Manusia Bodoh

Seputar Tentang Social Engineering

Social engineering adalah tindakan melakukan tindakan atau membocorkan informasi rahasia menjadi orang-orang Memanipulasi, bukan dengan melanggar dalam atau menggunakan teknis retak Teknik. Sementara mirip dengan trik kepercayaan atau penipuan sederhana, istilah ini biasanya tipu daya atau penipuan untuk tujuan BERLAKU informasi kepada penipuan, pengumpulan, atau mengakses sistem komputer, dalam kebanyakan kasus penyerang tidak pernah bertatap-muka dengan korban .

"Social engineering" sebagai tindakan manipulasi psikologis dipopulerkan oleh konsultan-hacker berubah-Kevin Mitnick. Istilah ini telah sebelumnya yang terkait dengan ilmu-ilmu sosial, tetapi penggunaannya telah tertangkap di kalangan profesional komputer.

Social Engineering Teknik dan istilah

Semua rekayasa sosial "Teknik didasarkan pada atribut tertentu manusia pengambilan keputusan yang dikenal sebagai bias kognitif. Ini bias, kadang-kadang disebut" bug dalam perangkat keras manusia, "dieksploitasi dalam Teknik Kombinasi berbagai untuk membuat, serangan, beberapa di antaranya terdaftar di sini:

Dalih
Dalih adalah tindakan menciptakan dan menggunakan skenario menciptakan (dalih) untuk melibatkan korban ditargetkan dengan cara yang meningkatkan kemungkinan bahwa korban akan, membocorkan informasi atau melakukan tindakan dalam keadaan biasa akan menjadi tidak mungkin. Hal ini lebih dari kebohongan sederhana seperti itu paling sering melibatkan beberapa penelitian sebelumnya atau setup dan penggunaan informasi sebelumnya untuk penyamaran (misalnya, tanggal lahir, Nomor Jaminan Sosial, jumlah tagihan terakhir) untuk membangun legitimasi dalam benak target.

Teknik ini dapat digunakan untuk trik bisnis mengungkapkan informasi pelanggan untuk memperoleh catatan telepon maupun oleh Penyidik swasta, catatan utilitas, catatan perbankan dan informasi lainnya langsung dari Perwakilan perusahaan jasa junior. Informasi tersebut kemudian dapat digunakan untuk menetapkan legitimasi bahkan lebih besar di bawah ketat pertanyaan dengan manajer, misalnya, untuk membuat perubahan account, mendapatkan Saldo spesifik, dll Dalih telah teknik penegakan hukum saat diamati, di bawah naungan yang, mungkin leverage ancaman petugas hukum adalah tersangka untuk dimintai keterangan dan melakukan pelanggaran diduga detai pemeriksaan dekat kendaraan atau tempat.

Dalih juga dapat digunakan untuk meniru rekan kerja, polisi, bank, Kantor Pajak, Penyidik atau asuransi - atau individu lain yang bisa dirasakan otoritas atau kanan-ke-tahu dalam pikiran korban yang ditargetkan. Jawaban untuk pertanyaan-pertanyaan yang mungkin disiapkan hanya harus pretexter diminta oleh korban. Dalam beberapa kasus, semua yang diperlukan adalah suara yang terdengar berwibawa, nada sungguh-sungguh, dan kemampuan untuk berpikir pada kaki seseorang.

pencurian Pengalih
Pengalihan pencurian, juga dikenal sebagai "Corner Game" atau "Round Game Corner", berasal di East End of London.

Singkatnya, pencurian pengalihan adalah "con" dilaksanakan oleh Pencuri Profesional, biasanya terhadap sebuah perusahaan transportasi atau kurir. Tujuannya adalah untuk membujuk Orang Bertanggung jawab untuk pengiriman yang sah, bahwa kiriman ini akan diminta tempat lain - ". di tikungan" maka,

Dengan memuat / konsinyasi diarahkan ulang, Pencuri untuk membujuk sopir untuk membongkar pengiriman tersebut dekat, atau jauh dari, alamat penerima, dalam berpura-pura bahwa itu adalah "akan langsung keluar" atau "sangat dibutuhkan di tempat lain."

The "con" atau penipuan memiliki sisi yang berbeda, yang meliputi rekayasa sosial untuk membujuk Teknik lalu lintas yang sah atau pegawai administrasi sebuah perusahaan transportasi untuk mengeluarkan instruksi kepada sopir atau kurir untuk mengarahkan atau beban kiriman.

Variasi lainnya adalah penempatan sebuah van keamanan di luar pengalihan pencurian bank pada malam Jumat. penjaga berpakaian rapi menggunakan baris "keluar aman Night's order, Sir." Dengan metode ini penjaga toko dll. yang tertipu dalam pengambilalihan deposito mereka ke dalam van. Tapi tentu saja mereka mendapatkan tanda terima kemudian ini ternyata menjadi tidak berharga. Sebuah teknik yang sama digunakan beberapa tahun yang lalu untuk mencuri sebuah piano grand Steinway dari sebuah studio radio di London, "Datanglah ke merombak guv piano" telah diposting ke kalimat obrolan. Saat ini meminta ID tapi bahkan yang mungkin akan bisa dipalsukan.

Rekayasa sosial "Pencuri Dari Ketrampilan ini terlatih baik, dan sangat efektif. Sebagian besar perusahaan mempersiapkan staf mereka untuk jenis penipuan tidak melakukannya.

Phishing
Phishing adalah teknik menipu mendapatkan informasi pribadi. Biasanya, phisher akan mengirimkan e-mail yang tampaknya berasal dari sebuah bisnis yang sah untuk - bank, atau perusahaan kartu kredit - meminta "verifikasi" informasi dan memberikan peringatan dari beberapa konsekuensi mengerikan jika berteriak. E-mail biasanya berisi link ke sebuah halaman web palsu yang tampaknya sah - dengan logo perusahaan dan konten - dan memiliki bentuk meminta segala sesuatu dari alamat rumah untuk PIN kartu ATM.

Sebagai contoh, 2003 melihat Proliferasi phishing scam di mana pengguna menerima e-Mails diduga dari eBay, Mengklaim bahwa akun pengguna akan segera ditangguhkan kecuali link yang disediakan diklik untuk memperbarui kartu kredit (informasi bahwa eBay asli sudah ). Karena relatif sederhana untuk membuat situs Web menyerupai situs organisasi yang sah itu dengan Peniruan kode HTML, scam dihitung pada orang-orang yang tertipu untuk berpikir bahwa mereka sedang dihubungi oleh eBay, dan selanjutnya, kita akan ke situs eBay untuk memperbarui informasi rekening mereka. Dengan spamming kelompok besar orang, "phisher" dihitung dengan e-mail yang dibaca oleh persentase orang yang sudah terdaftar nomor kartu kredit dengan eBay sah, yang dapat memberi tanggapan.
IVR atau telepon phishing

Phising
Teknik ini menggunakan suara respon nakal Interaktif (IVR) untuk menciptakan salinan yang sah yang terdengar dari sistem IVR bank atau Lembaga lainnya. Korban diminta (biasanya melalui e-mail phising) untuk panggilan dalam ke "bank" melalui nomor (idealnya bebas pulsa) yang disediakan untuk "memverifikasi" informasi. Sebuah sistem yang khas terus akan menolak log-in, memastikan korban memasuki PIN atau password beberapa kali, sering mengungkapkan Beberapa password yang berbeda. Lebih sistem canggih mentransfer korban untuk penyerang, menyamar sebagai agen layanan pelanggan untuk interogasi lebih lanjut.

Satu tidak bisa merekam perintah khas ("Tekan satu untuk mengubah sandi Anda, tekan dua untuk berbicara dengan layanan pelanggan" ...) dan memutar arah secara manual secara real time, memberikan penampilan menjadi seorang IVR tanpa biaya.

Telepon phishing juga disebut vishing.

umpan
Memancing adalah seperti dunia nyata Trojan Horse yang menggunakan media fisik dan mengandalkan rasa ingin tahu atau keserakahan korban.

Dalam serangan ini, penyerang daun disk malware disket terinfeksi, CD-ROM, atau USB flash drive di lokasi yang pasti akan ditemukan (kamar mandi, lift, trotoar, parkir), memberikan label rasa ingin tahu-piquing sah mencari dan, dan hanya menunggu korban untuk menggunakan perangkat.

Sebagai contoh, seorang penyerang dapat membuat disk yang menampilkan logo perusahaan, tersedia dari situs web target, dan menulis "Gaji Ringkasan Eksekutif Q2 2010" di bagian depan. Penyerang kemudian akan meninggalkan disk di lantai sebuah lift atau di suatu tempat di lobi perusahaan yang ditargetkan. Unknowing Seorang karyawan mungkin menemukannya dan kemudian memasukkan disk ke dalam komputer untuk memuaskan keingintahuan mereka, atau dgn baik mungkin menemukannya dan mengubahnya ke perusahaan.

Dalam kedua kasus sebagai akibat dari hanya memasukkan disk ke dalam komputer untuk melihat isinya, pengguna tidak sadar akan menginstal malware di atasnya, kemungkinan memberikan akses tak terbatas penyerang ke PC korban dan mungkin, jaringan komputer internal perusahaan bertarget.

Kecuali kontrol komputer blok infeksi, PC set ke "auto-run" media dimasukkan dapat dikompromikan begitu jahat disk dimasukkan.

Quid pro quo berarti sesuatu untuk sesuatu:

* Penyerang panggilan nomor acak pada sebuah perusahaan Mengaku memanggil kembali dari dukungan teknis. Akhirnya mereka akan memukul seseorang dengan masalah yang sah, bersyukur bahwa seseorang menelpon kembali untuk membantu mereka. penyerang akan "membantu" memecahkan masalah dan dalam proses tersebut memiliki perintah tipe user yang memberikan akses penyerang atau malware peluncuran.

* Dalam sebuah survei keamanan 2003 informasi, 90% pekerja kantor memberikan peneliti yang mereka klaim password mereka untuk menjawab pertanyaan survei dalam pertukaran untuk sebuah pena murah survei serupa di tahun kemudian hasil yang diperoleh. Menggunakan cokelat sama dan lainnya murah umpan, meskipun mereka tidak berusaha memvalidasi password.

[Edit] Jenis lainnya

Dianggap penipu kepercayaan umum atau penipu juga bisa "insinyur sosial" dalam arti lebih luas, dalam arti bahwa mereka sengaja menipu dan memanipulasi orang, Memanfaatkan kelemahan manusia untuk mendapatkan keuntungan pribadi. Mereka mungkin, misalnya, menggunakan rekayasa sosial sebagai bagian dari penipuan TI Teknik.

Suatu jenis yang sangat baru-baru ini Teknik rekayasa sosial termasuk spoofing atau hacking dari ID e-mail populer orang yang memiliki ID seperti Yahoo, GMail, Hotmail, dll Di antara banyak Motivasi penipuan adalah:

Diposting oleh Aly Raxz0r di 16.37

Kirimkan Ini lewat EmailBlogThis!Berbagi ke TwitterBerbagi ke FacebookBagikan ke Pinterest