Daftar Isi:
- Gunakan Internet
- Penyelam Dumpster
- Penyerang dapat memperoleh informasi dengan menggunakan fitur dial-dengan-nama yang ada di sebagian besar sistem voicemail. Untuk mengakses fitur ini, Anda biasanya hanya menekan 0 setelah memanggil nomor utama perusahaan atau setelah Anda memasukkan kotak pesan suara seseorang. Trik ini bekerja paling baik setelah berjam-jam untuk memastikan tidak ada yang menjawab.
- Kegilaan hacking kriminal terbaru adalah
Video: Jika Soekarno Masih Hidup, 5 Hal ini Pasti Terjadi #YtCrash 2024
Setelah insinyur sosial memiliki tujuan, mereka biasanya memulai serangan dengan mengumpulkan informasi publik tentang korban mereka. Banyak insinyur sosial memperoleh informasi perlahan dari waktu ke waktu sehingga mereka tidak menimbulkan kecurigaan. Pengumpulan informasi yang jelas adalah tip-off saat membela rekayasa sosial.
Terlepas dari metode penelitian awal, semua peretas mungkin perlu untuk menembus sebuah organisasi adalah daftar karyawan, beberapa nomor telepon internal utama, berita terbaru dari situs media sosial, atau kalender perusahaan.
Gunakan Internet
Beberapa menit mencari di Google atau mesin pencari lainnya, dengan menggunakan kata kunci sederhana, seperti nama perusahaan atau nama karyawan tertentu, sering menghasilkan banyak informasi. Anda dapat menemukan lebih banyak informasi dalam pengarsipan SEC di dan di situs-situs seperti Hoover's dan Yahoo Finance. Dengan menggunakan informasi mesin pencari dan browsing website perusahaan, penyerang sering memiliki cukup informasi untuk memulai serangan rekayasa sosial.
Orang jahat dapat membayar hanya beberapa dolar untuk pemeriksaan latar belakang online yang komprehensif terhadap individu. Pencarian ini dapat muncul secara praktis untuk publik - dan terkadang pribadi - informasi tentang seseorang dalam hitungan menit.
Penyelam Dumpster
Sampah menyelam sedikit lebih berisiko - dan tentu saja berantakan. Tapi, ini metode yang sangat efektif untuk mendapatkan informasi. Metode ini melibatkan penggeledahan secara harfiah melalui tong sampah untuk mendapatkan informasi tentang perusahaan.
Sampah menyelam bisa menjadi informasi paling rahasia karena banyak karyawan berasumsi bahwa informasinya aman setelah masuk ke tempat sampah. Kebanyakan orang tidak memikirkan potensi nilai kertas yang mereka buang. Dokumen-dokumen ini sering mengandung banyak informasi yang bisa memberi tip kepada insinyur sosial dengan informasi yang dibutuhkan untuk menembus organisasi. Insinyur sosial yang cerdas mencari dokumen cetak berikut:
-
Daftar telepon internal
-
Bagan organisasi
-
Buku pegangan Pegawai, yang sering mengandung kebijakan keamanan
-
Diagram jaringan
-
Daftar kata sandi
-
Catatan rapat > Spreadsheets and reports
-
Cetakan e-mail yang berisi informasi rahasia
-
Dokumen pengguntingan hanya efektif jika kertas
disiram silang menjadi potongan kecil confetti. Shredders murah yang merusak dokumen hanya dengan strip panjang pada dasarnya tidak berharga melawan insinyur sosial yang ditentukan. Dengan sedikit waktu dan rekaman, seorang insinyur sosial bisa membuat dokumen kembali jika itu yang dia tekankan. Orang-orang jahat juga melihat-lihat di tempat sampah untuk CD-ROM dan DVD, kasus komputer lama (terutama hard drive yang masih utuh), dan rekaman cadangan.
Sistem telepon
Penyerang dapat memperoleh informasi dengan menggunakan fitur dial-dengan-nama yang ada di sebagian besar sistem voicemail. Untuk mengakses fitur ini, Anda biasanya hanya menekan 0 setelah memanggil nomor utama perusahaan atau setelah Anda memasukkan kotak pesan suara seseorang. Trik ini bekerja paling baik setelah berjam-jam untuk memastikan tidak ada yang menjawab.
Penyerang dapat melindungi identitas mereka jika mereka dapat menyembunyikan dari mana asalnya. Berikut adalah beberapa cara untuk menyembunyikan lokasi mereka:
Ponsel residensial
-
terkadang dapat menyembunyikan nomor mereka dari nomor penelepon dengan menghubungi nomor * 67 sebelum nomor teleponnya. Fitur ini tidak efektif saat menelepon nomor bebas pulsa (800, 888, 877, 866) atau 911.
Telepon bisnis
-
di kantor yang menggunakan saklar telepon lebih sulit untuk ditipu. Namun, yang biasanya dibutuhkan penyerang adalah panduan pengguna dan kata sandi administrator untuk perangkat lunak peralihan telepon. Di banyak switch, penyerang bisa memasukkan nomor sumber - termasuk nomor yang dipalsukan, seperti nomor telepon rumah korban. Voice over Internet Protocol (VoIP) sistem telepon membuat ini menjadi non-isu, namun. Server VoIP
-
seperti Asterisk open source dapat digunakan dan dikonfigurasi untuk mengirim nomor yang mereka inginkan. email phish
Kegilaan hacking kriminal terbaru adalah
phishing - penjahat mengirim e-mail palsu kepada calon korban dalam upaya membuat mereka membocorkan informasi sensitif atau mengklik tautan berbahaya. Phishing sebenarnya telah ada selama bertahun-tahun, namun baru-baru ini memperoleh visibilitas yang lebih besar mengingat beberapa eksploitasi profil tinggi terhadap organisasi yang tampaknya tidak dapat ditembus. Efektivitas Phishing luar biasa, dan konsekuensinya seringkali jelek. Beberapa e-mail yang ditempatkan dengan baik adalah semua yang dibutuhkan penjahat untuk mengumpulkan kata sandi, mencuri informasi sensitif, atau menyuntikkan malware ke komputer yang ditargetkan.
Anda dapat melakukan latihan phishing Anda sendiri. Metode yang tidak mendasar adalah membuat akun e-mail palsu yang meminta informasi atau menautkan ke situs berbahaya, mengirim e-mail ke karyawan atau pengguna lain yang ingin Anda uji, dan melihat apa yang terjadi. Ini sangat sederhana seperti itu.
Anda akan tercengang melihat seberapa rentannya pengguna Anda terhadap trik ini. Sebagian besar tes phishing memiliki tingkat keberhasilan 10-15 persen. Bisa setinggi 80 persen. Tarif tersebut tidak baik untuk keamanan atau untuk bisnis!
Cara yang lebih formal untuk mengeksekusi tes phishing Anda adalah dengan menggunakan alat yang dibuat khusus untuk pekerjaan itu. Bahkan jika Anda memiliki pengalaman yang baik dengan vendor komersial, Anda perlu berpikir panjang dan keras untuk melepaskan informasi sensitif yang mungkin langsung atau tidak sengaja dikirim ke luar kantor, tidak pernah dikontrol lagi.
Jika Anda menuruni jalan ini, pastikan Anda benar-benar mengerti apa yang diungkapkan ke vendor phishing pihak ketiga ini sama seperti Anda dengan penyedia layanan awan manapun. Percaya tapi verifikasi
Alternatif open source untuk alat phishing komersial adalah Simple Phishing Toolkit, yang juga dikenal sebagai spt.Menyiapkan lingkungan proyek spt belum tentu sederhana, namun setelah Anda memilikinya, Anda dapat melakukan hal-hal menakjubkan untuk inisiatif phishing Anda.
Anda memiliki template e-mail pra-instal, kemampuan untuk
mengikis (fotokopi halaman dari) situs web langsung sehingga Anda dapat menyesuaikan kampanye Anda sendiri, dan berbagai kemampuan pelaporan sehingga Anda dapat melacak e Pengguna email mengambil umpan dan gagal dalam tes Anda. Insinyur sosial dapat menemukan sedikit informasi menarik, kadang-kadang, seperti saat korban mereka berada di luar kota, hanya dengan mendengarkan pesan voicemail. Mereka bahkan bisa mempelajari suara korban dengan mendengarkan pesan voicemail, podcast, atau siaran web mereka sehingga mereka bisa belajar meniru orang-orang itu.