Gambaran KeseluruhanSalah satu cara yang paling biasa digunakan oleh penyerang siber adalah menipu anda melalui serangan e-mel (sering digelar sebagai phishing) atau menipu anda melalui panggilan telefon. Walau bagaimanapun, dengan kemajuan teknologi, mereka mencuba cara-cara baru, seperti menipu anda melalui teknologi pemesejan seperti pemesejan teks, iMessage/Facetime, WhatsApp, Slack atau Skype. Berikut merupakan beberapa langkah mudah untuk melindungi diri anda dan mengenal pasti/menghentikan serangan siber.

Apakah yang dimaksudkan dengan Serangan Mesej?Serangan mesej (kadangkala digelar Smishing, diubah daripada perkataan Phishing) ialah apabila penyerang siber menggunakan SMS, pesanan atau teknologi pemesejan untuk menghubungi anda dan cuba menipu anda supaya mengambil tindakan yang tidak sepatutnya. Mungkin mereka mahu menipu anda supaya mengklik pautan yang berbahaya, atau mempengaruhi anda untuk membuat panggilan telefon supaya mereka boleh mendapatkan maklumat perbankan anda. Sama seperti serangan e-mel phishing tradisional, mereka yang berniat jahat sering bermain dengan emosi anda untuk bertindak. Walau bagaimanapun, apa yang membuatkan serangan mesej begitu berbahaya ialah mereka sering merasakan mesej bersifat tidak formal atau lebih peribadi berbanding e-mel, lalu besar kemungkinan anda akan menjadi mangsa. Selain itu, melalui serangan mesej, kurang maklumat dan petunjuk untuk anda mengesan bahawa terdapat sesuatu yang tidak kena atau mencurigakan. Apabila anda menerima mesej yang kelihatan aneh atau mencurigakan, mulakan dengan bertanya kepada diri sendiri adakah mesej ini masuk akal, mengapa saya menerimanya? Berikut merupakan beberapa petunjuk umum berkenaan serangan.

Desakan yang luar biasa, apabila seseorang cuba untuk menggesa anda membuat tindakan.

Adakah mesej ini meminta maklumat peribadi, kata laluan atau maklumat sensitif lain yang tidak sepatutnya diakses oleh mereka?

Adakah mesej tersebut kedengaran seperti indah khabar daripada rupa? Tidak, anda tidak memenangi loteri, terutamanya yang tidak pernah anda sertai.

Surat Berita Bulanan Kesedaran Keselamatan untuk Anda

OUCH! | Disember 2019

www.sans.org/security-awareness

Pemesejan/ Serangan Smishing

OUCH! | February, 2018

M esej yang kelihatan seperti daripada rakan sekerja, atau akaun atau nombor telefon milik rakan, tetapi kata-kata tidak kedengaran seperti mereka. Akaun mereka mungkin telah dikompromi dan diambil alih oleh p enyerang, atau penyerang cuba berpura-pura menjadi mereka, lalu menipu anda untuk membuat tindakan.

Jika anda menerima mesej yang membuatkan anda memberi reaksi yang kuat, tunggu seketika dan berikan diri anda peluang untuk menenangkan diri dan berfikir sebelum memberi respon.

Kadangkala mereka yang berniat jahat akan menggabungkan serangan e-mel dan pemesejan. Sebagai contoh, penipuan kad hadiah boleh berfungsi dengan cara ini. Penyerang siber akan menghantar e-mel penting kepada anda dengan berpura-pura menjadi rakan atau rakan sekerja, kemudian meminta nombor telefon bimbit anda. Kemudian mereka boleh menghantar mesej teks berulang kali, memberi tekanan kepada anda untuk membeli kad hadiah. Sebaik sahaja kad hadiah dibeli, penyerang akan mengarahkan anda untuk menggores kod di belakang kad dan menghantar kembali gambar kod kepada mereka. Satu lagi serangan yang biasa digunakan adalah dengan menggesa anda untuk "melihat" video atau gambar ("anda tidak akan percaya ini!"). Ia menimbulkan rasa ingin tahu anda. Sekiranya mesej itu kelihatan seperti daripada seseorang yang anda kenali, mungkin hubungi individu tersebut terlebih dahulu untuk mengesahkan sebelum anda bertindak.

Jika anda menerima mesej daripada organisasi rasmi yang membimbangkan anda, semak dengan mereka secara langsung. Sebagai contoh, jika anda mendapat mesej teks daripada bank yang menyatakan terdapat masalah dengan akaun bank atau kad kredit anda, hubungi bank atau syarikat kad kredit anda secara langsung dengan melayari laman web mereka atau membuat panggilan langsung menggunakan nombor telefon di belakang kad bank atau kad kredit. Ingatlah bahawa kebanyakan agensi kerajaan, seperti cukai atau agensi penguatkuasaan undang-undang tidak akan menghubungi anda melalui mesej teks.

Apabila melibatkan serangan pesanan, pertahanan terbaik ialah diri anda sendiri.

OUCH! diterbitkan oleh SANS Security Awareness dan diedarkan di bawah lesen Creative Commons BY-NC-ND 4.0 . Anda bebas untuk berkongsi atau mengedarkan surat berita ini selagi anda tidak menjual atau mengubahnya. Lembaga Editor: Walt Scrivens, Phil Hoffman, Alan Waggoner, Cheryl Conley

www.sans.org/security-awareness© SANS Institute 2019

Editor JemputanJ en Fox memegang lencana hitam DEF CON 23 bagi Kejuruteraan Sosial dan menyediakan

pendidikan kesedaran keselamatan sebagai Pakar Program Keselamatan di Domino's. Anda boleh

mengikuti beliau di Twitter sebagai @j_fox.

SumberKejuruteraan Sosial: http://www.sans.org/u/XAQ

Hentikan Phish: http://www.sans.org/u/XAV

Penipuan Panggilan Telefon: http://www.sans.org/u/XB0

Melaporkan mesej teks palsu: https://www.consumer.ftc.gov/articles/0350-text-message-spam