Social Engineering Melalui Social Networking Sites
Social Networking sites yang umum digunakan adalah Facebook, Instagram, Twitter, Pinterest, YouTube dan lainnya. Setiap site memiliki fitur dan tujuan masing-maing.
Suatu site mungkin digunakan untuk terhubung dengan teman dan keluarga, site yang lain digunakan keperluan profesional.
Social networking sites dapat diakses bebas, attacker dapat memperoleh informasi dengan browsing user public profile atau membuat fake profile, misalnya membuat akun palsu dari teman dari target, lalu mengirimkan friend request, jika diterima, attacker dapat mengakses restricted pages (pages yang hanya dapat diakses oleh orang yang dikenal).
Di social networking sites, sangat umum pengguna memposting personal information seperti tanggal lahir, informasi pendidikan, background pekerjaan, nama pasangan dan lainnya.
Sementara perusahaan di social networking sites umumnya memposting informasi seperti potential partners, websites dan news tentang perusahaan.
Bagi attacker, social networking sites dapat menjadi sumber informasi yang berharga.
Informasi yang dapat diperoleh dalam social networking sites
Pengguna umumnya memiliki data profiles untuk basic information tentang mereka yang berguna untuk membuat koneksi dengan pengguna lainnya. Sebuah profile umumnya berisi nama, kontak info (nomer ponsel, alamat email), informasi pertemanan, informasi anggota keluarga, interests dan aktifitas.
Pengguna umumnya terhubung dengan teman dan bercakap-cakap dengan mereka. Attacker dapat menggunakan fitur chat ini untuk mendapatkan informasi.
Di social networking sites juga bisa sharing photos dan videos. Jika privacy setting tidak diatur, attacker dapat melihat pictures dan videos tersebut.
Pengguna juga mungkin bergabung dengan group games atau membagikan pandangan dan minat mereka. Attacker dapat mengumpulkan informasi tentang minat target dengan tracking group yang digunakan dan mengarahkan mereka untuk memberikan informasi.
Pengguna juga dapat membuat events untuk menotifikasi pengguna lainnya tentang acara mendatang, dengan ini attackers dapat mengetahui aktifitas pengguna.
Berikut summary data yang dapat diperoleh melalui social networking sites
| Fitur | Informasi yang diperoleh |
|---|---|
| Profile | contact info, location dan informasi terkait |
| Connect to friends, chat | Friends list, friends’ info dan informasi terkait |
| Share photos dan videos | Identitas anggota keluarga, minat dan informasi terkait |
| Play games, join groups | Interests |
| Create Event | Activities |
Sama seperti pengguna personal, organisasi juga menggunakan social networking sites untuk terhubung dengan orang-orang, mempromosikan produk, dan mengumpulkan feedback untuk produk dan service. Berikut informasi yang dapat diperoleh
| Hal dilakukan organisasi | Data yang diperoleh |
|---|---|
| User surveys | Business strategies |
| Promote products | Product profile |
| User support | Social engineering |
| Recruitment | informasi Platform/technology |
| Background check untuk pelamar | Type of business |
General Resource for Locating Information from Social Media Sites
Dengan menggunakan online services, attackers dapat memperoleh informasi dari berbagai social media sites dengan menggunakan hashtag atau keywords, track accounts dan URL, memperoleh alamat emal dan lainnya.
Contoh tools tersebut adalah: BuzzSumo, Google Trends, Hashatit dan Ubersuggest.
BuzzSumo, adalah advanced social search engine, berguna untuk mencari content yang paling banyak dishare berdasarkan topic, author atau domain. BuzzSumo akan menampilkan aktifitas sharing dari berbagai social media seperti, Twitter, Facebook, Reddit dan Pinterest.
Berikut contoh screen capture dari BuzzSumo.
Conducting Location Search on Social Media Sites
Melakukan location search berguna untuk mencari geolocation dari target. Informasi ini dapat digunakan untuk melakukan social engineering dan non-technical attacks. Contoh online tools yang menyediakan service ini adalah Followerwonk, Hootsuite dan Sysomos.
Followerwonk, berguna untuk explore dan membuat social graph. Analisis lebih mendalam dari Twitter Analytics: kita dapat mengetahui informasi follower seperti lokasi, jam aktif dan lainnya.
Berikut contoh screep capture dari Followerwonk:
Tools Footprinting melalui Social Networking Sites
Tools yang umum digunakan adalah Sherlock, Social Searcher dan UserRecon. Tools ini akan mengumpulkan data dari berbagai social media seperti: Twitter, Instagram, Facebookdan Pinterest. Data yang dikumpulkan seperti: tanggal lahir, data pendidikan, status pekerjaan, nama relatif, nama organisasi tempat bekerja, termasuk business strategy, potentials clients dan rencana project mendatang.
Sherlock, Sherlock akan mencari informasi dari berbagai social media sites berdasarkan username.
Social Searcher, berguna untuk search content dalam social media secara realtime disertai data analytics. Berikut contoh screen capture dari Social Searcher.
