340 likes | 835 Views
Penipuan dan Keselamatan K omputer. Oleh: Ibrahim Mohamed. Objektif. Faham penipuan dan proses melakukan penipuan. Kenapa berlaku penipuan, termasuk tekanan, peluang, dan rasional yang wujud dalam kebanyakan penipuan.
E N D
Penipuan dan Keselamatan Komputer Oleh: Ibrahim Mohamed TU2003
Objektif • Faham penipuan dan proses melakukan penipuan. • Kenapa berlaku penipuan, termasuk tekanan, peluang, dan rasional yang wujud dalam kebanyakan penipuan. • Banding dan bezakan pendekatan dan teknik yang digunakan untuk melakukan penipuan komputer. • Bagaimana untuk elak dan kesan penipuan komputer. TU2003
Proses Penipuan Kebanyakannya melibatkan tiga langkah. Pencurian sesuatu Penukaran kepada tunai Penutupan rahsia TU2003
Proses Penipuan • Cara biasa untuk menutup pencurian… • dengan meletakkan item dicuri ke akaun perbelanjaan • Contoh, bagi gaji… • denganmenambah satu nama rekaan ke sistem gaji syarikat TU2003
Proses Penipuan • Lapping… • Dalam skim ini, pembuat itu mencuri tunai daripada pelanggan A untuk membayar akaun penerimaannya. • Duit diterima pada tarikh kemudiannya daripada pelanggan B digunakan untuk membayar baki pelanggan A , dan seterusnya. TU2003
Proses Penipuan • Kiting… • Dalam skim ini, pembuat itu menutup pencurian dengan mencipta tunai melalui pemindahan duit antara bank. • Dia mendeposit sekeping cek daripada bank A ke bank B dan kemudiannya mengeluarkan duit itu. TU2003
Proses Penipuan • Memandangkan tidak cukup dana dalam bank A untuk menutup cek itu, orang ini mendeposit sekeping cek daripada bank C ke bank A sebelum ceknya ke bank B dijelaskan. • Oleh kerana bank C juga tidak mempunyai dana mencukupi, duit perlu didepositkan ke bank C sebelum cek ke bank A itu dijelaskan. • Skim ini berlanjutan... TU2003
Kenapa Penipuan Berlaku Pengkaji telah membandingkan ciri-ciri psikologi dan demografi tiga kumpulan manusia: Jenayah kolar putih Sedikit perbezaan Perbezaan nyata/jelas Orang awam Penjenayah ganas TU2003
Kenapa Penipuan Berlaku • Apakah ciri-ciri am bagi pelaku penipuan? • Kebanyakannya membelanjakan pendapatan haram mereka daripada melabor atau simpan. • Sekali mereka mulakan penipuan, adalah amat sukar bagi mereka untuk berhenti. • Mereka mula bergantung kepada pendapatan tambahan ini. TU2003
Kenapa Penipuan Berlaku • Pelaku penipuan komputer lebih kepada yang muda dan mempunyai pengetahuan komputer yang lebih, berpengalaman, dan berkemahiran. • Sesetengah daripada mereka adalah lebih dimotivasikan oleh perasaan ingin tahu dan cabaran “mengalahkan sistem.” • Yang lainnya terlibat dalam penipuan untuk memperolehi kedudukan sesama yang lain dalam komuniti komputer. TU2003
Kenapa Penipuan Berlaku • Kemungkinan penyebabnya… • tekanan atau motif • peluang • rasional TU2003
Tekanan • Antara tekanan kewangan… • kehidupan melebihi had • hutang peribadi tinggi • pendapatan “tidak cukup” • kedudukan kredit yang teruk • kerugian kewangan berat • hutang judi besar TU2003
Tekanan • Antara tekanan berhubung-kerja… • gaji rendah • prestasi tidak diiktiraf • ketidakpuashatian kerja • takut kehilangan kerja • perancangan bonus terlebih agresif TU2003
Tekanan • Tekanan-tekanan lain… • cabaran • tekanan keluarga/rakan • ketidakstabilan emosi • keperluan untuk kuasa atau kawalan • kebanggaan atau cita-cita melampau TU2003
Peluang • Ialah keadaan atau situasi yang membenarkan seseorang untuk melibat dan menutup kejadian tidak jujur. • Biasanya disebabkan kurangnya kawalan dalaman. • Namun, peluang biasa bagi penipuan disebabkan kegagalan syarikat untuk melaksanakan sistem kawalan dalaman. TU2003
Rasional • Kebanyakan pelaku mempunyai alasan atau rasional yang membenarkan mereka untuk justifikasikan kelakuan tidak sah mereka. • Contoh sesetengah rasionalnya… • Pelaku ini hanya “meminjam” aset yang dicuri. • Pelaku tidak menyakitkan orang sebenar, hanya sebuah sitem komputer. TU2003
Penipuan atau Kejujuran? Keputusan ditentukan oleh interaksi tiga daya: Tiada Jenayah Kolar Putih Jenayah Kolar Putih Tinggi Rendah Tekanan Keadaan Tinggi Rendah Peluang Rendah Tinggi Integriti TU2003
Penipuan Komputer • U.S. Department of Justicemendefinasikan penipuan komputer sebagai sebarang perbuatan tidak sah di mana pengetahuan teknology komputer adalah penting bagi pelakunya, penyiasatannya, ataupendakwaannya. • Contoh penipuan komputer… • penggunaan, capaian, modifikasi, penyalinan, dan pemusnahan perisian atau data tanpa kebenaran TU2003
Penipuan Komputer • pencurian duit dengan mengubah rekod komputer ataupencurian waktu komputer • pencurianatau pemusnahanperkakasan komputer • penggunaan atau konspirasiuntuk gunakan sumber komputer bagi melakukan jenayah • berhasratuntuk mendapatkan maklumat atau harta benda secara tak sah melalui penggunaan komputer TU2003
Peningkatan di dalam Penipuan Komputer • Organisasi yang menjejaki penipuan komputer menganggarkan bahawa 80% perniagaan A.S. telah menjadi mangsa sekurang-kurangnya satu insiden penipuan komputer. • Namun, tiada yang mengetahui dengan tepat berapa banyak syarikat rugi akibat penipuan komputer. • Kenapa? TU2003
Peningkatan di dalam Penipuan Komputer • Terdapat percanggahan mengenai apakah penipuan komputer. • Banyak penipuan komputer tidak dapat dikesan, atau tidak dilaporkan. • Kebanyakan rangkaian mempunyai keselamatan yang rendah. • Banyak halaman Internet memberi suruhan bagaimana untuk melakukan jenayah komputer. • Peningkatan penipuan tidak terkawal oleh penguatkuasaan undang-undang. TU2003
Penipuan input Penipuan output Klasifikasi Penipuan Komputer Penipuan data Penipuan pemprosesan Penipuan suruhan komputer TU2003
Penipuan Komputer dan Teknik Salahguna • Teknik-teknik biasa penipuan komputer… • pemecahan • data diddling • data leakage • denial of service attack • eavesdropping • e-mail forgery and threats TU2003
Penipuan Komputer dan Teknik Salahguna • hacking • internet misinformation and terrorism • logic time bomb • masquerading or impersonation • password cracking • piggybacking • round-down • salami technique TU2003
Penipuan Komputer dan Teknik Salahguna • software piracy • scavenging • social engineering • superzapping • trap door • Trojan horse • virus • worm TU2003
Pencegahan dan Pengesanan Penipuan Komputer • Langkah untuk kurangkan potensi jadinya penipuan… • Jadikan penipuan amat rendah kemungkinan untuk berlaku. • Tingkatkan kepayahan melakukan penipuan. • Perbaiki kaedah pengesanan. • Kurangkan kerugian penipuan. • Dakwa dan penjarakan pelaku penipuan. TU2003
Pencegahan dan Pengesanan Penipuan Komputer • Jadikan penipuan amat rendah kemungkinan untuk berlaku: • Amalan pengambilan dan pemecatan yang baik. • Uruskan pekerja yang bermasalah. • Latih pekerja mengenai keselamatan dan pengelakan penipuan. • Urus dan jejak lesen perisian. • Perlu tandatangan perjanjian kerahsiaan. TU2003
Pencegahan dan Pengesanan Penipuan Komputer • Tingkatkan kepayahan melakukan penipuan: • Bangunkan sistem kawalan dalaman yang kuat. • Pembahagian tugas. • Perlukan cuti dan pusingan/putaran tugas. • Hadkan capaian ke peralatan komputer dan dail data. • Encrypt data dan atur cara. TU2003
Pencegahan dan Pengesanan Penipuan Komputer • Perbaiki kaedah pengesanan: • Lindungi talian telefon dan sistem daripada virus. • Kawal data sensitif. • Kawal komputer atas riba. • Pantau maklumat penggodam. TU2003
Pencegahan dan Pengesanan Penipuan Komputer • Kurangkan kerugian penipuan: • Selenggara insurans yang mencukupi. • Simpan salinan sokongan atur cara dan fail data di lokasi selamat, luar kawasan. • Bangunkan perancangan luar jangkaan bagi kejadian penipuan. • Guna perisian untuk memantau aktiviti sistemdan pulih daripada penipuan. TU2003
Pencegahan dan Pengesanan Penipuan Komputer • Dakwa dan penjarakan pelaku penipuan: • Banyak kes penipuan tidak dilapor dan didakwakan. • Kenapa? • Banyak juga yang tidak dapat dikesan. • Syarikat enggan melaporkan jenayah komputer… TU2003
Pencegahan dan Pengesanan Penipuan Komputer • Pegawai penguatkuasa undang-undang dan mahkamah terlalu sibuk dengan jenayah ganas, kurang masa untuk kes penipuan. • Adalah sukar, berkos, dan memakan masa untuk menyiasat. • Ramai pegawai penguatkuasa undang-undang, peguam, dan hakim kurang kemahiran komputer yang diperlukan untuk menyiasat, mendakwa, dan menilai jenayah komputer. TU2003
Kesimpulan Kes • Perlulah menguatkuasakan kawalan sedia ada. • Kawalan baru ditambah untuk mengesan penipuan. • Pekerja perlulah dilatih mengenai isu-isu kesedaran penipuan, langkah kelamatan, dan etika. • Kes penipuan mestilah dibawa ke muka pengadilan. TU2003