Iklan
Email adalah vektor serangan umum yang digunakan oleh penipu dan penjahat komputer. Tetapi jika Anda berpikir bahwa itu hanya digunakan untuk menyebarkan malware, phishing, dan Penipuan biaya uang muka Nigeria Apakah Email Scam Nigeria Menyembunyikan Rahasia Yang Mengerikan? [Pendapat]Suatu hari, email spam lain masuk ke kotak masuk saya, entah bagaimana caranya mengitari filter spam Windows Live yang melakukan pekerjaan yang sangat baik untuk melindungi mata saya dari semua ... Baca lebih banyak , pikirkan lagi. Ada penipuan berbasis email yang baru di mana penyerang akan berpura-pura menjadi bos Anda, dan membuat Anda mentransfer ribuan dolar dana perusahaan ke dalam rekening bank yang mereka kendalikan.
Itu disebut Penipuan CEO, atau "Insider Spoofing".
Memahami Serangan
Jadi, bagaimana cara kerjanya? Agar penyerang berhasil melakukannya, mereka perlu mengetahui banyak informasi tentang perusahaan yang mereka targetkan.
Sebagian besar informasi ini adalah tentang struktur hierarki perusahaan atau lembaga yang mereka targetkan. Mereka harus tahu
siapa mereka akan menyamar. Meskipun jenis penipuan ini dikenal sebagai "penipuan CEO", pada kenyataannya ia menargetkan siapa saja dengan peran senior - siapa pun yang dapat memulai pembayaran. Mereka harus tahu nama mereka, dan alamat email mereka. Juga membantu mengetahui jadwal mereka, dan kapan mereka bepergian, atau berlibur.
Akhirnya, mereka perlu tahu siapa di organisasi yang dapat mengeluarkan transfer uang, seperti seorang akuntan, atau seseorang yang bekerja di departemen keuangan.
Banyak dari informasi ini dapat ditemukan secara bebas di situs web perusahaan yang bersangkutan. Banyak perusahaan menengah dan kecil memiliki halaman "Tentang Kami", di mana mereka membuat daftar karyawan mereka, peran dan tanggung jawab mereka, dan informasi kontak mereka.
Menemukan jadwal seseorang bisa menjadi sedikit lebih sulit. Sebagian besar orang tidak mempublikasikan kalender mereka secara online. Namun, banyak orang mempublikasikan gerakan mereka di situs media sosial, seperti Twitter, Facebook, dan Swarm (sebelumnya Foursquare) Foursquare Meluncurkan Kembali Sebagai Alat Penemuan Berdasarkan Selera AndaFoursquare memelopori mobile check-in; pembaruan status berbasis lokasi yang memberi tahu dunia persis di mana Anda berada dan mengapa - jadi apakah beralih ke alat penemuan murni merupakan langkah maju? Baca lebih banyak . Seorang penyerang hanya perlu menunggu sampai mereka meninggalkan kantor, dan mereka dapat menyerang.
Saya di Pasar St George - @ stgeorgesbt1 di Belfast, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 Januari 2016
Setelah penyerang memiliki setiap bagian puzzle yang dia butuhkan untuk melakukan serangan, mereka kemudian akan mengirim email keuangan karyawan, mengaku sebagai CEO, dan meminta agar mereka melakukan transfer uang ke rekening bank mereka kontrol.
Agar berfungsi, email harus terlihat asli. Mereka akan menggunakan akun email yang terlihat 'sah' atau masuk akal (Misalnya [email protected]), atau meskipun ‘menipu’ email asli CEO. Di sinilah email dikirim dengan tajuk yang dimodifikasi, sehingga bidang "Dari:" berisi email asli CEO. Beberapa penyerang yang termotivasi akan berusaha membuat CEO mengirim email kepada mereka, sehingga mereka dapat menduplikasi stylings dan estetika email mereka.
Penyerang akan berharap bahwa pegawai keuangan akan ditekan untuk memulai transfer tanpa memeriksa terlebih dahulu dengan eksekutif yang ditargetkan. Taruhan ini sering terbayar, dengan beberapa perusahaan tanpa sadar telah membayar ratusan ribu dolar. Satu perusahaan di Perancis diprofilkan oleh BBC kehilangan 100.000 Euro. Para penyerang berusaha mendapatkan 500.000, tetapi semua kecuali satu pembayaran diblokir oleh bank, yang mencurigai adanya penipuan.
Bagaimana Serangan Teknik Sosial Bekerja
Ancaman keamanan komputer tradisional cenderung bersifat teknologi. Akibatnya, Anda dapat menggunakan langkah-langkah teknologi untuk mengalahkan serangan ini. Jika Anda terinfeksi malware, Anda dapat menginstal program anti-virus. Jika seseorang mencoba meretas server web Anda, Anda dapat mempekerjakan seseorang untuk melakukan tes penetrasi dan memberi tahu Anda bagaimana Anda dapat 'mengeraskan' mesin melawan serangan lain.
Serangan rekayasa sosial Apa itu Rekayasa Sosial? [MakeUseOf Menjelaskan]Anda dapat memasang firewall terkuat dan termahal di industri. Anda dapat mendidik karyawan tentang prosedur keamanan dasar dan pentingnya memilih kata sandi yang kuat. Anda bahkan dapat mengunci ruang server - tetapi bagaimana ... Baca lebih banyak - yang merupakan contoh penipuan oleh CEO - jauh lebih sulit untuk dimitigasi, karena mereka tidak menyerang sistem atau perangkat keras. Mereka menyerang orang. Alih-alih mengeksploitasi kerentanan dalam kode, mereka mengambil keuntungan dari sifat manusia, dan keharusan biologis naluriah kita untuk mempercayai orang lain. Salah satu penjelasan paling menarik dari serangan ini dibuat di konferensi DEFCON pada 2013.
Beberapa peretasan berani yang paling berani adalah produk rekayasa sosial.
Pada 2012, mantan wartawan Wired Mat Honan mendapati dirinya diserang oleh kader penjahat cyber yang bertekad untuk membongkar kehidupan daringnya. Dengan menggunakan taktik rekayasa sosial, mereka dapat meyakinkan Amazon dan Apple untuk memberi mereka informasi yang mereka butuhkan untuk menghapus dari jarak jauh MacBook Air dan iPhone-nya, menghapus akun emailnya, dan mengambil akun Twitternya yang berpengaruh untuk memposting ras dan homofobia julukan. Kamu dapat membaca kisah dingin di sini.
Serangan rekayasa sosial bukanlah inovasi baru. Peretas telah menggunakannya selama beberapa dekade untuk mendapatkan akses ke sistem, bangunan, dan informasi selama beberapa dekade. Salah satu insinyur sosial paling terkenal adalah Kevin Mitnick, yang pada pertengahan 90-an menghabiskan bertahun-tahun bersembunyi dari polisi, setelah melakukan serangkaian kejahatan komputer. Dia dipenjara selama lima tahun, dan dilarang menggunakan komputer hingga 2003. Sebagai peretas, Mitnick sedekat mungkin dengan Anda berstatus rockstar 10 Hacker Paling Terkenal dan Terbaik di Dunia (dan Kisah Menariknya)Peretas topi putih versus peretas topi hitam. Berikut adalah peretas terbaik dan paling terkenal dalam sejarah dan apa yang mereka lakukan hari ini. Baca lebih banyak . Ketika ia akhirnya diizinkan menggunakan Internet, itu disiarkan di Leo Laporte Screen Savers.
Dia akhirnya menjadi sah. Dia sekarang menjalankan perusahaan konsultan keamanan komputernya sendiri, dan telah menulis sejumlah buku tentang rekayasa sosial dan peretasan. Mungkin yang paling dihormati adalah "The Art of Deception". Ini pada dasarnya adalah sebuah antologi cerita pendek yang melihat bagaimana serangan rekayasa sosial dapat dilakukan, dan bagaimana caranya lindungi diri Anda dari mereka Cara Melindungi Diri Terhadap Serangan Rekayasa SosialMinggu lalu kami melihat beberapa ancaman rekayasa sosial utama yang harus diwaspadai oleh Anda, perusahaan Anda, atau karyawan Anda. Singkatnya, rekayasa sosial mirip dengan ... Baca lebih banyak , dan tersedia untuk pembelian di Amazon.
Apa Yang Dapat Dilakukan Tentang Penipuan CEO?
Jadi, mari kita rekap. Kita tahu bahwa Penipuan CEO sangat buruk. Kami tahu banyak perusahaan mengeluarkan banyak biaya. Kami tahu sangat sulit untuk dimitigasi, karena itu adalah serangan terhadap manusia, bukan terhadap komputer. Hal terakhir yang tersisa untuk dibahas adalah bagaimana kita melawannya.
Ini lebih mudah dikatakan daripada dilakukan. Jika Anda seorang karyawan dan Anda telah menerima permintaan pembayaran yang mencurigakan dari atasan atau atasan Anda, Anda mungkin ingin check-in dengan mereka (menggunakan metode selain email) untuk melihat apakah itu asli atau tidak. Mereka mungkin sedikit kesal dengan Anda karena mengganggu mereka, tetapi mungkin mereka akan merasa terganggu lebih kesal jika Anda akhirnya mengirim $ 100.000 dana perusahaan ke rekening bank asing.
Ada solusi teknologi yang bisa digunakan juga. Microsoft pembaruan mendatang ke Office 365 akan berisi beberapa perlindungan terhadap jenis serangan ini, dengan memeriksa sumber setiap email untuk melihat apakah itu berasal dari kontak tepercaya. Microsoft berpendapat bahwa mereka telah mencapai peningkatan 500% dalam cara Office 365 mengidentifikasi email palsu atau palsu.
Jangan Disengat
Cara paling dapat diandalkan untuk melindungi dari serangan ini adalah bersikap skeptis. Setiap kali Anda mendapatkan email yang meminta Anda melakukan transfer uang dalam jumlah besar, hubungi bos Anda untuk melihat apakah itu sah. Jika Anda memiliki pengaruh dengan departemen TI, pertimbangkan untuk memintanya pindah ke Office 365 Pengantar Office 365: Haruskah Anda Membeli Ke Model Bisnis Kantor Baru?Office 365 adalah paket berbasis langganan yang menawarkan akses ke suite Office desktop terbaru, Office Online, penyimpanan cloud, dan aplikasi seluler premium. Apakah Office 365 memberikan nilai yang cukup untuk bernilai uang? Baca lebih banyak , yang memimpin paket ketika datang untuk memerangi CEO Fraud.
Saya tentu berharap tidak, tetapi apakah Anda pernah menjadi korban penipuan email bermotivasi uang? Jika demikian, saya ingin mendengarnya. Jatuhkan komentar di bawah, dan beri tahu saya apa yang terjadi.
Kredit Foto: AnonDollar (Anon Anda), CEO Miguel The Entertainment (Jorge)
Matthew Hughes adalah pengembang dan penulis perangkat lunak dari Liverpool, Inggris. Dia jarang ditemukan tanpa secangkir kopi hitam pekat di tangannya dan sangat menyukai Macbook Pro dan kameranya. Anda dapat membaca blognya di http://www.matthewhughes.co.uk dan ikuti dia di twitter di @matthewhughes.