Apakah Kejuruteraan Sosial, dan Bagaimana Anda Boleh Menghindarinya?
Malware bukan satu-satunya ancaman dalam talian yang perlu dibimbangkan. Kejuruteraan sosial adalah satu ancaman besar, dan ia boleh memukul anda di mana-mana sistem operasi. Malah, kejuruteraan sosial juga boleh berlaku melalui telefon dan dalam situasi tatap muka.
Adalah penting untuk mengetahui tentang kejuruteraan sosial dan menjadi peninjau. Program keselamatan tidak melindungi anda daripada ancaman kejuruteraan sosial yang paling, jadi anda perlu melindungi diri anda.
Kejuruteraan Sosial Dijelaskan
Serangan berasaskan komputer tradisional sering bergantung pada mencari kerentanan dalam kod komputer. Sebagai contoh, jika anda menggunakan versi Adobe Flash yang tidak lengkap - atau, dewa melarang, Java, yang menyebabkan 91% serangan pada tahun 2013 mengikut Cisco - anda boleh melawat laman web yang berniat jahat dan laman web itu akan mengeksploitasi kerentanan dalam perisian anda untuk mendapatkan akses ke komputer anda. Penyerang memanipulasi pepijat dalam perisian untuk mendapatkan akses dan mengumpulkan maklumat peribadi, mungkin dengan keylogger yang mereka pasang.
Tips teknik kejuruteraan sosial berbeza kerana mereka melibatkan manipulasi psikologi. Dalam erti kata lain, mereka mengeksploitasi orang, bukan perisian mereka.
Anda mungkin sudah mendengar phishing, yang merupakan bentuk kejuruteraan sosial. Anda mungkin menerima e-mel yang mendakwa dari bank, syarikat kad kredit, atau perniagaan lain yang dipercayai. Mereka boleh mengarahkan anda ke laman web palsu yang menyamar untuk kelihatan seperti yang sebenar atau meminta anda memuat turun dan memasang program berniat jahat. Namun, teknik kejuruteraan sosial itu tidak perlu melibatkan laman web palsu atau malware. E-mail pemancingan hanya boleh meminta anda menghantar balasan e-mel dengan maklumat peribadi. Daripada cuba mengeksploitasi bug dalam perisian, mereka cuba mengeksploitasi interaksi manusia yang normal. Phishing spam boleh menjadi lebih berbahaya, karena ia merupakan bentuk phishing yang dirancang untuk menargetkan individu tertentu.
Contoh Kejuruteraan Sosial
Satu helah popular dalam perkhidmatan sembang dan permainan dalam talian adalah untuk mendaftarkan akaun dengan nama seperti "Pentadbir" dan menghantar mesej yang menakutkan kepada orang seperti "AMARAN: Kami telah mengesan seseorang mungkin menggodam akaun anda, balas dengan kata laluan anda untuk mengesahkan diri anda." Jika sasaran menjawab dengan kata laluan mereka, mereka telah jatuh untuk menipu dan penyerang kini mempunyai kata laluan akaun mereka.
Jika seseorang mempunyai maklumat peribadi mengenai anda, mereka boleh menggunakannya untuk mendapatkan akses ke akaun anda. Sebagai contoh, maklumat seperti tarikh lahir, nombor keselamatan sosial dan nombor kad kredit sering digunakan untuk mengenal pasti anda. Sekiranya seseorang mempunyai maklumat ini, mereka boleh menghubungi perniagaan dan berpura-pura menjadi anda. Silap mata ini digunakan oleh penyerang untuk mendapatkan akses kepada Yahoo! Sarah Palin Akaun mel pada tahun 2008, mengemukakan maklumat peribadi yang cukup untuk mendapatkan akses ke akaun melalui borang pemulihan kata laluan Yahoo !. Kaedah yang sama boleh digunakan untuk melalui telefon jika anda mempunyai maklumat peribadi yang memerlukan perniagaan untuk mengesahkan anda. Penyerang dengan beberapa maklumat mengenai sasaran boleh berpura-pura menjadi mereka dan mendapat akses kepada lebih banyak perkara.
Kejuruteraan sosial juga boleh digunakan secara peribadi. Seorang penyerang boleh masuk ke dalam perniagaan, memaklumkan kepada setiausaha bahawa mereka adalah orang yang membaiki, pekerja baru, atau pemeriksa kebakaran dengan nada berwibawa dan meyakinkan, dan kemudian mengembara di dewan dan berpotensi mencuri data sulit atau menimbulkan bug untuk melakukan pengintipan korporat. Silap mata ini bergantung pada penyerang membentangkan diri mereka sebagai seseorang yang mereka tidak. Sekiranya setiausaha, penjaga pintu, atau sesiapa yang bertanggungjawab tidak meminta terlalu banyak soalan atau kelihatan terlalu dekat, silap mata itu akan berjaya.
Serangan sosial-kejuruteraan merangkumi pelbagai laman web palsu, e-mel palsu, dan mesej sembang yang menyalahgunakan sehingga menyamar sebagai seseorang di telefon atau orang. Serangan ini datang dalam pelbagai bentuk, tetapi mereka semua mempunyai satu perkara yang sama - mereka bergantung pada tipu psikologi. Kejuruteraan sosial telah dipanggil seni manipulasi psikologi. Ini salah satu cara utama "penggodam" sebenarnya "hack" akaun dalam talian.
Bagaimana Menghindari Kejuruteraan Sosial
Mengetahui kejuruteraan sosial boleh membantu anda memeranginya. Sentiasa mencurigai e-mel, mesej sembang, dan panggilan telefon yang tidak diminta yang meminta maklumat peribadi. Jangan sekali-kali mendedahkan maklumat kewangan atau maklumat peribadi penting melalui e-mel. Jangan muat turun lampiran e-mel yang berpotensi berbahaya dan jalankannya, walaupun e-melnya mendakwa ia penting.
Anda juga tidak sepatutnya mengikuti pautan dalam e-mel ke laman web sensitif. Contohnya, jangan klik pautan dalam e-mel yang kelihatan dari bank anda dan log masuk. Ini mungkin membawa anda ke laman pancingan palsu yang disamur untuk dilihat sebagai tapak bank anda, tetapi dengan URL yang berbeza. Melawat laman web secara terus.
Jika anda menerima permintaan yang mencurigakan - contohnya, panggilan telefon dari bank anda meminta maklumat peribadi - hubungi sumber permintaan secara langsung dan minta pengesahan. Dalam contoh ini, anda akan menghubungi bank anda dan bertanya apa yang mereka mahu dan bukannya mendedahkan maklumat tersebut kepada seseorang yang mengaku sebagai bank anda.
Program e-mel, pelayar web, dan suite keselamatan umumnya mempunyai penapis phishing yang akan memberi amaran kepada anda apabila anda melawat tapak pancingan data yang diketahui. Semua yang mereka boleh lakukan adalah memberi amaran kepada anda apabila anda melawat tapak pancingan data yang diketahui atau menerima e-mel phishing yang diketahui, dan mereka tidak tahu tentang semua tapak pancingan atau e-mel di luar sana. Untuk sebahagian besar, terpulang kepada anda untuk melindungi diri anda - program keselamatan hanya dapat membantu sedikit.
Adalah idea yang baik untuk menjalankan syak wasangka yang sihat apabila berurusan dengan permintaan untuk data peribadi dan apa sahaja yang boleh menjadi serangan sosial-kejuruteraan. Suspek dan hati-hati akan membantu melindungi anda, baik dalam talian dan di luar talian.
Kredit Imej: Jeff Turnet pada Flickr