March 2020

Apa itu Social Engginering?


Akhir-akhir ini marak diberitakan adanya puluhan hacker yang bisa mengubah perhitungan suara sebuah lembaga independen. Maka istilah “Social Engineering” pun kembali mencuat. Tanpa ingin membuktikan apakah benar atau tidak berita tersebut, saya akan membahas bagaimana mungkin hal itu bisa terjadi. Hal ini penting agar Anda tidak menjadi korban dari social engineering.



Apa itu social engineering ?

Social engineering adalah kegiatan untuk mendapatkan informasi rahasia/penting dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon dan Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Hal ini bisa dilakukan dengan pendekatan yang manusiawi melalui mekanisme interaksi sosial.

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu MANUSIA. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun.

Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.



Memanfaatkan Kelemahan Manusia

Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaringan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil contoh di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak data-data penting perusahaan.

Membuang sampah yang bagi kita tidak berguna, dapat dijadikan orang yang berkepentingan lain. Misal: slip gaji, slip atm. Barang tersebut kita buang karena tidak kita perlukan, namun ada informasi didalamnya yang bisa dimanfaatkan orang lain.

Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.

Contoh titik lemah manusia yang bisa dimanfaatkan antara lain :

1. Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;

2. Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga;

3. Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.



Target korban Social Engineering

Menurut studi dari data, secara statistik ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :

1. Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud

2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci  akses penting ke data dan informasi rahasia, berharga, dan strategis

3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;

4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan

5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.



Bagaimana cara melakukannya ?

Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.

Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.

Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan yang lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik.



Social Engineering terhadap orang awam

Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan. Sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.

Banyak metode yang dapat dilakukan untuk mencapai situasi psikologis yang tepat sebelum “serangan” dilancarkan. Yang umum adalah dilakukan dengan meniru orang lain, memuji, berpura-pura “eh kita sama”, atau sekedar benar-benar bersikap ramah terhadap sasaran.

Entah untuk Facebook, Twitter, atau email Anda. Anda yakin password Anda aman?

Anda tidak menggunakan tanggal lahir kan untuk password Anda?

Atau jangan-jangan Anda masih mencatat password Anda di secarik kertas?

Atau Anda sudah pastikan gak ada teman yang ngintip ketika Anda mengetikan password ?

Setelah Anda membaca cerita di atas, tidak perlu pengetahuan teknis tentang hacking kan untuk mendapatkan password Anda? Dan perlu disadari bahwa social engineering tidak hanya ditujukan untuk pencurian password saja; pembuat virus menggunakannya untuk membujuk Anda membuka attachment email yang mengandung malware, phishing dan menggunakanya untuk mendapatkan informasi berharga dari Anda, misal login ke internet banking, paypal kena limit dll. Bahkan ada pembuat scareware yang menakut-nakuti Anda untuk membeli atau mendownload program (yang bisa jadi tidak berguna, atau bahkan merusak)

Sebaiknya kita semua menyadari bahwa di era informasi digital ini tidak ada informasi yang sepele.

Bot Deface u/p Default Wordpress


•YO MINA~ BALIK LAGI SAMA GUA Hades :D DI ARTIKEL GUA KALI INI GUA PENGEN BAGI BAGI BOT DEFACE GRATIS NIH YANG LAGI RAMAI RAMAI NYA DI PAKAI PARA DEFACER :D YOK SIMAK BERIKUT INI.


DEFACE PROOF OF CONTEXT U/P DEFAULT WORDPRESS MEMANG SEDANG MARAK MARAK NYA (LAGI RAMAI) DI PAKAI OLEH PARA DEFACER. UNTUK KALIAN PARA PEMULA JANGAN KHAWATIR KALIAN BISA DAPAT TOOLS INI SECARA FREE. OH IYA NGOMONG-NGOMONG. TERIMAKASIH BUAT Jeager YANG SUDAH MEMBUAT TOOLS INI. OKE LANJUT

CARA INSTALISASI NYA GIMANA?

•INSTALISASI :
$https://github.com/jeager22xc/botWordpress.git

$apt install git -y

$git clone https://github.com/jeager22xc/botWordpress.git

$python botWordpress.py

(BANG BANG DORK NYA MANA BANG)

DORK : -inurl/wp/
              -intitle:My Blog My WordPress Blog

NANTI PAS MASUK TOOLS TIME NYA KETIK 0 DAN BAWAH NYA KETIK 100


OKE MINA MUNGKIN HANYA ITU YANG BISA KU BAGIKAN BUAT KALIAN, PANTENGIN BLOG KU TERUS YO~ AKAN ADA TUTORIAL ATAU ARTIKEL LAIN NYA YANG MENARIK.

Thanks to my Team : 22XploiterCrew
Thanks to Jeager : Jeager

ARIGATO >_<

Pengertian Kali Linux Serta Kelebihan dan Kekurangannya



PENGERTIAN KALI LINUX

Kali linux bisa dikatakan Backtrack versi 6. Terus kenapa nama Backtrack diganti ? Dalam jawaban yang dijelaskan oleh Offensive Security tidak begitu Rinci namun perubahan yang terjadi karena sangat mendasar sekali dari sistem operasi yang digunakan. Jika dahulu sistem operasi Backtrack dibuat berdasarkan sistem operasi Ubuntu namun berbeda dengan kali linux yang saat ini menggunakan sistem operasi debian.
Kali linux pertama kali di rilis tanggal 13 maret 2013 dan terus mendapatkan pembaruan karena mengganti sistem operasi debian.



Baca Juga : Deface Poc Parked Domain Tebas Index



KELEBIHAN KALI LINUX

- Performa lebih stabil sebagai turunan dari Debian yang berbasis Wheezy
- Kali Linux Lebih sinkro dengan reposito Debian hingga 4 kali dalam sehari sehingga akan mengupdate package debian terbaru serta juga akan memperbaiki security Bugs.
- Kali Linux Dilengkapi oleh 300an lebih tools hacking dan penetration testing. Tools hacking dan Pentest tersebut sama dengan yang dimiliki Backtrack terdahulu.
- Gratis :D Linux Users tidak pernah di pungut biaya sepeserpun
- Kebal terhadap serangan virus, karena sistem keamannya tinggi
-Tampilan dinamis dan sangat nyaman dipakai. Kali linux dilengkapi oleh FHS complaint system memungkinkan linux Users mudah mencari library, file binary dan support file.


Baca Juga : Deface Poc Dorking Shell


KEKURANGAN KALI LINUX

- Program yang ada di windows tidak akan dapat berjalan di Sistem Operasi Kali Linux.
- Tidak semu distro inux dapat bekerja dengan semua perangkat keras komputer.
- Dalam hal penggunaannya sangat sedikit sekali user yang menggunakan OS Kali Linux kare program yang dapat dijalankan di dalam Os ini sangat sedikit.
- Tidak dapat membuka file yang berextensi .exe

Sebelum memakai Os Kali Linux sebaiknya anda belajar dahulu tentang hal yang diperlukan untuk menggunakan Os Kali Linux Ini.


MUNGKIN ITU SAJA INFO YANG BISA SAYA BERIKAN KURANG LEBIH NYA MOHON MAAF, JIKA ADA KEKURANGAN BISA COMMENT DI KOLOM KOMENTAR :D
SEE YOU MINA ~ Thx to My Team 22XploiterCrew


Apa itu Penetration Testing ?




Halo selamat malam/pagi/siang/sore :v para Hacker :v .. Setelah kemarin akhirnya selesai pasang Kali Linux, saya menjadi penasaran mengenai Sistem Operasi yang dikhususkan untuk pentest ini. Tetapi sebelumnya mungkin ada yang belum mengenal istilah pentest. Apa itu pentest ? Saya akan mencoba menjelaskan beberapa hal mengenai pentest.
1. Apa itu Penetration Testing ?
Penetration Testing (disingkat pentest) adalah suatu kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap jaringan organisasi / perusahaan tertentu untuk menemukan kelemahan yang ada pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester (disingkat pentester). Penetration Testing mempunyai standar resmi sebagai acuan dalam pelaksanaannya. Standar ini bisa dilihat di pentest-standard.org.
2. Kenapa Penetration Testing diperlukan ?
Nah kenapa kegiatan pentest diperlukan ? Perusahaan-perusahaan besar yang menyimpan data-data sensitif (seperti Bank) tentu tidak ingin jaringannya dibobol oleh orang tidak bertanggung jawab yang kemudian bisa mengambil alih kontrol jaringan dan menimbulkan kerugian yang sangat besar. Oleh karena alasan itu perusahaan menginvestasikan dana untuk memperkuat sistem jaringannya. Salah satu metode paling efektif adalah melakukan pentest. Dengan melakukan pentest, celah-celah keamanan yang ada dapat diketahui dan dengan demikian dapat diperbaiki secepatnya. Seorang pentester mensimulasikan serangan yang dapat dilakukan, menjelaskan resiko yang bisa terjadi, dan melakukan perbaikan sistem tanpa merusak infrastruktur jaringan perusahaan tersebut.
3. Tahapan Penetration Testing
Penetration Testing memiliki standar (PTES) yang digunakan sebagai acuan dalam pelaksanaanya yang dibagi ke dalam beberapa tahap :
  • Pre-engagement Interactions
Tahap dimana seorang pentester menjelaskan kegiatan pentest yang akan dilakukan kepada client (perusahaan). Disini seorang pentester harus bisa menjelaskan kegiatan-kegiatan yang akan dilakukan dan tujuan akhir yang akan dicapai.
  • Intelligence Gathering
Tahap dimana seorang pentester berusaha mengumpulkan sebanyak mungkin informasi mengenai perusahaan target yang bisa didapatkan dengan berbagai metode dan berbagai media. Hal yang perlu dijadikan dasar dalam pengumpulan informasi adalah : karakteristik sistem jaringan, cara kerja sistem jaringan, dan metode serangan yang bisa digunakan.
  • Threat Modeling
Tahap dimana seorang pentester mencari celah keamanan (vulnerabilities) berdasarkan informasi yang berhasil dikumpulkan pada tahap sebelumnya. Pada tahap ini seorang pentester tidak hanya mencari celah keamanan, tetapi juga menentukan celah yang paling efektif untuk digunakan.
  • Vulnerability Analysis
Tahap dimana seorang pentester mengkombinasikan informasi mengenai celah keamanan yang ada dengan metode serangan yang bisa dilakukan untuk melakukan serangan yang paling efektif.
  • Exploitation
Tahap dimana seorang pentester melakukan serangan pada target. Walaupun demikian tahap ini kebanyakan dilakukan dengan metode brute force tanpa memiliki unsur presisi. Seorang pentester profesional hanya akan melakukan exploitation ketika dia sudah mengetahui secara pasti apakah serangan yang dilakukan akan berhasil atau tidak. Namun tentu saja ada kemungkinan tidak terduga dalam sistem keamanan target. Walaupun begitu, sebelum melakukan serangan, pentester harus tahu kalau target mempunyai celah keamanan yang bisa digunakan. Melakukan serangan secara membabi-buta dan berharap sukses bukanlah metode yang produktif. Seorang pentester profesional selalu menyempurnakan analisisnya terlebih dahulu sebelum melakukan serangan yang efektif.
  • Post Exploitation
Tahap dimana seorang pentester berhasil masuk ke dalam sistem jaringan target dan kemudian melakukan analisis infrastruktur yang ada. Pada tahap ini seorang pentester mempelajari bagian-bagian di dalam sistem dan menentukan bagian yang paling critical bagi target (perusahaan). Disini seorang pentester harus bisa menghubungkan semua bagian-bagian sistem yang ada untuk menjelaskan dampak serangan / kerugian yang paling besar yang bisa terjadi pada target (perusahaan).
  • Reporting
Reporting adalah bagian paling penting dalam kegiatan pentest. Seorang pentester menggunakan report (laporan) untuk menjelaskan pada perusahaan mengenai pentesting yang dilakukan seperti : apa yang dilakukan, bagaimana cara melakukannya, resiko yang bisa terjadi dan yang paling utama adalah cara untuk memperbaiki sistemnya.
4. Tipe Penetration Testing
Ada dua jenis tipe pentest, yaitu : overt dan covertOvert pentest dilakukan dengan sepengetahuan perusahaan. Covert pentest dilakukan tanpa sepengetahuan perusahaan. Kedua tipe pentest ini memiliki kelebihan dan kelemahan satu sama lain.
  • Overt Penetration Testing
Pada overt pentest, seorang pentester bekerja bersama dengan tim IT perusahaan untuk mencari sebanyak mungkin celah keamanan yang ada. Salah satu kelebihannya adalah pentester mengetahui informasi sistem jaringan yang ada secara detail dan dapat melakukan serangan tanpa khawatir akan di-blok. Salah satu kelemahannya adalah tidak bisa menguji respon dari tim IT perusahaan jika terjadi serangan sebenarnya. Saat jumlah waktu dalam kegiatan pentest dibatasi, akan lebih efektif menggunakan tipe overt.
  • Covert Penetration Testing
Pada covert pentest, seorang pentester melakukan kegiatan pentest tanpa sepengetahuan perusahaan. Artinya tes ini digunakan untuk menguji respon dari tim IT perusahaan jika terjadi serangan sebenarnya. Covert test membutuhkan waktu yang lebih lama dan skill yang lebih besar daripada overt test. Kebanyakan pentester profesional lebih merekomendasikan covert test daripada overt test karena benar-benar mensimulasikan serangan yang bisa terjadi. Pada covert test, seorang pentester tidak akan berusaha mencari sebanyak mungkin celah keamanan, tetapi hanya akan mencari jalan termudah untuk masuk ke dalam sistem, tanpa terdeteksi.
Nah kira-kira seperti itulah kegiatan pentesting. Dengan semakin berkembangnya teknologi, unsur keamanan menjadi poin penting yang harus diperhatikan. Semakin sensitif data yang dimiliki perusahaan, maka akan semakin kuat juga sistem keamanan yang harus digunakan. Jika ada yang berminat untuk menjadi seorang pentester, maka kemampuan teknis networking dan programming, sangatlah diperlukan. Selain itu kita harus mempunyai analisis yang kuat untuk bisa mencari kelemahan sistem. Mungkin terlihat sangat sulit untuk menjadi seorang pentester, tetapi seperti quote terkenal : no pain no gain” 🙂

SOUCE : KLIK KER