Mengapa Anda Harus Berhati-hati Dengan Apa yang Anda Bagikan di Media Sosial

Sudah biasa bagi orang untuk memposting foto dan video dari kehidupan sehari-hari mereka ke profil media sosial mereka, tetapi konten buatan pengguna seperti itu dapat menimbulkan masalah keamanan yang besar. Media sosial sangat bagus untuk mengumpulkan informasi tentang orang. Inilah cara peretas mengumpulkan dan mengeksploitasi informasi ini dengan tepat.

Mengumpulkan Kecerdasan Adalah Langkah Pertama Meretas

Hal pertama yang dilakukan peretas sebelum menyerang sistem adalah mengumpulkan informasi. Terkadang proses ini bisa memakan waktu beberapa menit, jam, bulan, atau tahun. Jangka waktu ini bervariasi sesuai dengan kapasitas sistem target, jumlah karyawan, ukuran serangan, dan tindakan defensif. Tujuannya di sini adalah untuk mengidentifikasi semua kelemahan sistem target dan membuat strategi serangan.

Misalnya, bayangkan seseorang yang nama pengguna Instagram-nya pengguna korban memiliki email perusahaan dengan ekstensi

contoh.com, dan mereka telah membeli tiket pesawat untuk melakukan perjalanan bisnis ke luar negeri. Ternyata, pengguna korban sangat heboh dengan hal ini dan memutuskan untuk mengupload foto untuk berbagi keseruan dengan followers dan teman-teman di Instagram. Dalam foto yang diunggah pengguna korban ini, terlihat bagian tertentu dari tiket pesawat. Uh oh. Ini adalah informasi yang sangat berguna untuk seorang hacker.

Meskipun seluruh tiket penerbangan tidak terlihat di foto yang dibagikan oleh pengguna korban, karena tiket masing-masing perusahaan berbeda, peretas dapat mengetahui perusahaan mana yang memiliki tiket tersebut. Kemudian, hacker akan membaca keterangan di bawah foto tersebut. Jika pengguna korban membagikan tanggal dan waktu penerbangan, pekerjaan peretas akan lebih mudah. Tetapi meskipun informasi ini tidak tersedia untuk umum, peretas dapat berpura-pura menjadi pelanggan, masuk ke situs web resmi perusahaan pesawat, dan memeriksa rencana penerbangan. Artinya, peretas dapat memprediksi hari dan waktu penerbangan milik pengguna korban.

Pada titik ini, peretas mulai berpikir tentang vektor serangan sementara pengguna korban terus berpikir bahwa dia membuat postingan yang tidak bersalah.

Menggunakan kekuatan Google, peretas mulai mencari tiket perusahaan penerbangan yang dipelajari dari pengguna korban. Maka langkah pertama yang akan dilakukan hacker adalah untuk melakukan Google dorking.

Dengan Google dorking, Anda dapat mencari ekstensi file tertentu di situs tertentu. Dalam hal ini, peretas mencari file PDF perusahaan penerbangan pengguna korban. Peretas mengunduh file PDF ini dan memanipulasinya untuk melayani kebutuhan mereka.

Beberapa peretas menipu dan menipu pengguna target melalui proses yang dikenal sebagai rekayasa sosial. Pada tahap ini, peretas akan membuat alamat email yang realistis dan teks isi yang menyertainya. Mereka kemudian dapat melampirkan file PDF yang dimodifikasi yang berisi malware. Jika pengguna korban membuka email ini, peretas telah mencapai tujuannya.

Jika peretas mengetahui waktu dan hari penerbangan pengguna korban, tentu saja, email palsu akan jauh lebih realistis, tetapi seringkali, ini bahkan mungkin tidak diperlukan. Jika ada sistem keanggotaan di situs perusahaan penerbangan, peretas dapat menjadi anggota dan menerima email dari perusahaan penerbangan tersebut. Ini akan membantu peretas belajar tata letak dan gaya HTML email digunakan oleh perusahaan penerbangan.

Setelah menyiapkan email palsu, peretas sekarang perlu mendapatkan alamat email dengan domain milik perusahaan penerbangan, tetapi ini hampir tidak mungkin dilakukan. Itu sebabnya peretas menyiapkan alamat email perusahaan penerbangan palsu. Mereka mungkin meletakkan alamat email yang berbeda di depan akun email biasa untuk menyamarkannya, dan kecuali pengguna target mengklik alamat ini, mereka tidak akan melihat alamat email asli di belakangnya. Ini adalah trik mudah untuk jatuh cinta.

Setelah peretas menyiapkan alamat email palsu, hanya ada satu langkah tersisa: cari tahu alamat email pengguna korban. Peretas dapat beralih ke opsi lupa kata sandi untuk ini.

Setelah opsi lupa kata sandi, peretas dapat menemukan nama domain email dari pengguna yang ditargetkan. Dalam contoh ini, pengguna korban memiliki domain bernama example.com dan tampaknya memiliki alamat email seperti v******[email protected]. Tentu saja, peretas dapat langsung memahami bagian yang ditandai dengan * adalah nama pengguna dari pengguna korban. Jika tidak sesederhana itu, peretas dapat menelusuri dengan dorking Google untuk melihat apakah ada alamat email lain dengan domain example.com. Namun, sekarang peretas memiliki email pengguna korban.

Bagaimana Segalanya Terlihat Dari Perspektif Korban

Email mendesak datang ke pengguna korban, dan email ini sangat meyakinkan sehingga pengguna korban jatuh ke dalam perangkap ini. Toh, email ini berisi tiket pesawat, informasi penerbangan, dan kebijakan penting penerbangan. Selain itu, alamat emailnya terlihat seperti alamat email perusahaan penerbangan. Segalanya tampak sah.

Selain itu, karena pengguna korban akan melakukan penerbangan ini untuk perjalanan bisnis, mereka menanggapi email ini dengan serius. Di bagian bawah email terdapat tautan seperti "dokumen yang harus Anda isi untuk menyelesaikan prosedur penerbangan Anda". Segera setelah pengguna korban mengklik tautan ini, peretas mendapatkan apa yang mereka cari.

Apa Cerita Ini Memberitahu Kita?

Sebagian besar dari kita tidak berbeda dengan pengguna korban, dan penting untuk menyadari hal ini. Kesalahan yang dilakukan pengguna korban dalam skenario contoh ini adalah membagikan informasi tiket secara publik, yang merupakan informasi pribadi dan pribadi. Dan inilah masalahnya: ini adalah kisah nyata. Jadi pikirkan dua kali sebelum membagikan informasi yang berkaitan dengan bisnis atau kehidupan pribadi Anda.