Cara Terbaik Mengalahkan Serangan Social Engineering

Cara Mengatasi Social Engineering - "Phishing semakin umum sekarang karena banyak orang telah beralih ke kehidupan kriminal, dan Covid adalah umpan phishing yang sangat efektif." Kita semua sangat kurus, dan akibatnya, kita cenderung membuat kesalahan keamanan."

Jika Anda pernah mendengar tentang social engineering, atau kemampuan peretas untuk mengelabui Anda agar mengungkapkan informasi pribadi Anda, Anda mungkin pernah mendengar tentang ethical hacker Rachel Tobac. Dia adalah CEO SocialProof Security dan anggota dewan direksi Women in Security and Privacy. Dalam salah satu seminar terbarunya, di mana dia menjelaskan keahliannya dan menawarkan beberapa saran tentang bagaimana kita semua dapat meningkatkan keamanan pribadi kita dan membuat pekerjaannya lebih sulit.

Tobac telah melakukan beberapa aksi keamanan yang luar biasa di masa lalu, seperti meretas akun laporan CNN secara langsung dan mencuri poin jam terbangnya. "Saya meretas agar orang dapat mempelajari cara berpikir peretas sehingga Anda dapat mencegah kesalahan ini," katanya kepada audiensnya.

Selama presentasinya, dia mempresentasikan video eksploitasi ini dan kemudian mempelajari keahliannya. Dalam hal ini, dia tidak berbicara dengan reporter secara pribadi, melainkan mengandalkan informasi yang dia peroleh dari sumber publik, seperti tanggal lahir, alamat email, dan alamat pos. Tobac dapat memperoleh lebih banyak informasi dan akhirnya mentransfer ribuan poin jam terbang ke akunnya sendiri dengan memanfaatkan perangkat lunak pengubah suara dan meniru nomor teleponnya.

Pembicaraan Tobac tepat waktu, karena seperti yang dia katakan, "Phishing sekarang menjadi lebih penting karena banyak orang telah beralih ke kehidupan kriminal dan karena Covid adalah iming-iming phishing yang sangat bagus." Kita semua sangat kurus, dan akibatnya, kita cenderung membuat kesalahan keamanan."

Dia menyebutkan waspada terhadap apa yang dia sebut sebagai "lazy hacker scam." Peringatan untuk paket pengiriman yang tidak ada, panggilan dukungan teknis palsu, peniruan identitas seseorang dari bank Anda, penipuan kartu hadiah, atau permintaan uang anggota keluarga yang sakit adalah contoh buah yang menggantung rendah. "Saat ini, semua orang berharap untuk mendapatkannya," katanya. "Itu terjadi karena mereka bekerja." Setiap hari, seseorang jatuh untuk omong kosong ini. Anda seharusnya tidak percaya ID penelepon atau email yang mengatakan memiliki virus di komputer Anda."

Baca Juga : 10 Aplikasi Chatting yang Paling Aman Digunakan, Anda Wajib Coba

Seperti apa bentuk serangan social engineering?

Dia menyebutkan beberapa teknik social engineering yang sering dilakukan, seperti :

• Menambahkan rasa urgensi, sehingga Anda tidak akan terlalu berhati-hati dan akan bertindak secara emosional pada saat itu.
• Membuat tautan antara peretas dan target mereka untuk membuat dalih kredibel dan meyakinkan
• Memahami pola pikir peretas, mulai dari bagaimana peretas dapat membujuk Anda untuk setuju dengan sudut pandang mereka untuk menghilangkan kegelisahan dan meningkatkan kepercayaan untuk mencuri data Anda

Jadi, bagaimana kita bisa memerangi teknik yang sudah dicoba dan benar ini? Tobac memiliki beberapa saran yang sangat baik.

Pertama, bersikaplah paranoid dengan sopan. Sarannya adalah menggunakan dua mode komunikasi untuk menetapkan identifikasi Anda kapan pun Anda menerima panggilan telepon atau pesan teks. Dia menyarankan membaca buku Robert Cialdini, Influence: The Psychology of Persuasion, untuk memahami lebih lanjut tentang pendekatan social engineering.

Kami telah menulis banyak tentang cara melindungi akun Anda menggunakan multi-factor authentication (MFA). Dia menyarankan mulai dengan semua jenis MFA dan kemudian berkembang ke bentuk yang lebih aman. "Apakah saya dapat membujuk bibi buyut saya untuk menggunakan kunci perangkat keras FIDO besok?" "Mungkin tidak, tapi saya bisa memulainya dengan MFA berbasis SMS, yang merupakan langkah awal yang solid," katanya saat berbicara. Tentu saja, jika Anda berada di depan umum atau memiliki akses admin, MFA yang ideal adalah menggunakan kunci keamanan FIDO. "Itu membuat pekerjaan saya sangat sulit," jelasnya.

We just hacked a billionaire!
Got consent 1st then got to work hacking Jeffrey Katzenberg. @Evantobac & I stole his pics, emails, and contacts then turned on his mic (without an indicator light) & listened to his phone calls.
Here's the video on how we hacked a billionaire: pic.twitter.com/t63JJQccIr

— Rachel Tobac (@RachelTobac) March 16, 2022

Setelah itu, jangan menunda menambal sistem Anda. Ketika dia ditawari untuk meretas komputer maestro film Jeffrey Katzenberg, Tobac menggunakan teknik ini.

Juga, pangkas koleksi foto media sosial dan internet Anda dengan hati-hati. Saya menyadari bahwa saya dalam bahaya ketika saya melihat saya memiliki salinan ID saya di iCloud karena saya telah mengambil gambar mereka dari ponsel saya. Bagian dari proses pemangkasan termasuk menghapus perusahaan yang berbisnis dengan Anda dari semua akun media sosial Anda, termasuk foto furnitur Anda, pembelian barang-barang di Amazon, dan sebagainya. Ini semua adalah petunjuk yang mungkin digunakan oleh insinyur sosial untuk mempelajari lebih lanjut tentang Anda atau untuk mendapatkan kepercayaan Anda dalam sebuah percakapan.

Selain itu, batasi eksposur dan permukaan ancaman Anda juga. Jika Anda menjalankan bisnis, cara mudah untuk melakukannya adalah dengan membatasi jumlah orang yang memiliki akses admin ke jaringan dan akun Anda. Apakah Anda ingat peretasan Twitter besar-besaran? Lebih dari 1.500 karyawan memiliki akses seperti itu pada saat itu, itulah sebabnya mereka sangat mudah diretas. Pilihan lainnya adalah bekerja pada satu PC dan memisahkan jejak internet pekerjaan dan pribadi Anda. Ada beberapa alat yang tersedia untuk membantu dalam hal ini: Untuk memisahkan beberapa identitas Anda, gunakan fitur multi-akun di Chrome atau browser aman lainnya.

Terakhir, pertimbangkan untuk menggunakan apa yang disebut oleh Tobac sebagai "burner postal addresses". Kita semua pernah mendengar tentang telepon burner, tetapi dia mengambil langkah lebih jauh dengan sengaja membuat alamat pos palsu saat mengisi formulir yang memerlukan alamat. Letakkan di pengelola kata sandi Anda jika Anda perlu melacaknya.