Seni rekayasa sosial: Apakah Anda dikondisikan?

Sebuah ilustrasi tentang seorang pria berkerudung menggunakan tali boneka pada seorang pria duduk di sebuah meja.

Ketika kita menjadi lebih baik dalam mengamankan sistem komputer kita, kita menemukan bahwa garis pertahanan terlemah adalah, pada kenyataannya, manusia. Rekayasa sosial adalah seni kelam untuk memanipulasi orang. Peretas sosial mungkin ingin akses ke gedung, untuk mendapatkan informasi yang tidak seharusnya mereka miliki, atau hanya untuk meningkatkan status mereka di masyarakat.

Peretas sosial telah dimuliakan dalam film-film seperti Catch Me If You Can dan Six Degrees of Separation, dan pesona yang sama yang memberi mereka kemampuan untuk memanipulasi korban dapat diubah untuk menjadikan mereka bintang untuk publik yang berzina..

Peretasan sosial dapat terjadi dalam berbagai bentuk, seperti penipuan telepon dan email, pernikahan yang sengaja dieksploitasi, atau seluruh identitas palsu yang dipertahankan selama beberapa dekade..

Tetapi bagaimana mereka melakukan ini? Dan bagaimana kita bisa melindungi diri kita dari orang-orang yang memiliki bakat untuk membuat semua orang di sekitar mereka kehilangan kewaspadaan?

1) Ada banyak informasi tentang Anda di internet

Dalam taktik yang disebut dalih, peretas akan menciptakan dalih untuk menghubungi Anda, melalui telepon atau email atau secara langsung. Seringkali ini berarti melakukan penelitian luar biasa tentang latar belakang Anda, pendidikan Anda, pekerjaan Anda, dan bahkan perangkat yang Anda miliki. Penyerang mungkin akan mengejutkan Anda dengan apa yang tampak seperti informasi orang dalam, mungkin dengan mengetahui alamat IP atau ID universitas Anda. Mereka mungkin memanfaatkan informasi yang Anda tawarkan secara sukarela di tempat lain di internet, lalu lupakan.

Pretexting sering digunakan untuk mendapatkan lebih banyak informasi dari target dan kadang-kadang diucapkan sebagai “mengkonfirmasi” informasi. Ini dapat digunakan untuk menipu pengguna agar melakukan tugas-tugas sensitif keamanan, seperti mengunduh perangkat lunak, menonaktifkan firewall, atau mem-bypass mekanisme keamanan.

Taktik lain adalah a teknik pengalihan. Ini terjadi ketika penyerang meyakinkan Anda untuk melakukan pembayaran ke akun lain, atau mengirim kiriman Anda ke alamat lain. Cukup sering taktik ini adalah tentang mengalihkan komunikasi atau kunci enkripsi. Seseorang mungkin memanggil Anda, berpura-pura menjadi perwakilan bank atau penyedia email, lalu memberi Anda informasi penting tentang pesan peringatan. Orang tersebut mungkin memberi tahu Anda untuk “mengabaikan” peringatan dengan aman. Demikian pula, Anda mungkin diminta untuk mulai berkomunikasi dengan seseorang “dari departemen yang berbeda” atau diberikan kunci enkripsi alternatif untuk digunakan dengan akun Anda.

2) Anda adalah orang yang baik dan jujur

Kebanyakan orang senang membantu orang lain dengan cara tertentu dan tidak mencurigai adanya serangan di balik setiap permintaan. Dan tentu saja kita tidak seharusnya menggantikan rasa menolong kita dengan paranoia yang tak tertahankan.

Sulit untuk mempertahankan keseimbangan yang sehat, dan seringkali tanda-tanda paranoia ditertawakan.

Kita tidak terlalu curiga ketika hal-hal baik terjadi pada kita. Stik USB mahal yang Anda temukan di lantai mungkin ternyata mengandung malware, atau boneka beruang berbulu yang dikirim ke kantor Anda mungkin berisi kamera atau alat pelacak. Taktik ini dikenal sebagai memancing, dan dalam kasus-kasus ekstrem, penyerang mungkin bertindak lebih jauh dengan mengatakan bahwa mereka “jatuh cinta kepada Anda,” atau menawarkan hadiah utama untuk kompetisi yang Anda tidak ingat masuk.

Dengan tidak berhati-hati dan memverifikasi identitas orang yang menjangkau kami, penyerang dapat melakukannya membangun otoritas atas kita. Dalam sebuah organisasi besar mungkin sulit untuk mengetahui dengan tepat siapa yang lebih tinggi dari rantai komando, dan karyawan baru sangat rentan terhadap jenis penipuan ini. Korporasi mungkin lebih rentan terhadap serangan semacam ini setelah perubahan manajemen atau restrukturisasi.

Peretas sosial bahkan mungkin mengeksploitasi kebaikanmu jauh lebih blak-blakan, hanya dengan meminta sesuatu. Dalam lingkungan kerja yang kasar, karyawan yang stres sering merespons dengan sangat positif permintaan yang baik. Bahkan, kebanyakan orang akan merespons kebaikan atau otoritas.

3) Anda mengungkapkan lebih banyak tentang Anda daripada yang Anda pikirkan

Anda mungkin tidak tahu apakah Anda adalah tipe orang yang merespons otoritas atau kebaikan dengan lebih baik, tetapi penyerang yang terampil mungkin dengan cepat mengetahuinya dengan membaca tanda-tanda halus dalam ekspresi wajah atau gerakan tangan Anda..

Victor Lustig, master con artist yang menipu pedagang besi tua agar percaya ia membeli Menara Eiffel, menjelaskan:

  • Jadilah pendengar yang sabar (inilah, bukan pembicaraan cepat, yang membuat penipu kudanya).
  • Tunggu orang lain mengungkapkan pendapat politiknya, lalu setujui dengan mereka.
  • Biarkan orang lain mengungkapkan pandangan agama, lalu miliki pandangan yang sama.
  • Petunjuk dalam pembicaraan seks, tetapi jangan menindaklanjutinya kecuali orang lain menunjukkan minat yang kuat.
  • Jangan pernah membicarakan penyakit, kecuali jika perhatian khusus ditunjukkan.
  • Jangan pernah mencampuri keadaan pribadi seseorang (target akan memberi tahu Anda semua pada akhirnya).
  • Jangan pernah menyombongkan diri — biarkan kepentingan Anda menjadi sangat jelas.

Lebih bertarget dan efisien bisa menjadi pengelabuan menyerang. Dalam bentuknya yang paling umum, Anda menerima email dari bank Anda dengan permintaan untuk masuk ke akun Anda. Tetapi alih-alih diarahkan ke situs web bank Anda, Anda dikirim ke situs identik yang dimiliki oleh para penyerang. Serangan ini bahkan dapat menghindari otentikasi dua faktor. Ketika penyerang mencoba masuk ke akun nyata Anda, Anda dapat menerima pesan teks dengan kode keamanan dari bank Anda. Mereka akan mendapatkan ini, hanya dengan meminta Anda untuk memasukkannya di situs palsu mereka.

4) Pikiran Anda dengan mudah melompat ke kesimpulan

Kami benci untuk mengakui ketika kami tidak mengenali orang-orang yang mengaku mengenal kami. Apalagi jika mereka sepertinya tahu detail intim tentang diri kita. Faktanya, kita lebih cenderung menipu diri kita sendiri dengan berpikir bahwa kita harus mengenal orang itu, daripada mempertaruhkan konfrontasi untuk menjelaskan sifat hubungan kita. Ini dieksploitasi dalam penipuan telepon yang tak terhitung jumlahnya, di mana orang-orang diperdaya untuk mempercayai kerabat jauh mereka menelepon dan membutuhkan bantuan keuangan.

William Thompson, yang tinggal di New York City pada tahun 1840-an, meyakinkan orang asing tidak hanya bahwa mereka mengenalnya, tetapi juga bahwa mereka dapat mempercayainya dengan menjaga harta berharga mereka. Dia dengan cepat dikenal di seluruh negeri sebagai “orang yang percaya diri.”

5) Anda cenderung percaya bahwa orang lain juga seperti Anda

Anda tidak memiliki niat jahat, jadi mengapa orang lain mau? Sulit bagi kita untuk membayangkan bahwa kadang-kadang orang yang tampaknya biasa ingin menyakitimu.

Anda tahu tentang peretas jahat, tetapi mereka hanya menyerang negara-bangsa dan aktivis hak-hak sipil, bukan? Mengapa seseorang harus melalui upaya mencoba meretas Anda? Anda tidak memiliki kasus uang atau rahasia dagang untuk dicuri. Jadi mengapa orang ingin menyakiti Anda??

Pada kenyataannya, Anda dan data Anda mungkin jauh lebih berharga daripada yang Anda pikirkan, dan Anda mungkin sudah diserang dengan satu atau lain cara. Ini mungkin serangan otomatis atau mungkin hanya kebetulan, tetapi Anda bijaksana untuk tidak mempercayai kebetulan yang beruntung secara membabi buta. Berhati-hatilah dengan kenalan lama seorang kenalan lama atau permintaan aneh apa pun yang datang melalui telepon.

Baca lebih lanjut tips privasi dan keamanan internet di sini