Tanya Jawab: Mark T. Hofmann tentang Psikologi Cybercrime
Markus T. Hofmann adalah psikolog bisnis yang sangat terkenal, analis kejahatan dan intelijen, serta pakar profil perilaku dan dunia maya. Sering menjadi pembicara, konsultan, dan pelatih di industri keamanan dunia maya, dia telah membantu polisi, lembaga pemerintah, dan LSM di seluruh dunia mengidentifikasi dan mengendalikan ancaman dunia maya.
Kami berbicara dengannya tentang tren kejahatan dunia maya, karakteristik tipikal peretas, dan bahaya deepfake.
Bagaimana profil kejahatan dunia maya berbeda dari jenis profil kriminal lainnya?
Pembuatan profil kejahatan dunia maya adalah disiplin yang sama sekali berbeda, tetapi ada beberapa metode pembuatan profil kriminal tradisional yang juga dapat diterapkan di dunia maya. Misalnya, FBI memiliki metode yang telah ditetapkan selama bertahun-tahun untuk menganalisis keseriusan surat ancaman (disebut penilaian ancaman) atau untuk mengidentifikasi pelaku. Saat ini, surat-surat ini berbentuk email atau pesan terenkripsi lainnya, tetapi prinsip dasarnya tetap sama. Fenomena seperti cyberstalking dan cyberbullying juga tidak sepenuhnya baru, karena merupakan bentuk modern dari stalking dan bullying.
Namun, peretas dan pelaku lain di dunia maya rata-rata jauh lebih pintar dan sulit ditangkap daripada penjahat lainnya. Meskipun ada stereotip bahwa pembunuh berantai itu sangat cerdas – ala Dr. Hannibal Lecter – pekerjaan dan penelitian saya menunjukkan bahwa orang-orang dengan kecerdasan luar biasa semacam ini ditemukan secara eksklusif di antara penjahat kerah putih dan penjahat dunia maya. Orang-orang ini sering kali bangga dengan keterampilan meretas mereka dan menganggapnya sebagai keterampilan yang berharga.
Apa saja ciri-ciri kepribadian umum atau ciri-ciri psikologis penjahat dunia maya?
Ciri-ciri umum di antara para peretas adalah muda, laki-laki, berpendidikan tinggi, kecerdasan di atas rata-rata. Mereka berperilaku mencari sensasi dan menikmati tantangan mengalahkan sistem. Saya juga akan mencirikan banyak (tetapi tidak semua) sebagai semacam anarkis digital atau peretas, yang bertujuan untuk “tidak mematuhi” sistem.
Namun, penting untuk dipahami bahwa sebagian besar peretas mulai mempelajari keahlian tersebut antara usia 11 dan 15 tahun. Anda dapat memulai dengan melakukan kejahatan ringan seperti memata-matai teman sekelas, meretas sistem sekolah, atau melakukan penipuan kartu kredit. Apakah psikopat serakah berusia 11 tahun ini? TIDAK. Sebaliknya, mereka mencari perhatian, penghargaan, validasi—materi, menjadi seseorang, untuk dilihat. SAYADi banyak sekolah terdapat band, tim sepak bola, dan klub debat, tetapi hampir tidak ada dukungan untuk talenta TI berusia 11 tahun. Ini tidak seperti mereka bisa mendapatkan magang atau pekerjaan paruh waktu di usia 11 tahun. Tidak ada yang menganggapnya serius. Tetapi ketika dia meretas sebuah perusahaan: Tiba-tiba mereka menganggapnya serius. Sekarang mereka harus mendengarkan.
Sebagian besar peretas mempelajari keahlian ini antara usia 11 dan 15 tahun. Anda dapat memulai dengan melakukan kejahatan ringan seperti memata-matai teman sekelas, meretas sistem sekolah, atau melakukan penipuan kartu kredit. Apakah psikopat serakah berusia 11 tahun ini? TIDAK. Sebaliknya, mereka mencari perhatian, penghargaan, validasi—materi, menjadi seseorang, untuk dilihat.
Badan Keamanan Nasional (NSA) secara teratur menawarkan teka-teki dan tantangan crypto untuk memberikan kesempatan kepada talenta muda untuk menggunakan keterampilan mereka demi kebaikan. Pendekatan ini tepat. Kalau tidak, anak-anak akan terus belajar cara meretas di YouTube jaringan gelapdan dengan cepat beralih ke “sisi gelap”.
Jenis informasi apa yang diperlukan untuk membuat profil peretas yang akurat?
Dalam pembuatan profil dunia maya, bahasa adalah kuncinya – seringkali bahasa adalah satu-satunya hal yang dapat dianalisis dari sudut pandang psikologis. Dan itu sering terlibat dalam kejahatan dunia maya seperti Email PhishingPanggilan Vishing (memancing suara), negosiasi tebusan, pesan ancaman, obrolan, dan posting forum web gelap.
Sementara banyak orang akrab dengan dialek, yang mewakili perbedaan regional dalam penggunaan bahasa, ada juga konsep yang disebut “idilek”, yang merupakan dialek pribadi yang berfungsi seperti sidik jari linguistik. Gabungkan itu dengan AI dan sangat mungkin untuk mengenali orang berdasarkan idiolek mereka. Namun sangat berguna jika Anda dapat mengetahui dari mana asal seseorang, apakah mereka menulis dalam bahasa asli mereka, apakah Anda berurusan dengan suatu kelompok – itu sangat membantu.
Anda mengatakan bahwa 90% serangan dunia maya yang berhasil disebabkan oleh kesalahan manusia. Bisakah Anda menjelaskan apa yang Anda maksud dengan itu?
Serangan dunia maya terjadi pada orang yang mengeklik tautan, orang yang membuka lampiran, orang yang memberikan kata sandi melalui telepon, orang yang mengambil dan memasukkan stik USB karena penasaran, orang yang jatuh ke perangkap madu, orang yang berbicara dengan lantang berbicara tentang sensitif topik di bandara, orang yang masuk ke jaringan WLAN asing, orang yang meninggalkan laptopnya tidak terkunci di lounge bisnis atau di kereta. Dari ransomware hingga spionase, orang jelas merupakan mata rantai terlemah. Bruce Schneier pernah berkata, “Amatir meretas sistem, pro meretas orang.” Dia benar sekali.
Pada 2019, email phishing digunakan untuk mencuri lebih dari $100 juta dari Google dan Facebook. Jika itu bisa terjadi pada mereka, itu bisa terjadi pada perusahaan mana pun.
Bruce Schneier pernah berkata, “Amatir meretas sistem, pro meretas orang.” Dia benar sekali.
Anda berbicara tentang konsep masyarakat menjadi “firewall manusia” melawan kejahatan dunia maya. Bagaimana apanya?
Bahkan jika sebuah perusahaan memiliki firewall super dan infrastruktur TI canggih, cukup bagi seorang peretas untuk memanggil karyawan dan memanipulasi mereka untuk memberi mereka kredensial akses atau menyamar sebagai bos dan memesan transfer uang. Tidak ada yang dapat Anda lakukan secara teknis untuk mencegah serangan itu. Penting untuk dipahami bahwa keamanan dunia maya adalah tanggung jawab manajerial dan harus menjadi prioritas tingkat C. Keamanan siber adalah kombinasi dari keamanan teknis dan kesadaran keamanan siber manusia.
Menurut Anda, apakah deepfake berpotensi membuat serangan manipulasi psikologis menjadi lebih berbahaya dengan menggunakan gambar atau audio persuasif untuk membodohi orang?
Sangat. deepfake akan membawa penipuan CEO ke tingkat yang sama sekali baru. Penjahat dapat “mencuri” wajah dan/atau suara seseorang dari podcast, wawancara TV, atau ceramah di YouTube dan menggunakan identitas tersebut untuk melakukan penipuan CEO atau pencurian identitas lainnya. Sungguh menakjubkan betapa meyakinkannya kualitas deepfake yang dibuat dengan baik saat ini – Anda bahkan tidak akan mengenali ibu Anda sendiri.
Di Dubai, ada kasus di mana teknologi suara dalam digunakan untuk merampok bank senilai $35 juta. Peretas “mencuri” suara manajer bank untuk memanipulasi karyawan agar menyelesaikan transaksi. Perampokan bank menggunakan teknologi suara dalam menawarkan pandangan sekilas ke masa depan.
Dalam pengalaman Anda sebagai analis kejahatan dunia maya, apa saja perubahan atau pergeseran paling mencolok dalam tren kejahatan dunia maya yang Anda amati selama beberapa tahun terakhir?
Bagi saya, tiga tren terpenting dalam kejahatan dunia maya dan rekayasa sosial adalah:
- deepfake (seperti yang dijelaskan di atas)
- ChatGPTkarena memperluas lingkaran kemungkinan pelanggar dan menurunkan “tingkat awal” dengan memberi mereka alat untuk menghasilkan teks untuk Perkembangan sosial dan disinformasi. Ia bahkan dapat menghasilkan kode itu sendiri.
- kejahatan sebagai layanan Struktur (yaitu model bisnis untuk menyediakan alat dan layanan kejahatan dunia maya bagi penjahat lain) menjadi lebih profesional. Mereka bekerja seperti perusahaan, tetapi bahkan lebih baik dan lebih efisien daripada banyak lainnya. Mereka telah membangun ekonomi riil dalam kegelapan.
Apa saja mitos kejahatan dunia maya umum yang perlu dibongkar, dan bagaimana kita dapat meningkatkan kesadaran publik dan mengedukasi tentang masalah ini?
Mitos terburuk adalah bahwa bisnis kecil percaya bahwa mereka tidak terpengaruh oleh serangan siber karena mereka tidak cukup menarik atau terlalu kecil. Tapi ini salah; bahkan taman kanak-kanak dan dokter gigi diserang. Ada dua jenis bisnis: yang diserang dan yang diserang. Satu-satunya pertanyaan adalah apakah sebuah perusahaan siap jika seseorang mencoba menyerangnya. Ini masalah kesadaran dan persiapan.
Dan mitos yang paling terkenal: Tidak, peretas tidak selalu memakai hoodies hitam.
Untuk mendidik masyarakat umum, diskusi tentang kejahatan dunia maya perlu menjadi lebih menyenangkan dan mengasyikkan. Saya telah menghadiri banyak konferensi dunia maya dari Berlin hingga Dubai, di mana para ahli berbicara dengan para ahli tentang topik ahli. Itu bagus, tetapi pada akhirnya resepsionislah yang membuka tautan atau mengungkapkan kata sandi. Sebagai seorang pembicara, saya melakukan yang terbaik untuk membuat orang bersemangat tentang topik tersebut ketika mereka sebenarnya tidak tertarik.
Ada dua jenis bisnis: yang diserang dan yang diserang.
Dengan munculnya kecerdasan buatan, bagaimana Anda melihat peran AI yang menguntungkan dalam membuat profil peretas dan mengidentifikasi tren kejahatan dunia maya?
Dalam perlombaan antara peretas dan vendor keamanan, kedua belah pihak dilengkapi dengan AI yang mempercepat persaingan. Sebagai contoh, Hacker Factor, sebuah situs web penelitian forensik, memiliki alat yang disebut “Penebak Gender” yang, dengan beberapa kata basa-basi, dapat membuat pernyataan kemungkinan tentang jenis kelamin seseorang berdasarkan data tentang perbedaan pria dan wanita dalam penulisan.
Jadi jika AI sudah dapat mengidentifikasi jenis kelamin saya dari 10 kata, bayangkan apa yang dapat dilakukannya jika menganalisis 10.000 email. Sidik jari linguistik? Mungkin. Penting untuk dicatat bahwa AI dapat memberikan keuntungan bagi penjahat, tetapi juga polisi dan dinas intelijen.
Apakah menurut Anda perlu ada peraturan pemerintah tentang deepfake, dan jika demikian, seperti apa seharusnya peraturan itu?
Untuk AI secara umum, saya akan mengatakan: Peluang dulu, baru regulasi. Eropa membahas pelarangan ChatGPT. Saya menemukan bahwa menakutkan bodoh.
Namun, dengan deepfake, saya sampai pada kesimpulan yang berbeda. Deepfake hanya itu; Palsu, identitas palsu. Dari kecurangan pemilu hingga pencemaran nama baik, dari cyberbullying hingga penipuan CEO, saya hanya bisa memikirkan hal-hal yang sangat buruk untuk dilakukan dengannya. Kecuali video lucu. Dalam hal ini semacam verifikasi (atau mungkin menggunakan NFT) bisa menjadi jawabannya. Baru-baru ini ada foto viral (palsu). paus dengan jaket bergaya. Sekarang bahkan jurnalis harus bertanya pada diri sendiri ketika melihat gambar atau video: apakah itu nyata? Kami telah mencapai titik di mana kami tidak dapat mempercayai mata kami.
Mark T. Hofmann adalah pakar profil perilaku dan dunia maya. Dia adalah seorang analis kejahatan dan intelijen terkenal, psikolog bisnis, dan pembicara utama yang telah tampil di berbagai platform berita termasuk CNN, CBS, dan 60 Menit Australia. Dengan kecintaannya pada keamanan dunia maya, dia ingin menginspirasi orang-orang di seluruh dunia untuk menjadi “firewall manusia” dan melawan meningkatnya ancaman kejahatan dunia maya.
Dalam pidato utamanya, Hofmann menyelidiki psikologi kejahatan dunia maya dan menjawab pertanyaan seperti motivasi peretas dan teknik rekayasa sosial terbaru mereka. Hofmann menawarkan sumber daya berharga bagi orang-orang yang ingin mempelajari lebih lanjut tentang keamanan dunia maya dan melindungi diri mereka sendiri dengan lebih baik dari kejahatan dunia maya. Kunjungi websitenya untuk informasi lebih lanjut.