepat. Ternyata penyerangnya bahkan tidak perlu menanyakannya.

Contoh rekayasa sosial terbalik adalah skenario sederhana berikut. Penyerang yang bekerja dengan korban mengubah nama file di komputer korban atau memindahkannya ke direktori lain. Ketika korban menyadari bahwa file tersebut hilang, penyerang mengklaim bahwa dia dapat memperbaiki semuanya. Ingin menyelesaikan pekerjaan lebih cepat atau menghindari hukuman karena kehilangan informasi, korban menyetujui tawaran tersebut. Penyerang mengklaim bahwa masalahnya hanya dapat diselesaikan dengan masuk menggunakan kredensial korban. Sekarang korban meminta penyerang untuk login dengan namanya untuk mencoba memulihkan file. Penyerang dengan enggan menyetujui dan mengembalikan file tersebut, dan dalam prosesnya mencuri ID dan kata sandi korban. Setelah berhasil melakukan penyerangan, ia bahkan meningkatkan reputasinya, dan besar kemungkinan setelah itu rekan-rekan lainnya akan meminta bantuannya. Pendekatan ini tidak mengganggu prosedur biasa dalam menyediakan layanan dukungan dan mempersulit penangkapan penyerang.

Insinyur Sosial Terkenal

Kevin Mitnick

Kevin Mitnick. Peretas dan konsultan keamanan terkenal di dunia

Salah satu insinyur sosial paling terkenal dalam sejarah adalah Kevin Mitnick. Sebagai seorang peretas komputer dan konsultan keamanan terkenal di dunia, Mitnick juga merupakan penulis banyak buku tentang keamanan komputer, terutama membahas tentang rekayasa sosial dan metode pengaruh psikologis pada manusia. Pada tahun 2002, buku “The Art of Deception” diterbitkan di bawah kepengarangannya, menceritakan tentang kisah nyata penggunaan rekayasa sosial. Kevin Mitnick berpendapat bahwa mendapatkan kata sandi dengan cara menipu jauh lebih mudah daripada mencoba meretas sistem keamanan

Saudara Badir

Terlepas dari kenyataan bahwa Mundir, Mushid dan Shadi Badir bersaudara buta sejak lahir, mereka berhasil melakukan beberapa skema penipuan besar di Israel pada tahun 1990an, menggunakan rekayasa sosial dan spoofing suara. Dalam sebuah wawancara televisi mereka berkata: “Hanya mereka yang tidak menggunakan telepon, listrik dan laptop yang sepenuhnya aman dari serangan jaringan.” Saudara-saudara tersebut telah dipenjara karena dapat mendengar dan menguraikan nada interferensi rahasia dari penyedia telepon. Mereka melakukan panggilan panjang ke luar negeri atas biaya orang lain, memprogram ulang komputer penyedia seluler dengan nada interferensi.

Malaikat Agung

Sampul majalah Phrack

Seorang peretas komputer terkenal dan konsultan keamanan untuk majalah online terkenal berbahasa Inggris "Phrack Magazine", Archangel mendemonstrasikan kekuatan teknik rekayasa sosial dengan memperoleh kata sandi dari sejumlah besar sistem berbeda dalam waktu singkat, menipu beberapa ratus korban.

Lainnya

Insinyur sosial yang kurang terkenal termasuk Frank Abagnale, David Bannon, Peter Foster dan Stephen Jay Russell.

Cara untuk melindungi dari rekayasa sosial

Untuk melakukan serangannya, penyerang yang menggunakan teknik rekayasa sosial sering kali mengeksploitasi sifat mudah tertipu, kemalasan, kesopanan, dan bahkan antusiasme pengguna dan karyawan organisasi. Tidak mudah untuk mempertahankan diri dari serangan semacam ini karena para korban mungkin tidak menyadari bahwa mereka telah ditipu. Penyerang rekayasa sosial umumnya memiliki tujuan yang sama seperti penyerang lainnya: mereka menginginkan uang, informasi, atau sumber daya TI dari perusahaan korban. Untuk melindungi diri dari serangan semacam itu, Anda perlu mempelajari jenisnya, memahami apa yang dibutuhkan penyerang, dan menilai kerusakan yang dapat ditimbulkan pada organisasi. Dengan semua informasi ini, Anda dapat mengintegrasikan langkah-langkah perlindungan yang diperlukan ke dalam kebijakan keamanan Anda.

Klasifikasi ancaman

Ancaman email

Banyak karyawan menerima lusinan bahkan ratusan email setiap hari melalui sistem email perusahaan dan pribadi. Tentu saja, dengan alur korespondensi seperti itu, tidak mungkin memberikan perhatian yang cukup pada setiap surat. Hal ini membuatnya lebih mudah untuk melakukan serangan. Sebagian besar pengguna sistem email santai dalam memproses pesan semacam itu, menganggap pekerjaan ini sebagai analogi elektronik dari memindahkan kertas dari satu folder ke folder lainnya. Ketika penyerang mengirimkan permintaan sederhana melalui surat, korbannya akan sering melakukan apa yang diminta tanpa memikirkan tindakannya. Email mungkin berisi hyperlink yang membujuk karyawan untuk melanggar keamanan perusahaan. Tautan seperti itu tidak selalu mengarah ke halaman yang disebutkan.

Sebagian besar tindakan keamanan ditujukan untuk mencegah pengguna yang tidak berwenang mengakses sumber daya perusahaan. Jika, dengan mengklik hyperlink yang dikirim oleh penyerang, pengguna mengunggah Trojan atau virus ke jaringan perusahaan, hal ini akan memudahkan untuk melewati berbagai jenis perlindungan. Hyperlink juga mungkin mengarah ke situs dengan aplikasi pop-up yang meminta data atau menawarkan bantuan. Seperti jenis penipuan lainnya, cara paling efektif untuk melindungi diri Anda dari serangan berbahaya adalah dengan bersikap skeptis terhadap email masuk yang tidak terduga. Untuk mempromosikan pendekatan ini di seluruh organisasi Anda, kebijakan keamanan Anda harus mencakup pedoman khusus untuk penggunaan email yang mencakup elemen berikut.

Lampiran pada dokumen.
Hyperlink dalam dokumen.
Permintaan informasi pribadi atau perusahaan yang berasal dari dalam perusahaan.
Permintaan informasi pribadi atau perusahaan yang berasal dari luar perusahaan.

Ancaman terkait dengan penggunaan layanan pesan instan

Pesan instan adalah metode transfer data yang relatif baru, namun sudah mendapatkan popularitas luas di kalangan pengguna korporat. Karena kecepatan dan kemudahan penggunaan, metode komunikasi ini membuka peluang luas untuk berbagai serangan: pengguna memperlakukannya sebagai sambungan telepon dan tidak mengaitkannya dengan potensi ancaman perangkat lunak. Dua jenis serangan utama berdasarkan penggunaan layanan pesan instan adalah penyertaan tautan ke program jahat di badan pesan dan pengiriman program itu sendiri. Tentu saja, pesan instan juga merupakan salah satu cara untuk meminta informasi. Salah satu ciri layanan pesan instan adalah sifat komunikasinya yang informal. Dikombinasikan dengan kemampuan untuk menetapkan nama apa pun untuk diri mereka sendiri, faktor ini mempermudah penyerang untuk menyamar sebagai orang lain dan secara signifikan meningkatkan peluang mereka untuk berhasil melakukan serangan jika perusahaan bermaksud memanfaatkan peluang pemotongan biaya dan manfaat lain yang diberikan oleh pesan instan, perlu disertakan dalam kebijakan Keamanan perusahaan yang menyediakan mekanisme perlindungan terhadap ancaman yang relevan. Untuk mendapatkan kendali yang andal atas pesan instan di lingkungan perusahaan, ada beberapa persyaratan yang harus dipenuhi.

Pilih satu platform pesan instan.
Tentukan pengaturan keamanan yang ditentukan saat menyebarkan layanan pesan instan.
Menentukan prinsip-prinsip untuk menjalin kontak baru
Tetapkan standar kata sandi
Memberikan rekomendasi untuk menggunakan layanan pesan instan.

Model keamanan bertingkat

Untuk melindungi perusahaan besar dan karyawannya dari penipu yang menggunakan teknik rekayasa sosial, sering kali digunakan sistem keamanan berlapis yang kompleks. Beberapa fitur dan tanggung jawab sistem tersebut tercantum di bawah ini.

Keamanan fisik. Hambatan yang membatasi akses ke gedung perusahaan dan sumber daya perusahaan. Jangan lupa bahwa sumber daya perusahaan, misalnya wadah sampah yang terletak di luar wilayah perusahaan, tidak dilindungi secara fisik.
Data. Informasi bisnis: akun, surat, dll. Saat menganalisis ancaman dan merencanakan tindakan untuk melindungi data, Anda perlu menentukan prinsip penanganan media data kertas dan elektronik.
Aplikasi. Program yang dijalankan pengguna. Untuk melindungi lingkungan Anda, Anda perlu mempertimbangkan bagaimana penyerang dapat mengeksploitasi program email, pesan instan, dan aplikasi lainnya.
Komputer. Server dan sistem klien yang digunakan dalam organisasi. Melindungi pengguna dari serangan langsung pada komputer mereka dengan menetapkan pedoman ketat yang mengatur program apa yang dapat digunakan pada komputer perusahaan.
Jaringan dalam. Jaringan melalui mana sistem perusahaan berinteraksi. Itu bisa lokal, global atau nirkabel. Dalam beberapa tahun terakhir, karena semakin populernya metode kerja jarak jauh, batas-batas jaringan internal menjadi tidak menentu. Karyawan perusahaan perlu diberi tahu apa yang harus mereka lakukan untuk beroperasi dengan aman di lingkungan jaringan apa pun.
Perimeter jaringan. Batas antara jaringan internal perusahaan dan jaringan eksternal, seperti Internet atau jaringan organisasi mitra.

Tanggung jawab

Berpura-pura dan merekam percakapan telepon

Hewlett-Packard

Patricia Dunn, presiden Hewlett Packard Corporation, mengatakan dia menyewa sebuah perusahaan swasta untuk mengidentifikasi karyawan perusahaan yang bertanggung jawab atas kebocoran informasi rahasia. Belakangan, pimpinan perusahaan mengakui bahwa praktik pretexting dan teknik rekayasa sosial lainnya digunakan dalam proses penelitian.

Catatan

Lihat juga

Tautan

Perangkat Sosial.ru – Proyek rekayasa sosial swasta

Kebohongan adalah keseluruhan teknologi yang disebut “Rekayasa Sosial”. Kebohongan berkualitas tinggi adalah bagian integral dari “Rekayasa Sosial”, yang tanpanya dalam kondisi modern tidak ada satu pun pencuri, baik pemula maupun berpengalaman, yang dapat melakukannya.

Ada berbagai jenis peretas: peretas stasiun kerja komputer, peretas server, peretas jaringan komputer, peretas jaringan telepon, peretas ( porter) hanya otak, dll. - dan semuanya menggunakan "Rekayasa Sosial" sebagai alat bantu atau sekadar kebohongan, yang menjadi dasar "Rekayasa Sosial", dan sebenarnya sebagian besar kehidupan seluruh umat manusia.

Sebagai anak-anak, kami diajari bahwa berbohong tidak mungkin. Tidak ada yang peduli. Namun, seperti yang sering terjadi, kehidupan mencoret semua pelajaran sekolah dan terus-menerus menyodok kita pada kenyataan bahwa tanpa kebohongan tidak ada apa pun di sini atau di sana - “Jika Anda tidak berbohong, Anda tidak akan hidup.” Anehnya, pembohong terbaik terkadang berbohong dan hampir tidak pernah mengakuinya. Rahasia seni berbohong lainnya akan kita bahas di artikel ini.

Kebohongan merasuki hampir semua bidang kehidupan manusia, termasuk agama, dan para peneliti Inggris yang gelisah tentang segala sesuatu di seluruh dunia dan galaksi-galaksi di sekitarnya juga menambahkan: “Ternyata setiap orang berbohong kira-kira lebih dari 88 ribu kali dalam hidupnya! "

Daftar kebohongan yang paling populer, tentu saja, termasuk kebohongan yang sudah usang: “Tidak ada uang, saya bangkrut sekarang”, “Saya sangat senang bertemu dengan Anda”, “Kami akan menelepon Anda kembali”, dan “Terima kasih banyak, saya sangat senang.” menyukai ". Ternyata semua orang berbohong, kepada semua orang, setiap saat. Tetapi beberapa orang berbohong dengan cara yang luar biasa, menghibur orang-orang di sekitar mereka dan membuat hidup mereka lebih mudah, sementara yang lain tidak berbohong sama sekali, membawa rasa sakit dan penderitaan bagi semua orang di sekitar mereka.

Jadi, bagaimana Anda bisa belajar “membedaki otak Anda” dengan sederhana, aman dan indah ( menggantung mie di telinga, mengusir badai salju, menipu)? Kerajinan ini, seperti kerajinan lainnya, memiliki hukum dan rahasia tidak tertulisnya sendiri.

“Profesornya tentu saja mug, tapi perlengkapannya ada bersamanya, bersamanya. Bagaimana kamu bisa mendengar? »

Kebohongan besar dan kecil membutuhkan sikap yang sama telitinya.

Ini adalah salah satu aturan dasar yang harus dihafal oleh ahli kebohongan yang akan datang. Setiap kebohongan Anda, apa pun maknanya, harus diingat selamanya dan kebohongan selanjutnya harus dibangun dengan mempertimbangkan kebohongan sebelumnya. Namun, beberapa orang mungkin berpikir bahwa hanya mengingat kebohongan yang paling mendasar saja sudah cukup, dan kebohongan yang didasarkan pada formalitas kecil tidak layak untuk dihafal. Biasanya, beginilah cara para pembohong yang tidak berpengalaman terbakar - setelah menumpuk segunung kebohongan, mereka kemudian lupa siapa, kapan, dan bagaimana mereka “menyisir rambut mereka”.

Itu sebabnya Anda berusaha mengingat setiap kebohongan, bahkan yang terkecil sekalipun. Dan karena ingatan manusia tidak terbatas dan Anda pasti tidak akan dapat mengingat semua “gonilovo” Anda, aturan dasarnya mengikuti kesimpulan ini: Berbohonglah sesedikit mungkin, IMHO itulah satu-satunya cara Anda dapat mencapai kredibilitas.

Pasir di mata, mie di telinga

Seorang ahli (penganiaya) kebohongan yang sejati adalah seperti seorang matador Spanyol, yang menghunus pedangnya hanya pada saat yang paling menentukan dan hanya melancarkan satu pukulan. Selebihnya, dia dengan terampil mengalihkan perhatian korban dengan bantuan manipulasi jubah merahnya yang cekatan. Saat memasang mie di telinga, metode serupa digunakan, dan dengan cekatan mengalihkan perhatian lawan bicara ke objek lain atau mengubah topik pembicaraan dari waktu ke waktu benar-benar menghilangkan kebutuhan untuk berbohong. Pikirkan terlebih dahulu strategi perilaku Anda sehingga Anda tidak perlu mengusir badai salju sama sekali. Namun berhati-hatilah untuk tidak berlebihan, karena penggunaan muleta yang tidak tepat dapat menyebabkan nyawa matador!

Sulit di sekolah, mudah di tempat kerja

Profesi apa pun memerlukan pelatihan praktis, dan dalam profesi seperti pembohong, Anda pasti tidak dapat melakukannya tanpa latihan. Namun karena berlatih pada orang yang masih hidup sangatlah tidak manusiawi, kami akan berlatih pada diri kami sendiri. Mari kita berdiri di depan cermin dan mengulangi kebohongan kita hingga mulai terlihat natural. Idealnya, kita harus meyakinkan diri sendiri akan kebenaran kebohongan kita. Penipuan yang sempurna adalah penipuan yang kita sendiri yakini.

Dan aku bukan aku, dan omong kosong itu bukan milikku

Jika Anda dicurigai berbohong, hal terburuk yang dapat Anda lakukan dalam situasi seperti ini adalah mulai membenarkan diri sendiri dan mulai melontarkan lebih banyak kebohongan baru. Saat rumah mulai berguncang, Anda harus segera keluar darinya, dan tidak segera menambah lantai tambahan. Itu sebabnya Anda perlu menanggapi tuduhan apa pun dengan diam karena tersinggung dan bangga, atau beralih ke topik lain.

Mengenai “penyerahan sukarela ke penangkaran anal,” penyerahan seperti itu sama saja dengan tembakan langsung ke kuil. Seringkali ada keadaan di mana kebenaran sama-sama merugikan kedua belah pihak dan pihak lain, meski dituduh berbohong, seperti pembohong itu sendiri, tidak mau mendengarnya. Jangan mundur dan jangan menyerah, bahkan ketika Anda benar-benar terdorong ke tembok. Ikuti garis Anda melawan konfirmasi, logika dan akal sehat ( Tidak ada pasukan kami di Krimea - ini semua adalah pertahanan diri rakyat).

Hanya kamu, dan hanya aku

Anda dapat memikirkan strategi perilaku untuk banyak langkah ke depan, Anda dapat melatih keterampilan akting yang brilian di dekat cermin dan melatih intonasi percakapan yang jujur, mencari alasan, menyediakan saksi, rute pelarian, dan garis pertahanan kedua. .

Dan keluarga serta teman-teman masih bisa mengetahui kebenarannya. Hal ini tidak dapat dijelaskan secara ilmiah, karena kita tidak percaya pada hal-hal seperti “Saya memimpikannya” atau “Saya merasakannya di dalam hati”... “bahwa Anda adalah pembohong fiksi ilmiah.” Dengan kata lain, semacam hubungan psikofisiologis non-verbal (astral) dapat terjalin di antara beberapa orang, berkat itu mereka secara tidak sadar merasakan perubahan terkecil dalam keadaan masing-masing. Oleh karena itu, sebaiknya jangan mencoba berbohong kepada keluarga dan teman.

Dalam beberapa tahun terakhir, penjahat dunia maya yang menggunakan teknik rekayasa sosial telah mengadopsi metode yang lebih canggih yang memungkinkan mereka mendapatkan akses ke informasi yang diperlukan, dengan menggunakan psikologi modern karyawan perusahaan, dan masyarakat pada umumnya. Langkah pertama dalam melawan trik semacam ini adalah memahami taktik penyerang itu sendiri. Mari kita lihat delapan pendekatan utama terhadap rekayasa sosial.

Perkenalan

Pada tahun 90-an, konsep “rekayasa sosial” diciptakan oleh Kevin Mitnick, seorang tokoh ikonik di bidang keamanan informasi, mantan peretas yang serius. Namun, penyerang menggunakan metode tersebut jauh sebelum istilah itu sendiri muncul. Para ahli yakin bahwa taktik penjahat dunia maya modern terkait dengan dua tujuan: mencuri kata sandi dan memasang malware.

Penyerang mencoba menggunakan rekayasa sosial menggunakan telepon, email, dan Internet. Mari berkenalan dengan metode utama yang membantu penjahat memperoleh informasi rahasia yang mereka butuhkan.

Taktik 1. Teori sepuluh jabat tangan

Tujuan utama penyerang menggunakan telepon untuk rekayasa sosial adalah untuk meyakinkan korbannya tentang salah satu dari dua hal berikut:

Korban menerima telepon dari pegawai perusahaan;
Perwakilan dari badan yang berwenang (misalnya, petugas penegak hukum atau auditor) menelepon.

Jika seorang penjahat menetapkan sendiri tugas untuk mengumpulkan data tentang karyawan tertentu, dia dapat menghubungi rekan-rekannya terlebih dahulu, mencoba dengan segala cara yang mungkin untuk mengekstrak data yang dia butuhkan.

Ingat teori lama tentang enam jabat tangan? Pakar keamanan mengatakan bahwa hanya ada sepuluh “jabat tangan” antara penjahat dunia maya dan korbannya. Para ahli percaya bahwa dalam kondisi modern Anda selalu perlu sedikit paranoia, karena Anda tidak tahu apa yang diinginkan karyawan tertentu dari Anda.

Penyerang biasanya menargetkan sekretaris (atau seseorang yang memegang posisi serupa) untuk mengumpulkan informasi tentang orang-orang yang menduduki posisi lebih tinggi dalam hierarki. Para ahli mencatat bahwa nada ramah sangat membantu penipu. Perlahan tapi pasti, penjahat mengambil kunci Anda, yang segera menyebabkan Anda berbagi informasi yang tidak akan pernah Anda ungkapkan sebelumnya.

Taktik 2. Mempelajari bahasa korporat

Seperti yang Anda ketahui, setiap industri memiliki formulasi spesifiknya masing-masing. Tugas penyerang yang mencoba memperoleh informasi yang diperlukan adalah mempelajari fitur-fitur bahasa tersebut agar dapat menggunakan teknik rekayasa sosial dengan lebih terampil.

Semua hal spesifik terletak pada studi bahasa perusahaan, istilah dan fiturnya. Jika penjahat dunia maya berbicara dalam bahasa yang familier, familier, dan dapat dimengerti untuk tujuannya, dia akan lebih mudah mendapatkan kepercayaan dan dapat dengan cepat memperoleh informasi yang dia butuhkan.

Taktik 3: Pinjam musik untuk menahan panggilan selama panggilan berlangsung

Agar serangan berhasil, penipu memerlukan tiga komponen: waktu, ketekunan, dan kesabaran. Seringkali serangan siber yang menggunakan rekayasa sosial dilakukan secara perlahan dan metodis - tidak hanya mengumpulkan data tentang orang yang tepat, namun juga apa yang disebut “sinyal sosial”. Hal ini dilakukan demi mendapatkan kepercayaan dan mengelabui sasaran. Misalnya, penyerang dapat meyakinkan orang yang berkomunikasi dengan mereka bahwa mereka adalah rekan kerja.

Salah satu fitur dari pendekatan ini adalah rekaman musik yang digunakan perusahaan selama panggilan, sementara penelepon sedang menunggu jawaban. Penjahat pertama-tama menunggu musik tersebut, kemudian merekamnya, dan kemudian menggunakannya untuk keuntungannya.

Jadi, ketika ada dialog langsung dengan korban, penyerang sempat berkata: “Tunggu dulu, ada telepon di saluran lain.” Kemudian korban mendengar musik yang dikenalnya dan yakin bahwa peneleponnya mewakili perusahaan tertentu. Intinya, ini hanyalah trik psikologis yang cerdik.

Taktik 4. Spoofing (penggantian) nomor telepon

Penjahat sering menggunakan spoofing nomor telepon, yang membantu mereka memalsukan nomor penelepon. Misalnya, penjahat mungkin sedang duduk di apartemennya dan menelepon seseorang yang berkepentingan, namun ID penelepon akan menampilkan nomor milik perusahaan, sehingga menciptakan ilusi bahwa penipu menelepon menggunakan nomor perusahaan.

Tentu saja, karyawan yang tidak curiga biasanya akan memberikan informasi sensitif, termasuk kata sandi, kepada penelepon jika ID penelepon milik perusahaan mereka. Pendekatan ini juga membantu penjahat menghindari pelacakan karena jika Anda menelepon kembali ke nomor ini, Anda akan diarahkan ke saluran internal perusahaan.

Taktik 5: Memanfaatkan berita untuk merugikan Anda

Apapun berita utama saat ini, penyerang menggunakan informasi ini sebagai umpan untuk spam, phishing, dan aktivitas penipuan lainnya. Bukan tanpa alasan para ahli baru-baru ini mencatat peningkatan jumlah email spam, yang topiknya berkaitan dengan kampanye presiden dan krisis ekonomi.

Contohnya adalah serangan phishing terhadap bank. Email tersebut mengatakan sesuatu seperti ini:

“Bank lain [nama bank] sedang mengakuisisi bank Anda [nama bank]. Klik tautan ini untuk memastikan informasi bank Anda diperbarui hingga kesepakatan selesai."

Tentu saja, ini merupakan upaya untuk mendapatkan informasi yang dapat digunakan oleh penipu untuk masuk ke akun Anda, mencuri uang Anda, atau menjual informasi Anda kepada pihak ketiga.

Taktik 6: Memanfaatkan Kepercayaan pada Platform Sosial

Bukan rahasia lagi bahwa Facebook, Myspace dan LinkedIn adalah situs jejaring sosial yang sangat populer. Menurut penelitian para ahli, orang cenderung mempercayai platform semacam itu. Insiden spear-phishing baru-baru ini yang menargetkan pengguna LinkedIn mendukung teori ini.

Oleh karena itu, banyak pengguna akan mempercayai email jika mengaku berasal dari Facebook. Taktik yang umum adalah mengklaim bahwa jejaring sosial sedang menjalani pemeliharaan dan Anda perlu “klik di sini” untuk memperbarui informasi. Inilah sebabnya para ahli menyarankan agar karyawan perusahaan memasukkan alamat web secara manual untuk menghindari tautan phishing.

Perlu juga diingat bahwa dalam kasus yang sangat jarang terjadi, situs akan meminta pengguna untuk mengubah kata sandi atau memperbarui akun mereka.

Taktik 7. Tipe jongkok

Teknik berbahaya ini terkenal karena penyerang menggunakan kesalahan manusia, yaitu kesalahan saat memasukkan URL ke bilah alamat. Jadi, dengan membuat kesalahan hanya pada satu huruf, pengguna dapat berakhir di situs web yang dibuat khusus untuk tujuan ini oleh penyerang.

Penjahat dunia maya dengan hati-hati mempersiapkan lahan untuk terjadinya kesalahan ketik, sehingga situs web mereka akan persis seperti situs resmi yang ingin Anda kunjungi. Jadi, jika Anda salah mengeja alamat web, Anda akan mendapatkan salinan situs yang sah, yang tujuannya adalah untuk menjual sesuatu, atau mencuri data, atau mendistribusikan malware.

Taktik 8. Menggunakan FUD untuk mempengaruhi pasar saham

FUD adalah taktik manipulasi psikologis yang digunakan dalam pemasaran dan propaganda pada umumnya, yang terdiri dari menyajikan informasi tentang sesuatu (khususnya, suatu produk atau organisasi) sedemikian rupa untuk menebarkan ketidakpastian dan keraguan pada audiens tentang kualitasnya sehingga menyebabkan takut akan hal itu.

Menurut penelitian terbaru dari Avert, keamanan dan kerentanan produk dan bahkan seluruh perusahaan dapat mempengaruhi pasar saham. Misalnya, para peneliti telah mempelajari dampak peristiwa seperti Microsoft Patch Tuesday terhadap saham perusahaan, dan menemukan fluktuasi yang nyata setiap bulan setelah informasi tentang kerentanan dipublikasikan.

Anda juga ingat bagaimana pada tahun 2008, penyerang menyebarkan informasi palsu tentang kesehatan Steve Jobs, yang menyebabkan penurunan tajam saham Apple. Ini adalah contoh paling umum dari FUD yang digunakan untuk tujuan jahat.

Selain itu, perlu diperhatikan penggunaan email untuk menerapkan teknik “pump-and-dump” (skema untuk memanipulasi nilai tukar di pasar saham atau pasar mata uang kripto yang diikuti dengan keruntuhan). Dalam hal ini, penyerang dapat mengirimkan email yang menjelaskan potensi luar biasa dari saham yang mereka beli sebelumnya.

Oleh karena itu, banyak yang akan mencoba membeli saham tersebut secepatnya, dan harganya akan naik.

Kesimpulan

Penjahat dunia maya sering kali sangat kreatif dalam menggunakan rekayasa sosial. Setelah mengetahui metode mereka, kita dapat menyimpulkan bahwa berbagai trik psikologis sangat membantu penyerang mencapai tujuannya. Berdasarkan hal tersebut, sebaiknya Anda memperhatikan hal kecil apa pun yang tanpa disadari dapat diungkap oleh penipu, periksa dan periksa kembali informasi tentang orang yang menghubungi Anda, terutama jika informasi rahasia dibicarakan.

Rekayasa sosial

Cerita

Prinsip dan teknik rekayasa sosial

Teknik rekayasa sosial

Berpura-pura

Phishing

Contoh email phishing yang dikirim dari layanan email yang meminta “aktivasi ulang akun”

Cara mengenali serangan phishing

Hampir setiap hari skema penipuan baru bermunculan. Kebanyakan orang dapat belajar mengenali pesan penipuan dengan mengenal beberapa ciri khasnya. Paling sering, pesan phishing berisi:

informasi yang menimbulkan kekhawatiran atau ancaman, seperti penutupan rekening bank pengguna.
janji hadiah uang tunai yang besar dengan sedikit atau tanpa usaha.
permintaan sumbangan sukarela atas nama organisasi amal.
kesalahan tata bahasa, tanda baca, dan ejaan.

Skema phishing yang populer

Penipuan phishing paling populer dijelaskan di bawah ini.

Penipuan menggunakan merek perusahaan terkenal

Lotere palsu

Program antivirus dan keamanan palsu

IVR atau phishing telepon

Prinsip pengoperasian sistem IVR

Ini tentang quo

Kuda Troya

Terkadang penggunaan Trojan hanyalah bagian dari serangan multi-tahap yang direncanakan terhadap komputer, jaringan, atau sumber daya tertentu.

Jenis Trojan

akses jarak jauh
penghancuran data
pemuat
server
penonaktif program keamanan

Sasaran

Tujuan dari program Trojan dapat berupa:

mengunggah dan mengunduh file
menyalin tautan palsu yang mengarah ke situs web palsu, ruang obrolan, atau situs pendaftaran lainnya
mengganggu pekerjaan pengguna
mencuri data berharga atau rahasia, termasuk informasi otentikasi, untuk akses tidak sah ke sumber daya, mendapatkan rincian rekening bank yang dapat digunakan untuk tujuan kriminal
penyebaran malware lain seperti virus
penghancuran data (penghapusan atau penimpaan data pada disk, kerusakan file yang sulit dilihat) dan peralatan, penonaktifan atau kegagalan layanan sistem komputer, jaringan
mengumpulkan alamat email dan menggunakannya untuk mengirim spam
memata-matai pengguna dan secara diam-diam mengkomunikasikan informasi kepada pihak ketiga, seperti kebiasaan browsing
Mencatat penekanan tombol untuk mencuri informasi seperti kata sandi dan nomor kartu kredit
menonaktifkan atau mengganggu pengoperasian program anti-virus dan firewall

Samaran

Cara kerja Trojan

Pengumpulan informasi dari sumber terbuka

Apel jalan

Membalikkan rekayasa sosial

Insinyur Sosial Terkenal

Kevin Mitnick

Kevin Mitnick. Peretas dan konsultan keamanan terkenal di dunia

Saudara Badir

Malaikat Agung

Sampul majalah Phrack

Lainnya

Insinyur sosial yang kurang terkenal termasuk Frank Abagnale, David Bannon, Peter Foster dan Stephen Jay Russell.

Cara untuk melindungi dari rekayasa sosial

Klasifikasi ancaman

Ancaman email

Lampiran pada dokumen.
Hyperlink dalam dokumen.
Permintaan informasi pribadi atau perusahaan yang berasal dari dalam perusahaan.
Permintaan informasi pribadi atau perusahaan yang berasal dari luar perusahaan.

Ancaman terkait dengan penggunaan layanan pesan instan

Pilih satu platform pesan instan.
Tentukan pengaturan keamanan yang ditentukan saat menyebarkan layanan pesan instan.
Menentukan prinsip-prinsip untuk menjalin kontak baru
Tetapkan standar kata sandi
Memberikan rekomendasi untuk menggunakan layanan pesan instan.

Model keamanan bertingkat

Keamanan fisik. Hambatan yang membatasi akses ke gedung perusahaan dan sumber daya perusahaan. Jangan lupa bahwa sumber daya perusahaan, misalnya wadah sampah yang terletak di luar wilayah perusahaan, tidak dilindungi secara fisik.
Data. Informasi bisnis: akun, surat, dll. Saat menganalisis ancaman dan merencanakan tindakan untuk melindungi data, Anda perlu menentukan prinsip penanganan media data kertas dan elektronik.
Aplikasi. Program yang dijalankan pengguna. Untuk melindungi lingkungan Anda, Anda perlu mempertimbangkan bagaimana penyerang dapat mengeksploitasi program email, pesan instan, dan aplikasi lainnya.
Komputer. Server dan sistem klien yang digunakan dalam organisasi. Melindungi pengguna dari serangan langsung pada komputer mereka dengan menetapkan pedoman ketat yang mengatur program apa yang dapat digunakan pada komputer perusahaan.
Jaringan dalam. Jaringan melalui mana sistem perusahaan berinteraksi. Itu bisa lokal, global atau nirkabel. Dalam beberapa tahun terakhir, karena semakin populernya metode kerja jarak jauh, batas-batas jaringan internal menjadi tidak menentu. Karyawan perusahaan perlu diberi tahu apa yang harus mereka lakukan untuk beroperasi dengan aman di lingkungan jaringan apa pun.
Perimeter jaringan. Batas antara jaringan internal perusahaan dan jaringan eksternal, seperti Internet atau jaringan organisasi mitra.

Tanggung jawab

Berpura-pura dan merekam percakapan telepon

Hewlett-Packard

Catatan

Lihat juga

Tautan

Perangkat Sosial.ru – Proyek rekayasa sosial swasta

Metode rekayasa sosial - inilah yang akan dibahas dalam artikel ini, serta segala sesuatu yang berhubungan dengan manipulasi orang, phishing dan pencurian database klien, dan banyak lagi. Andrey Serikov dengan baik hati memberi kami informasi, siapa penulisnya, dan kami sangat berterima kasih padanya.

A. SERIKOV

A.B.BOROVSKY

TEKNOLOGI INFORMASI SOCIAL HACKING

Perkenalan

Keinginan umat manusia untuk mencapai pemenuhan tugas yang diberikan dengan sempurna telah mendorong perkembangan teknologi komputer modern, dan upaya untuk memenuhi tuntutan manusia yang saling bertentangan telah mengarah pada pengembangan produk perangkat lunak. Produk perangkat lunak ini tidak hanya menjaga fungsionalitas perangkat keras, namun juga mengelolanya.

Perkembangan pengetahuan tentang manusia dan komputer telah menyebabkan munculnya jenis sistem baru yang fundamental - “manusia-mesin”, di mana seseorang dapat diposisikan sebagai perangkat keras yang beroperasi di bawah kendali sistem operasi yang stabil, fungsional, dan multi-tasking. sistem yang disebut “jiwa”.

Subyek karyanya adalah pertimbangan peretasan sosial sebagai cabang pemrograman sosial, di mana seseorang dimanipulasi dengan bantuan kelemahan manusia, prasangka dan stereotip dalam rekayasa sosial.

Rekayasa sosial dan metodenya

Metode manipulasi manusia telah dikenal sejak lama; metode ini terutama berasal dari rekayasa sosial dari gudang berbagai badan intelijen.

Kasus intelijen kompetitif pertama yang diketahui terjadi pada abad ke-6 SM dan terjadi di Tiongkok, ketika Tiongkok kehilangan rahasia pembuatan sutra, yang dicuri secara curang oleh mata-mata Romawi.

Rekayasa sosial adalah ilmu yang diartikan sebagai seperangkat metode untuk memanipulasi perilaku manusia, berdasarkan pemanfaatan kelemahan faktor manusia, tanpa menggunakan sarana teknis.

Menurut banyak ahli, ancaman terbesar terhadap keamanan informasi ditimbulkan oleh metode rekayasa sosial, hanya karena penggunaan peretasan sosial tidak memerlukan investasi finansial yang besar dan pengetahuan mendalam tentang teknologi komputer, dan juga karena orang memiliki kecenderungan perilaku tertentu yang dapat menyebabkan kerusakan. digunakan untuk manipulasi hati-hati.

Dan tidak peduli seberapa baik sistem perlindungan teknis, masyarakat akan tetap menjadi manusia dengan kelemahan, prasangka, stereotipnya sendiri, yang melaluinya pengelolaan dapat dilakukan. Menyiapkan “program keamanan” manusia adalah tugas yang paling sulit dan tidak selalu memberikan hasil yang terjamin, karena filter ini harus terus disesuaikan. Di sini, moto utama semua pakar keamanan terdengar lebih relevan dari sebelumnya: “Keamanan adalah sebuah proses, bukan hasil.”

Area penerapan rekayasa sosial:

destabilisasi umum pekerjaan organisasi untuk mengurangi pengaruhnya dan kemungkinan kehancuran total organisasi;
penipuan keuangan dalam organisasi;
phishing dan metode lain untuk mencuri kata sandi untuk mengakses data perbankan pribadi individu;
pencurian database klien;
intelijen kompetitif;
informasi umum tentang organisasi, kekuatan dan kelemahannya, dengan tujuan menghancurkan organisasi ini dengan satu atau lain cara (sering digunakan untuk serangan perampok);
informasi tentang karyawan yang paling menjanjikan dengan tujuan untuk lebih “memikat” mereka ke organisasi Anda;

Pemrograman sosial dan peretasan sosial

Pemrograman sosial dapat disebut sebagai disiplin terapan yang berhubungan dengan pengaruh yang ditargetkan pada seseorang atau sekelompok orang untuk mengubah atau mempertahankan perilaku mereka ke arah yang diinginkan. Oleh karena itu, pemrogram sosial menetapkan tujuan: menguasai seni mengelola manusia. Konsep dasar program sosial adalah bahwa tindakan dan reaksi banyak orang terhadap pengaruh eksternal tertentu dalam banyak kasus dapat diprediksi.

Metode pemrograman sosial menarik karena tidak seorang pun akan mengetahuinya, atau bahkan jika seseorang menebak-nebak sesuatu, sangat sulit untuk membawa angka tersebut ke pengadilan, dan dalam beberapa kasus dimungkinkan untuk “memprogram” perilaku masyarakat, dan satu orang, dan kelompok besar. Peluang-peluang tersebut masuk dalam kategori peretasan sosial justru karena dalam semua itu orang menjalankan kehendak orang lain, seolah-olah menaati “program” yang ditulis oleh seorang peretas sosial.

Peretasan sosial sebagai kemampuan untuk meretas seseorang dan memprogramnya untuk melakukan tindakan yang diinginkan berasal dari pemrograman sosial - disiplin terapan rekayasa sosial, di mana spesialis di bidang ini - peretas sosial - menggunakan teknik pengaruh psikologis dan akting, yang dipinjam dari gudang senjata dari badan intelijen.

Peretasan sosial digunakan dalam banyak kasus ketika menyerang seseorang yang merupakan bagian dari sistem komputer. Sistem komputer yang diretas tidak ada dengan sendirinya. Ini berisi komponen penting - seseorang. Dan untuk mendapatkan informasi, seorang peretas sosial perlu meretas seseorang yang bekerja dengan komputer. Dalam kebanyakan kasus, hal ini lebih mudah dilakukan daripada meretas komputer korban untuk mencari tahu kata sandinya.

Algoritme pengaruh umum dalam peretasan sosial:

Semua serangan peretas sosial masuk ke dalam satu skema yang cukup sederhana:

tujuan mempengaruhi suatu objek tertentu dirumuskan;
informasi tentang objek dikumpulkan untuk mendeteksi target pengaruh yang paling nyaman;
Berdasarkan informasi yang dikumpulkan, dilaksanakan suatu tahapan yang oleh para psikolog disebut ketertarikan. Ketertarikan (dari bahasa Latin Attrahere - menarik, menarik) adalah penciptaan kondisi yang diperlukan untuk mempengaruhi suatu objek;
memaksa peretas sosial untuk mengambil tindakan;

Pemaksaan dicapai dengan melakukan tahapan-tahapan sebelumnya, yaitu setelah ketertarikan tercapai, korban sendiri yang mengambil tindakan yang diperlukan oleh insinyur sosial.

Berdasarkan informasi yang dikumpulkan, peretas sosial secara akurat memprediksi psiko dan sosiotipe korban, mengidentifikasi tidak hanya kebutuhan akan makanan, seks, dll, tetapi juga kebutuhan akan cinta, kebutuhan akan uang, kebutuhan akan kenyamanan, dll. ., dll.

Dan memang, mengapa mencoba menembus perusahaan ini atau itu, meretas komputer, ATM, mengatur kombinasi yang rumit, ketika Anda dapat melakukan segalanya dengan lebih mudah: membuat seseorang jatuh cinta kepada Anda, yang atas kemauannya sendiri, akan mentransfer uang ke akun tertentu atau membagikan uang yang diperlukan setiap kali informasi?

Berdasarkan fakta bahwa tindakan orang dapat diprediksi dan juga tunduk pada hukum tertentu, peretas sosial dan pemrogram sosial menggunakan teknik multi-langkah asli dan teknik positif dan negatif sederhana berdasarkan psikologi kesadaran manusia, program perilaku, getaran organ dalam, logika. pemikiran, imajinasi, ingatan, perhatian. Teknik-teknik ini meliputi:

Generator kayu - menghasilkan osilasi dengan frekuensi yang sama dengan frekuensi osilasi organ dalam, setelah itu efek resonansi diamati, akibatnya orang mulai merasakan ketidaknyamanan yang parah dan keadaan panik;

dampak pada geografi kerumunan - untuk pembubaran damai sekelompok besar orang yang agresif dan sangat berbahaya;

suara frekuensi tinggi dan frekuensi rendah - untuk memicu kepanikan dan efek sebaliknya, serta manipulasi lainnya;

program imitasi sosial - seseorang menentukan kebenaran tindakan dengan mencari tahu tindakan apa yang dianggap benar oleh orang lain;

program claquering - (berdasarkan imitasi sosial) pengorganisasian reaksi yang diperlukan dari penonton;

pembentukan antrian - (berdasarkan peniruan sosial) langkah periklanan yang sederhana namun efektif;

program gotong royong - seseorang berupaya membalas kebaikan kepada orang-orang yang telah berbuat baik kepadanya. Keinginan untuk memenuhi program ini sering kali melampaui segala alasan;

Peretasan sosial di Internet

Dengan munculnya dan perkembangan Internet - lingkungan virtual yang terdiri dari orang-orang dan interaksinya, lingkungan untuk memanipulasi seseorang untuk memperoleh informasi yang diperlukan dan melakukan tindakan yang diperlukan telah meluas. Saat ini, Internet merupakan sarana penyiaran di seluruh dunia, media kolaborasi, komunikasi dan mencakup seluruh dunia. Inilah yang digunakan para insinyur sosial untuk mencapai tujuan mereka.

Cara memanipulasi seseorang melalui Internet:

Di dunia modern, pemilik hampir setiap perusahaan telah menyadari bahwa Internet adalah sarana yang sangat efektif dan nyaman untuk mengembangkan bisnis mereka dan tugas utamanya adalah meningkatkan keuntungan seluruh perusahaan. Diketahui bahwa tanpa informasi yang ditujukan untuk menarik perhatian pada objek yang diinginkan, membangkitkan atau mempertahankan minat terhadapnya dan mempromosikannya di pasar, iklan digunakan. Hanya saja, karena pasar periklanan sudah lama terpecah, sebagian besar jenis periklanan bagi sebagian besar pengusaha hanya membuang-buang uang. Periklanan internet bukan hanya salah satu jenis periklanan di media, tetapi lebih dari itu, karena dengan bantuan periklanan Internet, orang-orang yang tertarik untuk bekerja sama datang ke situs web organisasi.

Periklanan internet, berbeda dengan periklanan di media, memiliki lebih banyak peluang dan parameter untuk mengelola perusahaan periklanan. Indikator terpenting dari periklanan Internet adalah itu Biaya iklan internet hanya didebit saat Anda beralih pengguna yang tertarik melalui link iklan, yang tentunya membuat iklan di Internet lebih efektif dan biayanya lebih murah dibandingkan iklan di media. Jadi, setelah memasang iklan di televisi atau media cetak, mereka membayar lunas dan tinggal menunggu calon klien, namun klien bisa merespon iklan atau tidak - itu semua tergantung kualitas produksi dan penyajian iklan di televisi atau surat kabar. Namun, anggaran iklan telah habis jika iklan tidak berhasil, maka sia-sia. Berbeda dengan iklan media lainnya, iklan Internet memiliki kemampuan untuk melacak respons audiens dan mengelola iklan Internet sebelum anggarannya habis; terlebih lagi, iklan Internet dapat ditangguhkan ketika permintaan produk meningkat dan dilanjutkan ketika permintaan mulai turun.

Metode pengaruh lainnya adalah apa yang disebut “Forum Pembunuhan” di mana, dengan bantuan program sosial, mereka menciptakan anti-iklan untuk proyek tertentu. Dalam hal ini, pemrogram sosial, dengan bantuan tindakan provokatif yang jelas, menghancurkan forum sendirian, menggunakan beberapa nama samaran ( nama panggilan) untuk menciptakan kelompok anti-pemimpin di sekitarnya, dan menarik pengunjung tetap ke proyek yang tidak puas dengan perilaku pemerintah. Di akhir acara seperti itu, mempromosikan produk atau ide di forum menjadi tidak mungkin. Untuk itulah forum ini awalnya dikembangkan.

Metode mempengaruhi seseorang melalui Internet untuk tujuan rekayasa sosial:

Phishing adalah jenis penipuan Internet yang bertujuan untuk mendapatkan akses ke data rahasia pengguna - login dan kata sandi. Operasi ini dicapai melalui pengiriman email secara massal atas nama merek populer, serta pesan pribadi dalam berbagai layanan (Rambler), bank, atau dalam jejaring sosial (Facebook). Surat itu sering kali berisi tautan ke situs web yang secara lahiriah tidak dapat dibedakan dari situs aslinya. Setelah pengguna membuka halaman palsu, insinyur sosial menggunakan berbagai teknik untuk mendorong pengguna memasukkan login dan kata sandinya di halaman tersebut, yang dia gunakan untuk mengakses situs tertentu, yang memungkinkan dia mendapatkan akses ke akun dan rekening bank.

Jenis penipuan yang lebih berbahaya daripada phishing adalah yang disebut pharming.

Pharming adalah mekanisme untuk mengarahkan pengguna secara diam-diam ke situs phishing. Insinyur sosial mendistribusikan program jahat khusus ke komputer pengguna, yang, setelah diluncurkan di komputer, mengalihkan permintaan dari situs yang diperlukan ke situs palsu. Dengan demikian, serangan ini sangat rahasia, dan partisipasi pengguna diminimalkan - cukup menunggu hingga pengguna memutuskan untuk mengunjungi situs yang diminati oleh insinyur sosial.

Kesimpulan

Rekayasa sosial adalah ilmu yang muncul dari sosiologi dan diklaim sebagai kumpulan pengetahuan yang memandu, menertibkan, dan mengoptimalkan proses penciptaan, modernisasi, dan reproduksi realitas sosial baru (“buatan”). Dengan cara tertentu, ia “menyelesaikan” ilmu sosiologi, melengkapinya pada fase transformasi pengetahuan ilmiah menjadi model, proyek dan desain institusi sosial, nilai, norma, algoritma aktivitas, hubungan, perilaku, dll.

Meskipun Social Engineering merupakan ilmu yang tergolong muda, namun menimbulkan kerusakan besar pada proses yang terjadi di masyarakat.

Metode perlindungan paling sederhana dari pengaruh ilmu destruktif ini adalah:

Menarik perhatian masyarakat terhadap masalah keselamatan.

Pengguna memahami keseriusan masalah dan menerima kebijakan keamanan sistem.

Literatur

1. R. Petersen Linux: Panduan Lengkap: trans. dari bahasa Inggris — edisi ke-3. - K.: Grup Penerbitan BHV, 2000. – 800 hal.

2. Dari Grodnev Internet di rumah Anda. - M.: “RIPOL KLASIK”, 2001. -480 hal.

3. M. V. Kuznetsov Rekayasa sosial dan peretasan sosial. Petersburg: BHV-Petersburg, 2007. - 368 hal.: sakit.

OTOMATIS

Cerita

Prinsip dan teknik rekayasa sosial

Teknik rekayasa sosial

Berpura-pura

Phishing

Cara mengenali serangan phishing

Skema phishing yang populer

Penipuan menggunakan merek perusahaan terkenal

Lotere palsu

Program antivirus dan keamanan palsu

IVR atau phishing telepon

Ini tentang quo

Kuda Troya

Jenis Trojan

Sasaran

Samaran

Cara kerja Trojan

Pengumpulan informasi dari sumber terbuka

Apel jalan

Membalikkan rekayasa sosial

Insinyur Sosial Terkenal

Kevin Mitnick

Saudara Badir

Malaikat Agung

Lainnya

Cara untuk melindungi dari rekayasa sosial

Klasifikasi ancaman

Ancaman email

Ancaman terkait dengan penggunaan layanan pesan instan

Model keamanan bertingkat

Tanggung jawab

Berpura-pura dan merekam percakapan telepon

Hewlett-Packard

Catatan

Lihat juga

Tautan

Kebohongan besar dan kecil membutuhkan sikap yang sama telitinya.

Pasir di mata, mie di telinga

Sulit di sekolah, mudah di tempat kerja

Dan aku bukan aku, dan omong kosong itu bukan milikku

Hanya kamu, dan hanya aku

Perkenalan

Taktik 1. Teori sepuluh jabat tangan

Taktik 2. Mempelajari bahasa korporat

Taktik 3: Pinjam musik untuk menahan panggilan selama panggilan berlangsung

Taktik 4. Spoofing (penggantian) nomor telepon

Taktik 5: Memanfaatkan berita untuk merugikan Anda

Taktik 6: Memanfaatkan Kepercayaan pada Platform Sosial

Taktik 7. Tipe jongkok

Taktik 8. Menggunakan FUD untuk mempengaruhi pasar saham

Kesimpulan

Cerita

Prinsip dan teknik rekayasa sosial

Teknik rekayasa sosial

Berpura-pura

Phishing

Cara mengenali serangan phishing

Skema phishing yang populer

Penipuan menggunakan merek perusahaan terkenal

Lotere palsu

Program antivirus dan keamanan palsu

IVR atau phishing telepon

Ini tentang quo

Kuda Troya

Jenis Trojan

Sasaran

Samaran

Cara kerja Trojan

Pengumpulan informasi dari sumber terbuka

Apel jalan

Membalikkan rekayasa sosial

Insinyur Sosial Terkenal

Kevin Mitnick

Saudara Badir

Malaikat Agung

Lainnya

Cara untuk melindungi dari rekayasa sosial

Klasifikasi ancaman

Ancaman email