Apakah Kejuruteraan sosial? 11 Contoh Yang Perlu Diperhatikan
Jadual Kandungan
Apakah sebenarnya Kejuruteraan Sosial itu?
Kejuruteraan sosial merujuk kepada tindakan memanipulasi orang untuk mengeluarkan maklumat sulit mereka. Jenis maklumat yang dicari oleh penjenayah mungkin berbeza-beza. Biasanya, individu tersebut disasarkan untuk butiran bank mereka atau kata laluan akaun mereka. Penjenayah juga cuba mengakses komputer mangsa supaya mereka memasang perisian berniat jahat. Perisian ini kemudiannya membantu mereka mengekstrak sebarang maklumat yang mungkin mereka perlukan.
Penjenayah menggunakan taktik kejuruteraan sosial kerana selalunya mudah untuk mengeksploitasi seseorang dengan mendapatkan kepercayaan mereka dan meyakinkan mereka untuk melepaskan butiran peribadi mereka. Ia adalah cara yang lebih mudah daripada menggodam terus ke dalam komputer seseorang tanpa pengetahuan mereka.
Contoh Kejuruteraan Sosial
Anda akan dapat melindungi diri anda dengan lebih baik dengan dimaklumkan tentang pelbagai cara kejuruteraan sosial dilakukan.
1. Berdakwah
Pretexting digunakan apabila penjenayah ingin mengakses maklumat sensitif daripada mangsa untuk melakukan tugas kritikal. Penyerang cuba mendapatkan maklumat melalui beberapa pembohongan yang dibuat dengan teliti.
Penjenayah bermula dengan mewujudkan kepercayaan dengan mangsa. Ini boleh dilakukan dengan menyamar sebagai rakan, rakan sekerja, pegawai bank, polis, atau pihak berkuasa lain mereka yang mungkin meminta maklumat sensitif tersebut. Penyerang bertanya kepada mereka beberapa soalan dengan alasan untuk mengesahkan identiti mereka dan mengumpulkan data peribadi dalam proses ini.
Kaedah ini digunakan untuk mengekstrak semua jenis butiran peribadi dan rasmi daripada seseorang. Maklumat sedemikian mungkin termasuk alamat peribadi, nombor keselamatan sosial, nombor telefon, rekod telefon, butiran bank, tarikh percutian kakitangan, maklumat keselamatan yang berkaitan dengan perniagaan dan sebagainya.
2. Kecurian Lencongan
Ini adalah sejenis penipuan yang secara amnya disasarkan kepada syarikat kurier dan pengangkutan. Penjenayah cuba menipu syarikat sasaran dengan membuat mereka menyediakan pakej penghantaran mereka ke lokasi penghantaran yang berbeza daripada yang dimaksudkan pada asalnya. Teknik ini digunakan untuk mencuri barangan berharga yang dihantar melalui pos.
Penipuan ini boleh dilakukan di luar talian dan dalam talian. Kakitangan yang membawa bungkusan itu boleh didekati dan diyakinkan untuk menghantar penghantaran ke lokasi yang berbeza. Penyerang juga mungkin mendapat akses kepada sistem penghantaran dalam talian. Mereka kemudiannya boleh memintas jadual penghantaran dan membuat perubahan padanya.
3. Pancingan data
Pancingan data ialah salah satu bentuk kejuruteraan sosial yang paling popular. Penipuan pancingan data melibatkan e-mel dan mesej teks yang mungkin menimbulkan rasa ingin tahu, takut atau mendesak dalam diri mangsa. Teks atau e-mel menghasut mereka untuk mengklik pada pautan yang akan membawa kepada tapak web atau lampiran berniat jahat yang akan memasang perisian hasad pada peranti mereka.
Sebagai contoh, pengguna perkhidmatan dalam talian mungkin menerima e-mel yang mendakwa bahawa terdapat perubahan dasar yang memerlukan mereka menukar kata laluan mereka dengan segera. Mel akan mengandungi pautan ke tapak web haram yang sama dengan tapak web asal. Pengguna kemudiannya akan memasukkan bukti kelayakan akaun mereka ke dalam tapak web itu, menganggapnya sebagai yang sah. Apabila menyerahkan butiran mereka, maklumat itu akan dapat diakses oleh penjenayah.
4. Spear Phishing
Ini adalah sejenis penipuan pancingan data yang lebih menyasarkan individu atau organisasi tertentu. Penyerang memperibadikan mesej mereka berdasarkan jawatan kerja, ciri dan kontrak yang berkaitan dengan mangsa, supaya ia kelihatan lebih tulen. Pancingan data lembing memerlukan lebih banyak usaha daripada penjenayah dan mungkin mengambil masa yang lebih lama daripada pancingan data biasa. Walau bagaimanapun, mereka lebih sukar untuk dikenal pasti dan mempunyai kadar kejayaan yang lebih baik.
Sebagai contoh, penyerang yang mencuba pancingan data lembing pada organisasi akan menghantar e-mel kepada pekerja yang menyamar sebagai perunding IT firma itu. E-mel akan dibingkaikan dengan cara yang betul-betul serupa dengan cara perunding melakukannya. Ia akan kelihatan cukup sahih untuk menipu penerima. E-mel akan menggesa pekerja menukar kata laluan mereka dengan memberikan mereka pautan ke halaman web berniat jahat yang akan merekodkan maklumat mereka dan menghantarnya kepada penyerang.
5. Water-Holing
Penipuan lubang air mengambil kesempatan daripada laman web yang boleh dipercayai yang kerap dilawati oleh ramai orang. Penjenayah akan mengumpulkan maklumat mengenai kumpulan orang yang disasarkan untuk menentukan tapak web yang mereka kerap lawati. Laman web ini kemudiannya akan diuji untuk kelemahan. Lama kelamaan, satu atau lebih ahli kumpulan ini akan dijangkiti. Penyerang kemudiannya akan dapat mengakses sistem selamat pengguna yang dijangkiti ini.
Nama itu berasal dari analogi bagaimana haiwan minum air dengan berkumpul di tempat yang dipercayai ketika mereka dahaga. Mereka tidak berfikir dua kali untuk mengambil langkah berjaga-jaga. Pemangsa menyedari perkara ini, jadi mereka menunggu berdekatan, bersedia untuk menyerang mereka apabila pengawal mereka turun. Lubang air dalam landskap digital boleh digunakan untuk membuat beberapa serangan yang paling dahsyat ke atas sekumpulan pengguna yang terdedah pada masa yang sama.
6. Mengumpan
Seperti yang jelas dari namanya, mengumpan melibatkan penggunaan janji palsu untuk mencetuskan rasa ingin tahu atau tamak mangsa. Mangsa terjebak ke dalam perangkap digital yang akan membantu penjenayah mencuri butiran peribadi mereka atau memasang perisian hasad ke dalam sistem mereka.
Umpan boleh berlaku melalui medium dalam talian dan luar talian. Sebagai contoh luar talian, penjenayah mungkin meninggalkan umpan dalam bentuk pemacu kilat yang telah dijangkiti perisian hasad di lokasi yang mudah dilihat. Ini mungkin lif, bilik mandi, tempat letak kereta, dsb., syarikat yang disasarkan. Pemacu denyar akan mempunyai rupa yang tulen, yang akan membuatkan mangsa mengambilnya dan memasukkannya ke dalam komputer kerja atau rumah mereka. Pemacu denyar kemudiannya akan mengeksport perisian hasad secara automatik ke dalam sistem.
Bentuk umpan dalam talian mungkin dalam bentuk iklan yang menarik dan menarik yang akan menggalakkan mangsa untuk mengklik padanya. Pautan itu mungkin memuat turun program berniat jahat, yang kemudiannya akan menjangkiti komputer mereka dengan perisian hasad.
7. Quid Pro Quo
Serangan quid pro quo bermaksud serangan "sesuatu untuk sesuatu". Ia adalah variasi teknik mengumpan. Daripada mengumpan mangsa dengan janji faedah, serangan quid pro quo menjanjikan perkhidmatan jika tindakan tertentu telah dilaksanakan. Penyerang menawarkan faedah palsu kepada mangsa sebagai pertukaran untuk akses atau maklumat.
Bentuk serangan yang paling biasa adalah apabila penjenayah menyamar sebagai kakitangan IT syarikat. Penjenayah itu kemudian menghubungi pekerja syarikat dan menawarkan mereka perisian baharu atau peningkatan sistem. Pekerja kemudiannya akan diminta untuk melumpuhkan perisian anti-virus mereka atau memasang perisian berniat jahat jika mereka mahu naik taraf.
8. Berekor
Serangan tailgating juga dipanggil piggybacking. Ia melibatkan penjenayah yang mencari kemasukan ke dalam lokasi terhad yang tidak mempunyai langkah pengesahan yang betul. Penjenayah boleh mendapatkan akses dengan berjalan di belakang orang lain yang telah diberi kuasa untuk memasuki kawasan itu.
Sebagai contoh, penjenayah mungkin menyamar sebagai pemandu penghantaran yang tangannya penuh dengan bungkusan. Dia menunggu pekerja yang diberi kuasa masuk ke pintu. Lelaki penghantar penipu itu kemudian meminta pekerja itu menahan pintu untuknya, dengan itu membenarkan dia masuk tanpa sebarang kebenaran.
9. Perangkap madu
Helah ini melibatkan penjenayah yang berpura-pura menjadi orang yang menarik dalam talian. Orang itu berkawan dengan sasaran mereka dan memalsukan hubungan dalam talian dengan mereka. Penjenayah itu kemudian mengambil kesempatan daripada hubungan ini untuk mengeluarkan butiran peribadi mangsa mereka, meminjam wang daripada mereka atau membuat mereka memasang perisian hasad ke dalam komputer mereka.
Nama 'perangkap madu' berasal dari taktik pengintip lama di mana wanita digunakan untuk menyasarkan lelaki.
10. Penyangak
Perisian penyangak mungkin muncul dalam bentuk penyangak anti-perisian hasad, pengimbas penyangak, perisian penakut penyangak, anti-perisian intip dan sebagainya. Jenis perisian hasad komputer ini mengelirukan pengguna untuk membayar perisian simulasi atau palsu yang berjanji untuk mengalih keluar perisian hasad. Perisian keselamatan penyangak telah menjadi kebimbangan yang semakin meningkat dalam beberapa tahun kebelakangan ini. Pengguna yang tidak curiga mungkin mudah menjadi mangsa perisian sedemikian, yang tersedia dalam banyak jenis.
11. Malware
Objektif serangan perisian hasad adalah untuk mendapatkan mangsa memasang perisian hasad ke dalam sistem mereka. Penyerang memanipulasi emosi manusia untuk membuatkan mangsa membenarkan perisian hasad masuk ke dalam komputer mereka. Teknik ini melibatkan penggunaan mesej segera, mesej teks, media sosial, e-mel, dll., untuk menghantar mesej pancingan data. Mesej ini menipu mangsa untuk mengklik pautan yang akan membuka tapak web yang mengandungi perisian hasad.
Taktik menakutkan sering digunakan untuk mesej. Mereka mungkin mengatakan bahawa terdapat sesuatu yang tidak kena dengan akaun anda dan anda mesti segera mengklik pada pautan yang disediakan untuk log masuk ke akaun anda. Pautan itu kemudiannya akan membuatkan anda memuat turun fail yang melaluinya perisian hasad akan dipasang pada komputer anda.
Kekal Sedar, Kekal Selamat
Memastikan diri anda dimaklumkan adalah langkah pertama ke arah melindungi diri anda daripada serangan kejuruteraan sosial. Petua asas ialah mengabaikan sebarang mesej yang meminta kata laluan atau maklumat kewangan anda. Anda boleh menggunakan penapis spam yang disertakan dengan perkhidmatan e-mel anda untuk membenderakan e-mel tersebut. Mendapatkan perisian anti-virus yang dipercayai juga akan membantu melindungi sistem anda.
