DefCon 19 – Weaponizing Cyberpsychology

DefCon 19 – Weaponizing Cyberpsychology

Perusahaan X, perusahaan transportasi di Midwest, memiliki infrastruktur jaringan eksternal yang terkelola dengan baik. Beberapa kerentanan yang ada menyebabkan pelanggaran informasi berdampak rendah yang tidak membahayakan informasi perusahaan atau pelanggan. Puas dengan status keamanan jaringan mereka, saya mengalihkan perhatian ke jaringan manusia.

Mencari nama klien di situs-situs seperti Twitter, Facebook, dan LinkedIn, saya menemukan nama-nama karyawan dan aktivitas perusahaan yang tidak dibagikan di situs webnya. Ketika pencarian dilanjutkan, budaya, proses, dan leksikon klien muncul dari dialog korporat.

Informasi ini memungkinkan saya untuk membujuk karyawan agar memberi saya akses ke informasi penting dan area aman. Ini termasuk nama pengguna, kata sandi, dan akses ke area khusus karyawan.

Bagaimana ini bisa terjadi?

Klien ini menginvestasikan sumber daya signifikan yang melindungi dirinya dari ancaman teknis. Namun, mereka mengabaikan ancaman yang terkait dengan jaringan manusia Social Engineering (SE) mengeksploitasi kecenderungan manusia untuk membantu mendapatkan akses ke sumber daya sensitif. Sederhananya, itu adalah sebuah con-game yang menggabungkan informasi pada perusahaan target, karyawan, trik psikologis untuk mendapatkan akses ke aset yang sensitif.

Situs jejaring sosial adalah salah satu alat seorang insinyur sosial. Mereka digunakan untuk pengumpulan informasi – karyawan kunci / eksekutif, kegiatan komunitas yang disponsori oleh klien, mitra organisasi; semua data ini dapat digunakan untuk menyesuaikan dalih yang dipilih untuk pertunangan. Situs jejaring sosial juga memberikan penyerang wawasan tentang budaya, psikologi, dan bahasa karyawan dan pelanggannya.

DefCon 19 menampilkan pembicaraan oleh Chris Sumner dan rekan mengeksplorasi penggunaan teori kepribadian dan analisis aktivitas Facebook. Weaponizing Cyberpsychology & Subversif Cybervetting For Fun, Profit & Subterfuge menggambarkan korelasi positif yang signifikan secara statistik antara aktivitas pengguna Facebook dan kepribadian mereka. Penelitian ini dilakukan di Facebook oleh Yayasan Privasi Online. Ini berdasarkan analisis leksikal dan aktivitas pada Lima Faktor Model Kepribadian yang mengklasifikasikan individu pada lima spektrum.

Rincian mengenai pola penggunaan untuk masing-masing jenis ini dijelaskan dalam slide presentasi yang tersedia di situs web yayasan. Cukuplah untuk mengatakan, bahwa penelitian ini menggunakan ketelitian statistik untuk analisis kualitatif yang dilakukan oleh beberapa insinyur sosial secara otomatis.

Apa artinya ini bagi Anda dan perusahaan Anda?

Situs jejaring sosial adalah merek yang kuat dan kendaraan pemasaran baik untuk individu maupun perusahaan. Menyediakan koneksi ke pelanggan dan mitra yang melampaui waktu dan ruang. Namun, pesan yang sama yang digunakan untuk mempromosikan merek dapat digunakan oleh para insinyur sosial. Sebagai contoh, saya telah menggunakan kebanggaan perusahaan dalam keterlibatan masyarakat untuk mendapatkan akses ke kantor eksekutif dan area aman.

Apa yang bisa kau lakukan?