Serangan Rekayasa Sosial (dari perspektif peretasan) sangat mirip dengan melakukan pertunjukan sulap. Bedanya, di Social Engineering Attacks, ini adalah trik sulap yang hasilnya adalah akun perbankan, media sosial, email, bahkan akses ke komputer target. Siapa yang menciptakan sistem? SEORANG MANUSIA. Melakukan Social Engineering Attack itu mudah, percayalah, itu sangat mudah. Tidak ada sistem yang aman. Manusia adalah sumber daya terbaik dan titik akhir dari kerentanan keamanan yang pernah ada.
Pada artikel terakhir, saya melakukan demo penargetan akun Google, Kali Linux: Perangkat Rekayasa Sosial , ini adalah pelajaran lain untuk Anda.
Apakah kita memerlukan OS Pengujian Penetrasi tertentu untuk melakukan Serangan Rekayasa Sosial? Sebenarnya tidak, Social Engineering Attack itu fleksibel, alatnya, seperti Kali Linux hanyalah alat. Poin utama dari Social Engineering Attack adalah tentang merancang alur serangan.
Dalam artikel Serangan Rekayasa Sosial terakhir kami mempelajari Serangan Rekayasa Sosial menggunakan TRUST. Dan dalam artikel ini kita akan belajar tentang PERHATIAN. Saya mendapat pelajaran ini dari Raja Pencuri Apollo Robbins . Latar belakangnya adalah pesulap terampil, pesulap jalanan. Anda bisa melihat acaranya di YouTube. Dia pernah menjelaskan dalam TED Talk, tentang cara mencuri sesuatu. Kemampuannya terutama, mempermainkan perhatian korban untuk mencopet barang-barang mereka, seperti jam tangan, dompet, uang, kartu, apa pun yang ada di saku korban, tanpa dikenali. Saya akan menunjukkan cara melakukan Social Engineering Attack untuk meretas akun Facebook seseorang menggunakan KEPERCAYAAN dan PERHATIAN. Kunci dengan PERHATIAN adalah terus berbicara dengan cepat, dan mengajukan pertanyaan. Anda adalah pilot percakapan.
Skenario Serangan Rekayasa Sosial
Skenario ini melibatkan 2 aktor, John sebagai penyerang dan Bima sebagai korban. John akan menetapkan Bima sebagai target. Tujuan dari Social Engineering Attack di sini adalah, untuk mendapatkan akses ke akun Facebook korban. Alur serangan akan menggunakan pendekatan dan metode yang berbeda. John dan Bima adalah sahabat, mereka sering bertemu di kantin saat jam makan siang saat waktu istirahat di kantor mereka. John dan Bima bekerja di departemen yang berbeda, satu-satunya kesempatan mereka bertemu adalah saat makan siang di kantin. Mereka sering bertemu dan berbicara satu sama lain sampai sekarang mereka adalah pasangan.
Suatu hari, John orang jahat, bertekad untuk berlatih Social Engineering Attack menggunakan game ATTENTION, yang saya sebutkan sebelumnya, dia terinspirasi oleh The King of Thieves Apollo Robbins. Dalam salah satu presentasinya, Robbins mengatakan bahwa kita memiliki dua mata, tetapi otak kita hanya bisa fokus pada satu hal. Kita bisa melakukan multitasking, tetapi tidak melakukan tugas yang berbeda secara bersamaan, melainkan kita hanya mengalihkan perhatian kita ke setiap tugas dengan cepat.
Pada awal hari, pada hari Senin, di kantor, seperti biasa John berada di kamarnya, duduk di mejanya. Dia berencana untuk mendapatkan strategi untuk meretas akun facebook temannya. Dia harus sudah siap sebelum makan siang. Dia berpikir dan bertanya-tanya sambil duduk di mejanya.
Kemudian dia mengambil selembar kertas, duduk di kursinya, yang menghadap komputernya. Dia mengunjungi halaman Facebook untuk menemukan cara meretas akun seseorang.
LANGKAH 1: TEMUKAN JENDELA STARTER alias LUBANG
Di layar masuk, dia melihat tautan bernama akun yang terlupakan, Di sini John akan menggunakan manfaat dari akun yang terlupakan ( fitur pemulihan kata sandi). Facebook telah melayani jendela awal kami di: https://www.facebook.com/login/identify?ctx=recover.
Halamannya akan terlihat seperti ini:
Di lapangan Temukan Akun Anda bagian, ada kalimat yang mengatakan, Silakan masukkan alamat email atau nomor telepon Anda untuk mencari akun Anda . Dari sini kita mendapatkan satu set jendela: alamat email mengacu pada Akun email dan nomor telepon mengacu pada Ponsel Telepon . Jadi, John memiliki hipotesis bahwa, jika dia memiliki akun email atau ponsel korban, maka dia akan memiliki akses ke akun Facebook korban.
LANGKAH 2: ISI FORMULIR UNTUK MENGIDENTIFIKASI AKUN
Oke, dari sini John mulai berpikir mendalam. Dia tidak tahu apa alamat email Bima, tapi dia menyimpan nomor telepon Bima di ponselnya. Ia kemudian meraih ponselnya, dan mencari nomor ponsel Bima. Dan di sana dia pergi, dia menemukannya. Dia mulai mengetik nomor telepon Bima di kolom itu. Setelah itu dia menekan tombol Cari. Gambar akan terlihat seperti ini:
Dia mengerti, dia menemukan nomor telepon Bima terhubung ke akun Facebook-nya. Dari sini, dia hanya memegang, dan tidak menekan tombol Melanjutkan tombol. Untuk saat ini, dia hanya memastikan bahwa nomor telepon ini terhubung ke akun Facebook korban, sehingga mendekati hipotesisnya.
Apa yang sebenarnya dilakukan John, adalah melakukan pengintaian, atau Pengumpulan Informasi pada korban. Dari sini John memiliki informasi yang cukup, dan siap untuk mengeksekusi. Tapi, John akan menemui Bima di kantin, tidak mungkin John membawa komputernya, kan? Tidak masalah, dia punya solusi praktis, yaitu ponselnya sendiri. Jadi, sebelum dia bertemu Bima, dia mengulangi LANGKAH 1 dan 2 di browser Chrome di ponsel Android-nya. Ini akan terlihat seperti ini:
LANGKAH 3: TEMUI KORBAN
Baiklah, sekarang semuanya sudah diatur dan siap. Yang perlu John lakukan adalah mengambil ponsel Bima, klik Melanjutkan tombol di ponselnya, membaca pesan inbox SMS yang dikirim oleh Facebook (kode reset) di ponsel Bima, mengingatnya dan menghapus pesan dalam sekejap, dengan cepat.
Rencana ini melekat di kepalanya saat dia berjalan ke kantin. Johan memasukkan ponselnya ke dalam saku. Ia memasuki area kantin, mencari Bima. Dia menoleh ke kiri ke kanan mencari tahu di mana sebenarnya Bima. Seperti biasa dia duduk di pojok, melambaikan tangannya pada John, dia sudah siap dengan makanannya.
Segera John mengambil porsi kecil makan siang ini, dan mendekati meja dengan Bima. Dia menyapa Bima, lalu mereka makan bersama. Sambil makan, John melihat sekeliling, dia melihat ponsel Bima ada di atas meja.
Setelah mereka selesai makan siang, mereka berbicara tentang satu sama lain hari ini. Seperti biasa, sampai suatu saat John membuka topik baru tentang ponsel. John mengatakan kepadanya, bahwa John membutuhkan telepon baru, dan John membutuhkan nasihatnya tentang telepon mana yang cocok untuk John. Lalu dia tanya hp Bima, dia tanya semuanya, modelnya, speknya, semuanya. Dan kemudian John memintanya untuk mencoba teleponnya, John bertindak seperti dia benar-benar pelanggan yang mencari telepon. Tangan kiri John meraih ponselnya dengan seizinnya, sementara tangan kanannya berada di bawah meja, bersiap untuk membuka ponselnya sendiri. John memusatkan perhatiannya pada tangan kirinya, teleponnya, John berbicara banyak tentang teleponnya, beratnya, kecepatannya, dan sebagainya.
Sekarang, John memulai Serangan dengan mematikan volume nada dering telepon Bima ke nol, untuk mencegahnya mengenali jika ada notifikasi baru. Tangan kiri John masih menarik perhatiannya, sementara tangan kanannya sebenarnya menekan tombol Melanjutkan tombol. Begitu John menekan tombol, pesan masuk.
Ding.. Tidak ada suara. Bima belum mengenali pesan masuk karena monitor menghadap John. John segera membuka pesan itu, membaca dan mengingatnya 6 Digit Pin dalam SMS, dan kemudian segera menghapusnya. Sekarang dia sudah selesai dengan telepon Bima, John mengembalikan telepon Bima kepadanya sementara tangan kanan John mengeluarkan teleponnya sendiri dan mulai mengetik segera. 6 Digit Pin dia baru ingat.
Kemudian John menekan Melanjutkan. Halaman baru muncul, menanyakan apakah dia ingin membuat kata sandi baru atau tidak.
John tidak akan mengubah kata sandi karena dia tidak jahat. Tapi, dia sekarang punya akun facebook Bima. Dan dia telah berhasil dengan misinya.
Seperti yang Anda lihat, skenarionya tampak sangat sederhana, tapi hei, seberapa mudah Anda bisa mengambil dan meminjam telepon teman Anda? Jika Anda berkorelasi dengan hipotesis dengan memiliki ponsel teman Anda, Anda bisa mendapatkan apa pun yang Anda inginkan, buruk.