Sepotong berita baru-baru ini membuat saya menyadari bagaimana emosi dan pikiran manusia dapat (atau, sedang) digunakan untuk kepentingan orang lain. Hampir setiap dari Anda mengenal Edward Snowden , pelapor NSA yang mengintai dunia. Reuters melaporkan bahwa dia meminta sekitar 20-25 orang NSA untuk menyerahkan kata sandi mereka kepadanya untuk memulihkan beberapa data yang dia bocorkan nanti [1]. Bayangkan^(Imagine) betapa rapuhnya jaringan perusahaan Anda, bahkan dengan perangkat lunak keamanan terkuat dan terbaik!

Apa itu Rekayasa Sosial?

Kelemahan manusia^(Human) , rasa ingin tahu, emosi, dan karakteristik lainnya sering digunakan dalam mengekstrak data secara ilegal – baik itu industri apa pun. Industri TI^{(IT Industry)} , bagaimanapun, telah memberinya nama rekayasa sosial. Saya mendefinisikan rekayasa sosial sebagai:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Berikut adalah baris lain dari berita yang sama [1] yang ingin saya kutip – “ Badan keamanan mengalami kesulitan dengan gagasan bahwa orang di bilik berikutnya mungkin tidak dapat diandalkan^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ”. Saya memodifikasi pernyataan itu sedikit agar sesuai dengan konteks di sini. Anda dapat membaca berita selengkapnya menggunakan tautan di bagian Referensi^(References) .

Dengan kata lain, Anda tidak memiliki kendali penuh atas keamanan organisasi Anda dengan rekayasa sosial yang berkembang jauh lebih cepat daripada teknik untuk mengatasinya. Rekayasa sosial^(Social) dapat berupa apa saja seperti menelepon seseorang yang mengatakan bahwa Anda adalah dukungan teknis dan meminta kredensial login mereka. Anda pasti telah menerima email phishing tentang lotere, orang kaya di Timur Tengah^{(Mid East)} dan Afrika^(Africa) yang menginginkan mitra bisnis, dan tawaran pekerjaan untuk menanyakan detail Anda.

Tidak seperti serangan phishing, rekayasa sosial lebih merupakan interaksi langsung dari orang ke orang. Yang pertama (phishing) menggunakan umpan – yaitu, orang-orang yang “memancing” menawarkan sesuatu kepada Anda dengan harapan Anda akan menyukainya. Rekayasa sosial^(Social) lebih tentang memenangkan kepercayaan karyawan internal sehingga mereka mengungkapkan detail perusahaan yang Anda butuhkan.

Baca: ^(Read:) Metode Populer Rekayasa Sosial .

Teknik Rekayasa Sosial yang Dikenal

Ada banyak, dan semuanya menggunakan kecenderungan dasar manusia untuk masuk ke database organisasi mana pun. Teknik rekayasa sosial yang paling sering digunakan (mungkin sudah ketinggalan zaman) adalah menelepon dan bertemu orang-orang dan membuat mereka percaya bahwa mereka berasal dari dukungan teknis yang perlu memeriksa komputer Anda. Mereka juga dapat membuat kartu identitas palsu untuk membangun kepercayaan. Dalam beberapa kasus, pelakunya menyamar sebagai pejabat negara.

Teknik terkenal lainnya adalah mempekerjakan orang Anda sebagai karyawan di organisasi sasaran. Sekarang, karena penipu ini adalah kolega Anda, Anda mungkin memercayainya dengan detail perusahaan. Karyawan eksternal mungkin membantu Anda dengan sesuatu, sehingga Anda merasa berkewajiban, dan saat itulah mereka dapat melakukannya secara maksimal.

Saya juga membaca beberapa laporan tentang orang-orang yang menggunakan hadiah elektronik. Stik USB^(USB) mewah yang dikirimkan kepada Anda di alamat perusahaan Anda atau pen drive yang tergeletak di mobil Anda dapat membuktikan bencana. Dalam suatu kasus, seseorang meninggalkan beberapa USB drive dengan sengaja di tempat parkir sebagai umpan [2].

Jika jaringan perusahaan Anda memiliki langkah-langkah keamanan yang baik di setiap node, Anda diberkati. Jika tidak, node ini menyediakan jalur yang mudah untuk malware – dalam hadiah atau pen drive yang “terlupakan” – ke sistem pusat.

Karena itu, kami tidak dapat memberikan daftar lengkap metode rekayasa sosial. Ini adalah ilmu pada intinya, dikombinasikan dengan seni di atas. Dan Anda tahu bahwa tak satu pun dari mereka memiliki batasan. Orang-orang rekayasa sosial^(Social) terus berkreasi sambil mengembangkan perangkat lunak yang juga dapat menyalahgunakan perangkat nirkabel untuk mendapatkan akses ke Wi-Fi perusahaan .

Baca: ^(Read:) Apa itu Malware Rekayasa Sosial .

Mencegah Rekayasa Sosial

Secara pribadi, saya tidak berpikir ada teorema yang dapat digunakan admin untuk mencegah peretasan rekayasa sosial. Teknik rekayasa sosial terus berubah, dan karenanya menjadi sulit bagi admin TI untuk melacak apa yang terjadi.

Tentu saja, ada kebutuhan untuk mengawasi berita rekayasa sosial sehingga seseorang cukup mendapat informasi untuk mengambil langkah-langkah keamanan yang tepat. Misalnya, dalam hal perangkat USB , admin dapat memblokir drive USB pada masing-masing node yang memungkinkannya hanya di server yang memiliki sistem keamanan yang lebih baik. Demikian juga^(Likewise) , Wi-Fi akan membutuhkan enkripsi yang lebih baik daripada yang disediakan sebagian besar ISP^(ISPs) lokal .

Melatih karyawan dan melakukan tes acak pada kelompok karyawan yang berbeda dapat membantu mengidentifikasi titik lemah dalam organisasi. Akan mudah untuk melatih dan memperingatkan individu yang lebih lemah. Kewaspadaan^(Alertness) adalah pertahanan terbaik. Yang ditekankan adalah bahwa informasi login tidak boleh dibagikan bahkan dengan pemimpin tim – terlepas dari tekanannya. Jika seorang pemimpin tim perlu mengakses login anggota, dia dapat menggunakan kata sandi utama. Itu hanya satu saran untuk tetap aman dan menghindari peretasan rekayasa sosial.

Intinya adalah, selain malware dan peretas online, orang-orang TI juga perlu menangani rekayasa sosial. Saat mengidentifikasi metode pelanggaran data (seperti menuliskan kata sandi, dll.), admin juga harus memastikan staf mereka cukup pintar untuk mengidentifikasi teknik rekayasa sosial untuk menghindarinya sama sekali. Menurut Anda apa metode terbaik untuk mencegah rekayasa sosial? Jika Anda menemukan kasus yang menarik, silakan berbagi dengan kami.

Unduh ebook ini tentang Serangan Rekayasa Sosial yang dirilis oleh Microsoft dan pelajari bagaimana Anda dapat mendeteksi dan mencegah serangan semacam itu di organisasi Anda.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Referensi^(References)

[1] Reuters , Snowden Membujuk Karyawan NSA Untuk^{(NSA Employees Into)} Mendapatkan Info Masuk Mereka^(Info)

[2] Boing Net , Pen Drive yang Digunakan untuk Menyebarkan Malware^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news madе me realіze how human еmotions and thoughts can be (or, are) usеd for others’ benefit. Almost every one of you knows Edward Snowden, the whistleblоwer of NSA snоoping the world over. Reuters reported that he got around 20-25 NSA people to hаnd over their paѕswords to him for recoνering some datа he lеaked later [1]. Imagine how fragіle your corporate netwоrk can be, even with the strоngest and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet and Social Networking Sites addiction

• Situs web Fake News: masalah yang berkembang & apa artinya di dunia saat ini

• Cara Mengatur, Rekam, Edit, Publikasikan Instagram Reels

• Cara mengaktifkan otentikasi dua faktor untuk Reddit account

• Terhubung dengan Windows Club

• Cara Membuat Instagram Carousel Dalam Photoshop: Tutorial Ramah Pemula

• StalkFace and StalkScan Membantu Anda Memahami Facebook Teman Lebih Baik

• Best bebas Canva template untuk Instagram

• Cara mengunduh lagu dari SoundCloud

• Cara Menjadi Pinterest Influencer

• Best Template Canva gratis untuk presentasi

• Revoke Akses pihak ketiga dari Facebook, Google, Microsoft, Twitter

• Cara menggunakan Instagram Reels untuk membuat atau melihat video

• Bagaimana menjadi Influencer YouTube

• 5 Alternatif Facebook Terbaik yang ingin Anda periksa

• Daftar hal-hal yang seharusnya tidak Anda sebutkan share or post ke Facebook or Social Media

• Cara Menggunakan Facebook untuk Menjadi Media Influencer Sosial

• Cara Membuat Group di Telegram dan gunakan Voice Chat feature

• Cara menyimpan Instagram Reels Anda di Draft and Edit nanti

• Cold Turkey Distraction Blocker Blok Online Distractions