Seni kejuruteraan sosial: Adakah anda dikondisikan?

Satu ilustrasi seorang lelaki dalam hoodie menggunakan rentetan wayang pada seorang lelaki duduk di meja.

Apabila kita menjadi lebih baik dalam menguasai sistem komputer kita, kita mendapati bahawa garis pertahanan yang paling lemah adalah, sebenarnya, manusia. Kejuruteraan sosial adalah seni gelap memanipulasi orang. Penggodam sosial mungkin mahu akses ke bangunan, untuk mendapatkan maklumat yang mereka tidak sepatutnya, atau hanya untuk meningkatkan status mereka dalam masyarakat.

Penggodam sosial telah dimuliakan dalam filem seperti Catch Me If You Can dan Six Degrees of Separation, dan pesona yang sama yang memberi mereka keupayaan untuk memanipulasi mangsa dapat bertukar menjadi bintang bagi orang awam.

Penggodaman sosial boleh datang dalam pelbagai bentuk, seperti penipuan telefon dan e-mel, perkahwinan eksploitatif yang sengaja, atau seluruh identiti palsu yang dikekalkan selama beberapa dekad.

Tetapi bagaimana mereka melakukan ini? Dan bagaimana kita dapat melindungi diri kita daripada orang yang mempunyai hadiah untuk mendapatkan semua orang di sekeliling mereka untuk menjatuhkan pengawal mereka?

1) Terdapat banyak maklumat mengenai anda di internet

Dalam taktik yang dipanggil pretexting, penggodam akan mencipta alasan untuk menghubungi anda, melalui telefon atau e-mel atau secara peribadi. Selalunya ini bermakna melakukan penyelidikan yang luar biasa tentang latar belakang anda, pendidikan anda, kerja anda, dan juga peranti yang anda miliki. Penyerang mungkin mengejutkan anda dengan apa yang kelihatan seperti maklumat orang dalam, mungkin dengan mengetahui alamat IP atau ID universiti anda. Mereka mungkin memanfaatkan maklumat yang ditawarkan secara sukarela di tempat lain di internet, kemudian terlupa.

Pretexting sering digunakan untuk mendapatkan lebih banyak maklumat daripada sasaran dan kadang-kadang dibahas sebagai “mengesahkan” maklumat. Ia boleh digunakan untuk menipu pengguna untuk menjalankan tugas sensitif keselamatan, seperti memuat turun perisian, melumpuhkan firewall, atau melangkau mekanisme keselamatan.

Taktik lain adalah a teknik pengalihan. Ini adalah apabila penyerang meyakinkan anda untuk membuat pembayaran ke akaun lain, atau menghantar penghantaran anda ke alamat lain. Seringkali cukup taktik ini adalah mengenai mengalihkan kunci komunikasi atau penyulitan. Seseorang mungkin memanggil anda, berpura-pura menjadi wakil penyedia bank atau e-mel, kemudian memberi anda bantuan mengenai mesej amaran. Orang itu mungkin memberitahu anda supaya “selamat mengabaikan” amaran. Begitu juga, anda mungkin diminta untuk mula berkomunikasi dengan seseorang “dari jabatan yang lain” atau diberi kunci penyulitan alternatif untuk digunakan dengan akaun anda.

2) Anda seorang yang baik dan jujur

Kebanyakan orang suka membantu orang lain dalam beberapa cara dan tidak mengesyaki serangan di belakang setiap permintaan. Dan tentu saja kita tidak boleh menggantikan penolong kami dengan paranoia yang tidak dapat dipertahankan.

Adalah sukar untuk mengekalkan keseimbangan yang sihat, dan sering terdapat tanda-tanda paranoia yang dipenuhi dengan cemuhan.

Kami kurang mencurigakan apabila perkara baik berlaku kepada kami. Bar USB yang mahal yang anda dapati di atas lantai mungkin bertukar menjadi malware, atau beruang teddy berbulu yang dihantar ke pejabat anda mungkin mengandungi kamera atau peranti penjejakan. Taktik ini dikenali sebagai umpan, dan dalam kes yang melampau, penyerang boleh pergi sejauh mengatakan bahawa mereka telah “jatuh cinta dengan anda,” atau menawarkan hadiah utama untuk pertandingan yang anda tidak ingat masuk.

Dengan tidak melakukan berhati-hati dan mengesahkan identiti orang yang menjangkau kita, penyerang dapat menubuhkan pihak berkuasa atas kami. Dalam organisasi yang besar, sukar untuk mengetahui dengan tepat siapa yang lebih tinggi dari rantaian perintah, dan pekerja baru sangat terdedah kepada jenis penipuan ini. Perbadanan mungkin lebih mudah terdedah kepada serangan seperti ini selepas perubahan atau penstrukturan semula pengurusan.

Penggodam sosial mungkin juga eksploitasi kebaikan anda lebih mantap, hanya dengan meminta sesuatu. Dalam persekitaran kerja yang kasar, penekanan pekerja sering memberi tindak balas positif terhadap permintaan yang baik. Sebenarnya, kebanyakan orang akan bertindak balas kepada kebaikan atau kuasa.

3) Anda mendedahkan lebih banyak tentang anda daripada yang anda fikirkan

Anda mungkin tidak tahu sama ada anda adalah orang yang bertindak lebih baik kepada pihak berkuasa atau kebaikan, tetapi penyerang mahir mungkin dengan cepat mengetahui dengan membaca tanda-tanda halus dalam ekspresi wajah atau gerak tangan Anda.

Victor Lustig, penasihat tuan yang menipu seorang peniaga logam scrap untuk mempercayai dia membeli Menara Eiffel, menjelaskan:

  • Menjadi pendengar yang sabar (ia adalah perkara ini, tidak bercakap dengan cepat, yang menjadikan lelaki itu sebagai rampasan kuasa).
  • Tunggu orang lain untuk mendedahkan pendapat politik, kemudian bersetuju dengan mereka.
  • Biarkan orang lain mendedahkan pandangan keagamaan, kemudian mempunyai yang sama.
  • Petunjuk bercakap seks, tetapi jangan mengikutinya kecuali orang lain menunjukkan minat yang kuat.
  • Jangan pernah membincangkan penyakit, melainkan jika ada kebimbangan khusus.
  • Jangan sekali-kali membuang ke dalam keadaan peribadi seseorang (sasaran akan memberitahu anda pada akhirnya).
  • Jangan bermegah-hanya biarkan kepentingan anda diam-diam jelas.

Lebih disasarkan dan berkesan boleh menjadi a phishing serang. Dalam bentuk yang paling biasa, anda menerima e-mel dari bank anda dengan permintaan untuk log masuk ke akaun anda. Tetapi bukannya diarahkan ke laman web bank anda, anda akan dihantar ke tapak identik yang dimiliki oleh penyerang. Serangan ini juga boleh mengelakkan pengesahan dua faktor. Apabila penyerang cuba log masuk ke akaun sebenar anda, anda mungkin menerima mesej teks dengan kod keselamatan dari bank anda. Mereka akan memperoleh ini, hanya dengan meminta anda memasukkannya ke laman palsu mereka.

4) Fikiran anda mudah melompat ke kesimpulan

Kami tidak suka mengakui apabila kita tidak mengenali orang yang mendakwa mengenali kita. Terutama jika mereka seolah-olah tahu butiran intim mengenai diri kita sendiri. Sebenarnya kita lebih cenderung untuk menipu diri sendiri untuk berfikir bahawa kita mesti mengenali orang itu, dan bukannya berhadapan dengan risiko konfrontasi untuk menjelaskan sifat hubungan kita. Ini dieksploitasi dalam penipuan telefon yang tak terhitung jumlahnya, di mana orang ditipu untuk mempercayai bahawa saudara jauh mereka memanggil dan memerlukan bantuan kewangan.

William Thompson, yang tinggal di New York City pada tahun 1840-an, meyakinkan orang asing rawak bukan sahaja bahawa mereka mengenalnya, tetapi juga bahawa mereka boleh mempercayainya dengan menjaga harta benda mereka. Dia cepat dikenali di seluruh negara sebagai “lelaki keyakinan”.

5) Anda cenderung untuk mempercayai orang lain seperti anda

Anda tidak mempunyai niat jahat, jadi mengapa orang lain? Sukar bagi kita untuk membayangkan bahawa kadang-kadang orang yang biasa kelihatan ingin membahayakan anda.

Anda tahu mengenai penggodam jahat, tetapi mereka hanya menyerang negara-negara dan aktivis hak-hak sivil, kan? Mengapa seseorang akan melalui usaha mencuba anda? Anda tidak mempunyai kes-kes wang atau rahsia perdagangan untuk mencuri. Oleh itu mengapa orang mahu melakukan kerosakan kepada anda?

Pada hakikatnya, anda dan data anda mungkin jauh lebih berharga dari yang anda fikirkan, dan anda mungkin telah diserang dalam satu cara atau yang lain. Ini mungkin serangan automatik atau ia mungkin hanya satu kebetulan, tetapi anda bijak untuk tidak mempercayai kebetulan bertuah secara membuta tuli. Berhati-hati dengan kemunculan kenalan lama atau apa-apa permintaan aneh yang datang melalui telefon.

Baca lebih banyak maklumat privasi dan keselamatan internet di sini