Panduan Lengkap untuk Serangan Kejuruteraan Sosial.

Pengarang: Trix Cyrus

Alat Pentesting Peta Jalan: Klik Di Sini
TrixSec Github: Klik Di Sini

Apakah itu Kejuruteraan Sosial?
Kejuruteraan sosial ialah satu bentuk manipulasi psikologi yang digunakan untuk menipu individu supaya memberikan maklumat sulit, seperti kata laluan, maklumat perbankan atau akses kepada sistem selamat. Daripada mengeksploitasi kelemahan perisian, jurutera sosial mengeksploitasi kelemahan manusia, seperti kepercayaan, ketakutan atau kejahilan.

Tidak seperti serangan siber teknikal, kejuruteraan sosial biasanya tidak melibatkan pencerobohan ke dalam rangkaian atau sistem. Sebaliknya, penyerang memanipulasi seseorang dalam organisasi untuk memberikan akses atau maklumat sulit secara sukarela.

Jenis Biasa Serangan Kejuruteraan Sosial
Serangan kejuruteraan sosial datang dalam pelbagai bentuk, dan ia boleh berbentuk digital dan fizikal. Berikut ialah beberapa jenis yang paling biasa:

1. Pancingan data

Pancingan data ialah salah satu bentuk kejuruteraan sosial yang paling terkenal. Dalam serangan pancingan data, penyerang menghantar e-mel atau mesej palsu yang kelihatan seperti daripada sumber yang dipercayai, seperti bank, rakan sekerja atau tapak web popular. Matlamatnya adalah untuk menipu mangsa supaya mengklik pada pautan berniat jahat, memuat turun perisian hasad atau memberikan maklumat sensitif seperti kelayakan log masuk.

Contoh:
Anda menerima e-mel yang kelihatan seperti itu daripada bank anda, menggesa anda untuk "mengesahkan" akaun anda dengan mengklik pada pautan. Pautan membawa anda ke tapak web palsu yang direka untuk mencuri bukti kelayakan anda.

2. Spear Phishing

Tidak seperti serangan pancingan data umum, pancingan data lembing lebih disasarkan. Penyerang menyelidik mangsa mereka untuk mencipta e-mel atau mesej yang diperibadikan yang lebih meyakinkan. Ini menyukarkan sasaran untuk mengesan bahawa mesej itu adalah penipuan.

Contoh:
Seorang pekerja menerima e-mel daripada seseorang yang menyamar sebagai CEO syarikat, meminta akses segera kepada dokumen syarikat yang sensitif. Kerana ia diperibadikan dan daripada tokoh peringkat tinggi, pekerja berkemungkinan besar untuk mematuhinya.

3. Berdakwah

Dalam berdalih, penyerang mencipta senario rekaan, atau "dalih," untuk mendapatkan kepercayaan mangsa. Ini selalunya melibatkan berpura-pura menjadi seseorang yang mempunyai kuasa yang sah, seperti rakan sekerja, ejen sokongan teknologi atau pegawai kerajaan. Dengan membina kepercayaan, penyerang meyakinkan mangsa untuk berkongsi maklumat peribadi.

Contoh:
Penyerang menelefon pekerja, berpura-pura dari jabatan IT, meminta bukti kelayakan log masuk untuk "menyelesaikan" masalah dengan komputer pekerja.

4. Mengumpan

Mengumpan adalah taktik yang menggunakan janji sesuatu yang memikat untuk memancing mangsa ke dalam perangkap. Ini mungkin tawaran dalam talian untuk perisian percuma yang mengandungi perisian hasad, atau malah kaedah fizikal di mana penyerang meninggalkan pemacu USB yang dijangkiti di tempat awam, dengan harapan seseorang akan memasangkannya ke dalam komputer mereka.

Contoh:
Seorang pengguna menemui pemacu USB berlabel "Maklumat Gaji" di tempat letak kereta. Kerana ingin tahu, mereka memasangkannya ke dalam komputer mereka, tanpa disedari memasang perisian hasad.

5. Quid Pro Quo

Dalam serangan quid pro quo, penyerang menawarkan perkhidmatan atau bantuan sebagai pertukaran maklumat. Ini boleh semudah berpura-pura sebagai sokongan teknikal yang menawarkan untuk menyelesaikan masalah sebagai pertukaran untuk butiran log masuk mangsa.

Contoh:

Penyerang memanggil pelbagai orang dalam organisasi, menawarkan penyelesaian masalah percuma sebagai pertukaran untuk akses kepada komputer atau bukti kelayakan mereka.

6. Mengekor/Membonceng

Dalam bentuk fizikal kejuruteraan sosial, tailgating melibatkan penyerang mengikut seseorang ke dalam bangunan selamat tanpa akses yang betul. Ini boleh berlaku apabila seseorang membuka pintu untuk orang yang kelihatan sah tanpa memeriksa kelayakan mereka.

Contoh:
Seorang penyerang, membawa sekotak bekalan, menunggu di luar bangunan pejabat yang selamat dan mengikut seorang pekerja masuk ke dalam selepas mereka menggunakan kad kunci mereka, berpura-pura mereka terlupa kad kunci mereka.

Mengapa Kejuruteraan Sosial Berkesan

Serangan kejuruteraan sosial berkesan kerana ia mengeksploitasi sifat asas manusia seperti:

Amanah: Orang ramai cenderung mempercayai tokoh pihak berkuasa atau jenama biasa.
Ketakutan: Senario mendesak (seperti akaun anda dikunci) mencetuskan panik, menyebabkan orang ramai bertindak tanpa berfikir.
Rasa ingin tahu: Tawaran yang menarik, seperti perisian percuma atau pemacu USB yang ditemui, mencetuskan rasa ingin tahu.
Sifat Membantu: Orang ramai selalunya ingin membantu orang lain, terutamanya mereka yang nampaknya memerlukan bantuan yang sah.

Cara Melindungi Diri Anda Terhadap Kejuruteraan Sosial

Berita baiknya ialah anda boleh mengambil langkah untuk mempertahankan diri anda dan organisasi anda daripada serangan kejuruteraan sosial. Begini caranya:

1. Bersikap Skeptikal

Sentiasa berhati-hati dengan e-mel yang tidak diminta, panggilan telefon atau mesej yang meminta maklumat peribadi atau bukti kelayakan log masuk. Walaupun mesej itu kelihatan sah, sahkan sumbernya sebelum membalas.

2. Didik Diri Anda dan Pasukan Anda

Latihan dan kesedaran adalah kunci. Pekerja harus mengetahui taktik kejuruteraan sosial biasa dan cara mengenalinya. Kemas kini secara kerap tentang penipuan dan kaedah pancingan data baharu.

3. Sahkan Permintaan untuk Maklumat Sensitif

Jika anda menerima permintaan yang mencurigakan untuk maklumat sensitif, sahkan permintaan dengan menghubungi pengirim melalui saluran rasmi. Jangan sekali-kali memberikan butiran sensitif kepada e-mel atau panggilan telefon yang tidak diminta.

4. Laksanakan Pengesahan Dua Faktor (2FA)

Menggunakan 2FA menambahkan lapisan keselamatan tambahan. Walaupun seseorang jatuh untuk serangan kejuruteraan sosial dan mendedahkan kata laluan mereka, 2FA boleh menghalang akses tanpa kebenaran.

5. Ujian Kejuruteraan Sosial secara kerap

Banyak organisasi menjalankan simulasi pancingan data dalaman untuk menguji sejauh mana pekerja terdedah kepada serangan kejuruteraan sosial. Ujian ini membantu mengenal pasti kelemahan dan melatih pekerja untuk mengesan percubaan pancingan data.

1. Lindungi Maklumat Peribadi Hadkan jumlah maklumat peribadi yang anda kongsi di media sosial atau forum awam. Jurutera sosial sering menyelidik sasaran mereka dalam talian sebelum melancarkan serangan.

~Trixsec

Atas ialah kandungan terperinci Panduan Lengkap untuk Serangan Kejuruteraan Sosial.. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!