Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Social Engineering

Social Engineering

Para Ahli: Chatbot AI Mempersulit untuk Menemukan Email Phishing

by

Ejaan dan tata bahasa yang buruk dapat membantu mengidentifikasi serangan penipuan yang diperbaiki oleh kecerdasan buatan (AI).

Menurut para ahli, Chatbots menghilangkan garis pertahanan utama terhadap penipuan email phishing dengan menghapus kesalahan tata bahasa dan ejaan yang mencolok.

Peringatan itu muncul ketika organisasi kepolisian Europol mengeluarkan penasehat internasional tentang potensi kriminal penggunaan ChatGPT dan model bahasa besar lainnya.

Email phishing adalah senjata penjahat siber untuk membodohi penerima agar mengklik tautan yang mengunduh perangkat lunak berbahaya atau mengelabui mereka agar menyerahkan detail pribadi.

Kelemahan mendasar dalam beberapa upaya phishing adalah ejaan dan tata bahasa yang buruk, sedang diperbaiki oleh chatbot kecerdasan buatan, yang dapat memperbaiki kesalahan yang membuat filter spam tersandung atau memperingatkan pembaca manusia.

Data menunjukkan bahwa ChatGPT digunakan untuk kejahatan siber dengan munculnya “model bahasa besar” (LLM) yang mendapatkan salah satu aplikasi komersial substansial pertamanya dalam pembuatan komunikasi berbahaya.

Sejak ChatGPT menjadi arus utama tahun lalu, volume keseluruhan penipuan email jahat yang diambil oleh alat pemantauan Darktrace menurun, tetapi kompleksitas linguistik dari email tersebut telah meningkat tajam.

Hal ini menunjukkan bahwa sejumlah besar scammer yang menyusun phishing dan email berbahaya lainnya telah memperoleh kemampuan untuk menyusun prosa yang lebih panjang dan lebih kompleks.

Dihubungi oleh Guardian, Google menunjuk pada kebijakan “penggunaan yang dilarang” untuk AI, mengatakan bahwa pengguna tidak boleh menggunakan model AI-nya untuk membuat konten untuk aktivitas penipuan atau penipuan, penipuan, phishing, atau malware.

Selengkapnya: The Guardian

Penipu menggunakan taktik licik ini untuk menipu Korban agar menyerahkan detail bank dan kata sandi

by

Ada peningkatan besar dalam kejahatan siber yang menggabungkan email penipuan dan panggilan telepon untuk mengelabui korban agar mengungkapkan informasi sensitif seperti kata sandi dan detail bank.

Dikenal sebagai serangan vishing, penjahat dan penipu menelepon korban dan mencoba menggunakan rekayasa sosial untuk mengelabui mereka agar menyerahkan data pribadi.

Sekarang, dalam upaya untuk membuat serangan vishing terlihat lebih sah, penjahat siber menggunakan apa yang peneliti keamanan siber di Agari, oleh HelpSystems gambarkan sebagai serangan vishing ‘hybrid’.

Ini berbeda dengan serangan vishing biasa karena mereka menggunakan beberapa tahapan yang berbeda, pertama menghubungi korban dengan iming-iming email phishing yang berisi nomor telepon yang diminta untuk mereka hubungi. Email akan sering mengklaim keadaan mendesak untuk membuat target panik untuk memanggil nomor tersebut.

Saat korban menelepon, mereka terhubung dengan scammer yang mengklaim mencoba mengekstrak informasi sensitif dari mereka dengan alasan palsu untuk membantu korban memperbaiki masalah palsu yang telah diberitahukan kepada mereka.

Tidak seperti banyak email phishing, email tersebut tidak berisi lampiran atau tautan berbahaya, sehingga lebih mudah melewati filter spam dan perlindungan anti-virus.

Para peneliti memperingatkan bahwa vishing dan serangan phishing berbasis email lainnya akan terus menjadi masalah. Ada beberapa langkah yang dapat dilakukan oleh organisasi untuk membantu mencegah serangan seperti, kemampuan untuk secara otomatis mendeteksi dan menghapus ancaman dari semua kotak masuk karyawan yang terinfeksi sebelum pengguna dapat berinteraksi dengan mereka. Serta pelatihan keamanan yang tepat, untuk mempersiapkan pengguna agar waspada terhadap ancaman tersebut.

Selengkapnya: ZDNet

Inersia Adalah Musuh Keamanan Siber

by

Manusia adalah makhluk kebiasaan, dan sistem digital memiliki “manusia dalam lingkaran” yang secara inheren ingin melakukan sesuatu dengan cara yang selalu mereka lakukan.

Ini adalah langkah pembatas laju untuk transformasi digital, dan penghalang besar dan kurang dihargai untuk meningkatkan keamanan siber.

Ini adalah preferensi manusia yang sederhana untuk melakukan besok apa yang Anda lakukan kemarin yang mengarahkan pengguna untuk mengulangi kata sandi, menunda pemasangan tambalan, dan tetap menggunakan perangkat lunak lama karena mereka merasa nyaman dengannya.

Penyerang dunia maya tahu bahwa kelambanan perilaku ini sering kali merupakan mata rantai terlemah, jadi mereka mengeksploitasinya.

Serangan phishing berhasil karena email sepertinya berasal dari teman atau bisnis yang sudah dikenal, dan halaman web palsu yang menghosting malware membodohi orang karena pengguna mengenali tampilan dan nuansanya dan cukup mengeklik atau memasukkan data tanpa berpikir.

Bukan hanya inersia perilaku individu yang memudahkan aktor jahat. Kelambanan organisasi juga merupakan masalah, dan seringkali organisasi terbesar yang paling macet di jalan mereka.

Selengkapnya: The Hill

CryptoRom Scam Raih $1,4 Juta Dengan Mengeksploitasi Fitur Apple Enterprise

by

Penipu cryptocurrency skema piramida mengeksploitasi Program Enterprise Developer Apple untuk memasukkan aplikasi perdagangan palsu ke iPhone merek mereka. Sejauh ini mereka telah menghasilkan keuntungan setidaknya $ 1,4 juta, menurut Sophos Labs, yang mengamati penipuan yang terjadi di situs kencan.

Peluang investasi itu melibatkan perdagangan cryptocurrency, dengan tawaran untuk menginvestasikan uang ke dalam cryptocoin untuk menuai keuntungan besar. Untuk memberikan lapisan legitimasi, para penjahat menawarkan aplikasi iPhone “resmi”, yang konon disetujui oleh Apple.

“App Store, seperti Google Play Store yang setara untuk Android, sama sekali tidak kebal terhadap malware, fleeceware, dan aplikasi badware lainnya,” peneliti Sophos menunjukkan. “Tapi aplikasi perdagangan cryptocurrency yang benar-benar palsu, berdasarkan platform perdagangan yang benar-benar palsu, jarang berhasil masuk ke App Store/Google Play Store.”

Jadi sebagai gantinya, penipu menggunakan celah yang memungkinkan program manajemen perangkat seluler perusahaan (MDM) untuk mengontrol perangkat iOS milik perusahaan, menurut analisis Sophos, melalui program Enterprise Developer Apple – khususnya, fitur Tanda Tangan Perusahaan/Perusahaan Apple.

“Para penjahat membujuk Anda, misalnya berdasarkan persahabatan yang dikembangkan dengan hati-hati melalui situs kencan, untuk memberi mereka jenis kekuasaan administratif yang sama atas iPhone Anda yang biasanya disediakan untuk perusahaan yang mengelola perangkat milik perusahaan,” catat para peneliti.

“Tidak ada platform perdagangan di belakangnya; ‘investasi’ Anda tidak digunakan untuk membeli cryptocurrency apa pun, bahkan yang tidak stabil atau kurang dikenal,” menurut Sophos.

Kampanye penipuan khusus ini masih aktif, Sophos memperingatkan, dengan korban baru yang terlibat di dalamnya setiap hari. Dan juga, perlu dicatat bahwa secara umum, penipuan asmara tetap menjadi strategi penipuan paling sukses untuk penjahat dunia maya dan mewakili sektor yang berkembang, menurut Komisi Perdagangan Federal.

Selengkapnya: Threat Post

Rekayasa sosial berjalan otomatis: bot robocall baru di Telegram dapat menipu Anda untuk memberikan kata sandi Anda

by

Saat ini, scammers tampaknya memiliki pekerjaan yang cocok untuk mereka karena jenis bot-for-hire baru mengambil alih dunia rekayasa sosial.

OTP Bot adalah jenis baru Telegram bot jahat yang dirancang untuk merobohkan korban yang tidak menaruh curiga dan menipu mereka agar memberikan kata sandi satu kali (OTP), yang kemudian digunakan scammer untuk mengakses dan mengosongkan rekening bank mereka. Lebih buruk lagi, basis pengguna bot model baru yang berkembang ini telah tumbuh ribuan dalam beberapa minggu terakhir.

Menurut peneliti CyberNews Martynas Vareikis, OTP Bot adalah contoh terbaru dari model Crimeware-as-a-Service yang berkembang di mana penjahat dunia maya menyewakan alat dan layanan jahat kepada siapa pun yang bersedia membayar.

Setelah dibeli, Bot OTP memungkinkan penggunanya untuk mengambil kata sandi satu kali dari korban yang tidak curiga dengan memasukkan nomor telepon target, serta informasi tambahan apa pun yang mungkin diperoleh pelaku ancaman dari kebocoran data atau pasar gelap, langsung ke jendela obrolan Telegram bot. “Bergantung pada layanan yang ingin dieksploitasi oleh pelaku ancaman, informasi tambahan ini dapat mencakup sesedikit alamat email korban,” kata Vareikis.

Bot itu sendiri dijual di ruang obrolan Telegram yang saat ini memiliki lebih dari 6.000 anggota, menghasilkan keuntungan besar bagi penciptanya dari menjual langganan bulanan kepada penjahat. Sementara itu, para penggunanya secara terbuka memamerkan keuntungan lima digit mereka dari menggeledah rekening bank target mereka.

Teknik penipuan paling populer yang digunakan oleh pelanggan Bot OTP disebut ‘penautan kartu’. Ini termasuk menghubungkan kartu kredit korban ke akun aplikasi pembayaran seluler mereka, dan kemudian menggunakannya untuk membeli kartu hadiah di toko fisik.

Selengkapnya: Cyber News

Mengapa Phishing Masih Merupakan Teknik Peretasan Yang Paling Sukses?

by

Sebagian besar dari kita tidak akan mengklik email yang mengklaim bahwa kita adalah pemenang lotere saat ini. Namun, serangan phishing berkembang dan tetap menjadi serangan siber paling berbahaya bagi individu atau perusahaan sejak serangan phishing pertama pada tahun 1995.

Menurut laporan oleh perusahaan keamanan email Valimail, lebih dari tiga miliar pesan spoofing dikirim setiap hari, hampir 1% dari semua lalu lintas email. Dan ini menimbulkan kerugian yang cukup besar bagi masyarakat kita.

Pada tahun 2021, kerusakan kejahatan dunia maya global akan meningkat dari $ 3 triliun pada tahun 2015 menjadi $ 6 triliun setiap tahun, menurut perkiraan dari Official Annual Cybercrime Report 2020 oleh Cybersecurity Ventures.

Apa yang membuat serangan ini begitu sukses?

1# Manusia adalah Celah Terlemah dalam Keamanan Siber

Rekayasa sosial memanfaatkan elemen psikologis kita untuk membangun akses ke informasi atau keuntungan finansial dari kita. Email phishing adalah salah satu jenis cara paling umum yang digunakan peretas untuk mencoba mendapatkan informasi atau keuntungan finansial dari individu.

Tidak ada Signature untuk diperbarui atau firewall yang akan dipasang. Dengan demikian, peretas mengeksploitasi kerentanan psikologis yang belum ditambal, dan cara termudah untuk melakukannya adalah dengan phishing.

2# Work From Home + BYOD (Bring Your Own Device)

Bekerja dari rumah yang berarti bahwa karyawan lebih santai dan mungkin sering menggunakan perangkat mereka sendiri untuk bekerja (yaitu, BYOD), yang berarti bahwa, jika penjahat dunia maya menyusupi perangkat karyawan, mereka dapat memperoleh akses tidak hanya ke data yang ada di dalam perangkat, tetapi juga akses ke jaringan perusahaan.

3# Mudah untuk Memulai

Ketersediaan kit phishing online dan munculnya ransomware-as-a-service (RaaS) menurunkan peringkat untuk memulai. Hal ini mengakibatkan ledakan ransomware dan eksploitasi lainnya yang berasal dari rawa penjahat dunia maya amatir yang terus berkembang.

Selengkapnya: Technology Hits on Medium

MI5 memperingatkan mata-mata yang menggunakan LinkedIn untuk mengelabui staf agar membocorkan rahasia

by

Setidaknya 10.000 warga negara Inggris telah didekati oleh profil palsu yang terkait dengan negara yang bermusuhan, di jejaring sosial profesional LinkedIn, selama lima tahun terakhir, menurut MI5.

Mereka memperingatkan pengguna yang telah menerima permintaan koneksi semacam itu mungkin kemudian terpikat untuk berbagi rahasia.

“Profil berbahaya” sedang digunakan pada “skala industri”, kata kepala badan keamanan tersebut, Ken McCallum.

Sebuah kampanye telah diluncurkan untuk mendidik pegawai pemerintah tentang ancaman tersebut.

Upaya – Think Before You Link – memperingatkan mata-mata asing menargetkan mereka yang memiliki akses ke informasi sensitif.

Salah satu kekhawatiran adalah rekan-rekan korban, pada gilirannya, menjadi lebih bersedia untuk menerima permintaan tindak lanjut – karena tampaknya mereka memiliki kenalan yang sama.

MI5 tidak secara spesifik menyebut LinkedIn tetapi BBC News telah mengetahui bahwa layanan milik Microsoft tersebut memang platform yang terlibat.

Angka 10.000+ termasuk staf di hampir setiap departemen pemerintah serta industri utama, yang mungkin ditawari kesempatan berbicara atau bisnis dan perjalanan yang dapat mengarah pada upaya untuk merekrut mereka untuk memberikan informasi rahasia.

Dan diperkirakan sejumlah besar dari mereka yang awalnya mendekati terlibat dengan profil yang menghubungi mereka secara online.

Selengkapnya: BBC

Saya adalah seorang ethical hacker. Berikut adalah cara saya menggunakan media sosial untuk menipu Anda

by

Katie Paxton-Fear adalah seorang mahasiswa PhD, pemburu bug bounty dan YouTuber. Ia membagikan cerita bagaimana seorang peretas dapat menggunakan informasi yang Anda bagikan secara online untuk merugikan Anda. Simak ceritanya berikut ini.

Email phishing bisa jadi cukup meyakinkan, sering kali dialamatkan kepada kita dengan nama atau dengan detail pribadi tertentu. Peretas modern dapat menemukan semua yang perlu mereka ketahui tentang target potensial melalui Google atau media sosial dan menggunakan informasi ini untuk merancang penipuan yang sempurna.

Penjahat siber memanfaatkan detail pribadi yang kita bagikan secara online untuk mencoba dan mengelabui atau meniru identitas kita — menyatukan setiap foto yang kita posting, lokasi yang pernah kita daftarkan, orang yang kita tandai, atau foto hewan peliharaan yang kita unggah untuk membangun pemahaman tentang target mereka.

Penipuan manipulasi psikologis yang mereka buat dirancang untuk membujuk orang agar mengunduh malware, mengirim uang, membagikan informasi pribadi, atau mengungkapkan detail masuk. Ini tidak dimaksudkan untuk menakut-nakuti Anda. Sebenarnya, sangat mungkin untuk menikmati media sosial tanpa membahayakan diri sendiri.

KENYATAAN OVERSHARING MEDIA SOSIAL

Pembagian berlebihan (oversharing) yang kita semua lakukan secara online adalah tambang emas bagi penjahat siber yang melakukan penyelaman sampah digital, terutama ketika kita memposting tentang pekerjaan kita.

Banyak pos juga berisi informasi pribadi yang mungkin tampak tidak berbahaya — nama anak-anak dan hewan peliharaan, tim olahraga favorit, ulang tahun. Tetapi detail ini dapat membantu peretas menebak kata sandi Anda atau menjawab pertanyaan keamanan umum.

Peretas juga tahu bahwa orang cenderung menggunakan kembali kata sandi mereka di seluruh akun. Setelah mereka memecahkan satu sandi, mereka akan mencobanya di beberapa situs web populer, dari rekening bank hingga email Anda, untuk melihat apakah itu berhasil.

ANATOMI PENIPUAN EMAIL

Terlepas dari apa yang Anda lihat dalam penggambaran budaya pop, kebanyakan penjahat siber sebenarnya tidak meretas perusahaan. Mereka meretas orang-orang yang bekerja di sana. Meretas manusia hanya membutuhkan email yang meyakinkan, sedangkan meretas perangkat lunak seperti melangkah ke suatu ruangan dengan security laser.

Jika saya mencoba meretas perusahaan, tempat pertama yang saya kunjungi adalah LinkedIn. Mudah untuk menemukan nama lengkap dan jabatan karyawan dengan akun LinkedIn Premium yang terjangkau. Saya akan mencari staf nonteknis seperti staf penjualan atau administrasi yang mungkin lebih rentan dan memiliki akses ke banyak data perusahaan.

Saya mungkin melihat di akun LinkedIn atau Twitter seorang karyawan bahwa mereka baru saja memulai pekerjaan baru, yang memberi tahu saya bahwa mereka mungkin tidak mengetahui kepribadian eksekutif mereka dan sangat ingin menyenangkan mereka. Saya dapat menggunakan Google atau media sosial untuk mempelajari nama eksekutif ini dan memalsukan alamat email mereka, lalu mengirim email palsu ke karyawan baru ini.

Yang diperlukan hanyalah email mendesak yang mengatakan, “Hai, saya sedang rapat dan lupa ulang tahun keponakan saya. Saya ingin Anda pergi membelikan saya kartu hadiah Amazon. Saya akan mengembalikan uangmu.”

Anda akan terkejut betapa cepatnya seseorang akan mengikuti arahan mendesak dari atasan di kantor, terutama di dunia baru kerja jarak jauh kita, saat isyarat visual hilang dan Anda tidak dapat dengan cepat memverifikasi permintaan dengan rekan kerja Anda.

CARA SEDERHANA UNTUK TETAP AMAN ONLINE

Coba Googling nama Anda atau buat akun media sosial kedua untuk melihat profil Anda sendiri seperti yang dilakukan orang asing. Apakah Anda nyaman dengan semua yang Anda lihat? Jika tidak, setel akun sosial Anda ke pribadi (private) dan periksa kembali apakah Anda benar-benar mengenal semua pengikut Anda.

Hindari kata sandi yang berkaitan dengan apa yang Anda bagikan secara online. Tentu, sulit untuk mengingat semuanya, tetapi sebuah Password Manager dapat melakukan tugas berat tersebut untuk Anda.

Bersikaplah skeptis terhadap email pribadi dan kantor. Jika ada yang tidak beres, klik nama tampilan pengirim untuk memastikan alamat emailnya cocok, terutama di ponsel. Minta opini kedua dari tim IT perusahaan Anda, atau konfirmasikan permintaan secara lisan dengan rekan kerja. Terakhir, berhenti dan berpikirlah sebelum membuka lampiran, mengklik tautan, atau berbagi informasi.

Menjaga keamanan informasi Anda secara online bukanlah tentang stres atau ketakutan. Ini tentang mengetahui apa yang Anda bagikan, menyadari bagaimana hal itu dapat digunakan untuk merugikan Anda, dan mengetahui cara menjadikan pos Anda pribadi.

Sumber: Fast Company