Daftar Isi[Bersembunyi][Menunjukkan]
Meskipun sebagian besar penjahat dunia maya adalah manipulator yang terampil, ini tidak berarti bahwa mereka selalu merupakan manipulator teknologi yang terampil; penjahat dunia maya lainnya lebih memilih praktik memanipulasi orang.
Dengan kata lain, mereka menganut rekayasa sosial, yaitu praktik melancarkan serangan siber dengan memanfaatkan kelemahan sifat manusia.
Dalam kasus rekayasa sosial yang sederhana, ini bisa terjadi jika penjahat dunia maya menyamar sebagai pakar TI dan meminta detail login Anda untuk memperbaiki lubang keamanan di sistem Anda.
Jika Anda memberikan informasi tersebut, Anda baru saja memberi orang jahat akses ke akun Anda tanpa mereka harus khawatir mengakses email atau komputer Anda.
Di setiap rantai keamanan, kami biasanya merupakan mata rantai terlemah karena kami rentan terhadap berbagai tipu daya. Teknik rekayasa sosial memanfaatkan kerentanan ini pada orang untuk mengelabui korban agar membocorkan informasi pribadi.
Rekayasa sosial selalu berkembang, seperti juga sebagian besar ancaman dunia maya.
Dalam artikel ini, kita akan membahas status rekayasa sosial saat ini, berbagai jenis serangan yang harus diwaspadai, dan tanda peringatan yang harus diwaspadai.
Mari kita mulai pengenalan rekayasa sosial.
Apa itu Rekayasa Sosial?
Rekayasa sosial dalam komputasi mengacu pada teknik yang digunakan penjahat dunia maya untuk membujuk korban untuk melakukan tindakan yang meragukan, yang sering kali menyebabkan pelanggaran keamanan, pengiriman uang, atau pengungkapan informasi pribadi.
Aktivitas ini sering kali menantang logika dan bertentangan dengan penilaian kita yang lebih baik.
Namun, penipu dapat meyakinkan kita untuk berhenti berpikir logis dan mulai bertindak berdasarkan insting tanpa memikirkan apa yang sebenarnya kita lakukan dengan memanipulasi emosi kita—baik positif maupun negatif—seperti kemarahan, ketakutan, dan cinta.
Secara sederhana, rekayasa sosial adalah bagaimana peretas mengkompromikan otak kita, sama seperti yang mereka lakukan dengan malware dan virus untuk menyusupi mesin kita.
Penyerang sering menggunakan rekayasa sosial karena seringkali lebih mudah mengambil keuntungan dari individu daripada mengidentifikasi kelemahan jaringan atau perangkat lunak.
Karena penjahat dan korbannya tidak pernah berinteraksi secara langsung, rekayasa sosial selalu menjadi komponen penipuan yang lebih luas.
Mendapatkan korban untuk: umumnya merupakan tujuan utama:
- Perangkat lunak berbahaya di ponsel cerdas mereka.
- Lepaskan nama pengguna dan kata sandi Anda.
- Berikan izin untuk plugin, ekstensi, atau aplikasi pihak ketiga yang berbahaya.
- Kirim uang melalui wesel, transfer dana elektronik, atau kartu hadiah.
- Mainkan peran sebagai keledai uang untuk mengirim dan mencuci uang ilegal.
Teknik rekayasa sosial digunakan oleh penjahat karena seringkali lebih mudah memanfaatkan kecenderungan bawaan Anda untuk memercayai orang lain daripada mencari cara untuk meretas program Anda.
Misalnya, kecuali kata sandinya benar-benar lemah, jauh lebih mudah untuk mengelabui seseorang agar memberi tahu Anda kata sandinya daripada mencoba meretasnya.
Bagaimana cara kerja rekayasa sosial?
Insinyur sosial melakukan serangan siber menggunakan berbagai strategi. Kebanyakan serangan rekayasa sosial dimulai dengan penyerang melakukan pengintaian dan penelitian pada korban.
Misalnya, jika targetnya adalah perusahaan, peretas dapat mempelajari struktur organisasi perusahaan, proses internal, jargon industri, mitra bisnis potensial, dan detail lainnya.
Berfokus pada tindakan dan kebiasaan pekerja dengan tingkat akses awal yang rendah, seperti satpam atau resepsionis, adalah salah satu strategi yang digunakan oleh para insinyur sosial.
Penyerang dapat mencari media sosial memperhitungkan informasi pribadi dan mengamati perilaku mereka baik secara online maupun secara langsung.
Insinyur sosial selanjutnya dapat menggunakan bukti yang dikumpulkan untuk merencanakan serangan dan memanfaatkan kelemahan yang ditemukan selama tahap pengintaian.
Jika memang serangan itu terjadi, penyerang bisa mendapatkan sistem atau jaringan yang dilindungi, uang dari target, atau akses ke data pribadi seperti nomor Jaminan Sosial, detail kartu kredit, atau detail perbankan.
Jenis umum serangan rekayasa sosial
Mempelajari teknik-teknik khas yang digunakan dalam rekayasa sosial adalah salah satu strategi terbaik untuk mempertahankan diri dari serangan rekayasa sosial.
Saat ini, rekayasa sosial umumnya terjadi secara online, termasuk melalui penipuan media sosial, ketika penyerang mengasumsikan identitas sumber terpercaya atau pejabat tinggi untuk mengelabui korban agar mengungkapkan informasi sensitif.
Berikut adalah beberapa serangan rekayasa sosial umum lainnya:
phishing
Phishing adalah semacam pendekatan rekayasa sosial di mana komunikasi disamarkan sehingga terlihat berasal dari sumber yang dapat dipercaya.
Komunikasi ini, yang sering berupa email, dimaksudkan untuk menipu korban agar mengungkapkan informasi pribadi atau keuangan.
Lagi pula, mengapa kita harus mencurigai keabsahan email dari teman, anggota keluarga, atau perusahaan yang kita kenal? Scammers memanfaatkan kepercayaan diri ini.
Vishing
Vishing adalah jenis serangan phishing yang kompleks. Ini juga dikenal sebagai "phishing suara." Dalam serangan ini, nomor telepon sering dipalsukan agar tampak asli – penyerang dapat menyamar sebagai staf TI, rekan kerja, atau bankir.
Beberapa penyerang mungkin menggunakan pengubah suara untuk lebih mengaburkan identitas mereka.
Tombak phishing
Perusahaan besar atau orang tertentu menjadi sasaran spear phishing, semacam serangan rekayasa sosial. Sasaran serangan spear phishing adalah individu atau kelompok kecil yang kuat, seperti pemimpin bisnis dan tokoh masyarakat.
Bentuk serangan rekayasa sosial ini sering diteliti dengan baik dan disamarkan secara menipu, sehingga sulit untuk dikenali.
Merokok
Smishing adalah sejenis serangan phishing yang memanfaatkan pesan teks (SMS) sebagai media komunikasi. Dengan menampilkan URL berbahaya untuk diklik atau nomor telepon untuk dihubungi, serangan ini biasanya menuntut tindakan cepat dari korbannya.
Para korban sering diminta untuk memberikan informasi pribadi yang dapat digunakan penyerang untuk melawan mereka.
Untuk membujuk korban agar bertindak cepat dan jatuh dalam serangan, serangan smishing sering kali menggambarkan rasa urgensi.
Scareware
Penggunaan rekayasa sosial untuk menakut-nakuti individu agar menginstal perangkat lunak keamanan palsu atau mengakses situs web yang terinfeksi malware dikenal sebagai scareware.
Scareware biasanya bermanifestasi sebagai jendela pop-up yang menawarkan untuk membantu Anda dalam memberantas infeksi komputer yang diklaim dari laptop Anda. Dengan mengklik pop-up, Anda mungkin tidak sengaja menginstal malware lebih lanjut atau dikirim ke situs web berbahaya.
Gunakan program pemberantasan virus yang andal untuk sering memindai komputer Anda jika Anda merasa memiliki scareware atau pop-up mengganggu lainnya. Penting bagi kebersihan digital untuk memeriksa risiko perangkat Anda secara berkala.
Ini juga dapat membantu melindungi informasi pribadi Anda dengan mencegah serangan manipulasi psikologis di masa mendatang.
Memancing
Serangan rekayasa sosial juga dapat dimulai secara offline; mereka belum tentu diluncurkan secara online.
Umpan adalah praktik penyerang meninggalkan objek yang terinfeksi malware, seperti drive USB, di suatu tempat yang kemungkinan besar akan ditemukan. Perangkat ini sering diberi merek dengan tujuan untuk memicu minat.
Seorang pengguna yang mengambil gadget dan memasukkannya ke dalam komputer mereka sendiri karena penasaran atau keserakahan berisiko menginfeksi mesin itu dengan virus secara tidak sengaja.
Penangkapan ikan paus
Salah satu upaya phishing yang paling berani, dengan hasil yang membawa malapetaka, adalah penangkapan ikan paus. Target tipikal dari jenis serangan rekayasa sosial ini adalah satu orang yang bernilai tinggi.
Istilah "penipuan CEO" kadang-kadang digunakan untuk menggambarkan perburuan paus, yang memberi Anda indikasi target.
Karena mereka secara efektif menggunakan nada bicara bisnis yang cocok dan memanfaatkan pengetahuan industri orang dalam untuk keuntungan mereka, serangan perburuan paus lebih sulit dikenali daripada serangan phishing lainnya.
Sebelum mengirim SMS
Dalih adalah proses mengarang keadaan palsu, atau "dalih", yang digunakan penipu untuk menipu korbannya.
Serangan dalih, yang mungkin terjadi secara offline atau online, adalah salah satu teknik rekayasa sosial yang paling sukses karena penyerang berusaha keras untuk membuat diri mereka tampak dapat dipercaya.
Berhati-hatilah saat mengungkapkan informasi pribadi kepada orang asing karena mungkin sulit untuk menemukan tipuan dalih.
Untuk mengesampingkan upaya rekayasa sosial, hubungi perusahaan secara langsung jika seseorang menelepon Anda tentang kebutuhan mendesak.
Jebakan madu
Perangkap madu adalah semacam pendekatan rekayasa sosial di mana penyerang merayu korban ke dalam lingkungan seksual yang tidak aman.
Penyerang kemudian mengambil keuntungan dari situasi tersebut untuk melakukan pemerasan atau melakukan pemerasan. Dengan mengirimkan email spam dengan kepura-puraan palsu bahwa mereka "melihat Anda melalui kamera Anda" atau sesuatu yang sama jahatnya, insinyur sosial sering memasang perangkap madu.
Jika Anda mendapatkan pesan seperti ini, pastikan webcam Anda terlindungi.
Kemudian, tetap tenang dan jangan menanggapi, karena email ini tidak lebih dari spam.
Quid Pro Quo
Latin berarti "sesuatu untuk sesuatu," dalam hal ini mengacu pada korban yang menerima hadiah sebagai imbalan atas kerja sama mereka.
Ilustrasi yang bagus adalah ketika peretas menyamar sebagai asisten TI. Mereka akan menelepon sebanyak mungkin karyawan di sebuah perusahaan dan mengklaim memiliki solusi sederhana, menambahkan bahwa "Anda hanya perlu menonaktifkan AV Anda."
Siapa pun yang menyerah padanya memiliki ransomware atau virus lain yang terinstal di komputer mereka.
Mengekor
Tailgating, juga dikenal sebagai piggybacking, terjadi ketika seorang peretas mengikuti seseorang yang menggunakan kartu akses yang valid ke dalam gedung yang aman.
Untuk melakukan serangan ini, diasumsikan bahwa orang yang memiliki izin untuk memasuki gedung akan cukup perhatian untuk menahan pintu terbuka bagi orang yang datang di belakang mereka.
Bagaimana Anda dapat mencegah serangan Rekayasa Sosial?
Dengan menggunakan langkah-langkah pencegahan ini, Anda dan staf Anda akan memiliki peluang terbaik untuk menghindari serangan rekayasa sosial.
Mendidik karyawan
Penyebab utama kesalahan karyawan terhadap serangan rekayasa sosial adalah ketidaktahuan. Untuk mengajari personel bagaimana bereaksi terhadap upaya pelanggaran tipikal, organisasi harus menawarkan pelatihan kesadaran keamanan.
Misalnya, apa yang harus dilakukan jika seseorang mencoba membuntuti seorang karyawan ke tempat kerja atau meminta informasi sensitif.
Beberapa serangan siber yang paling sering terjadi dijelaskan dalam daftar di bawah ini:
- Serangan DDoS
- Serangan phishing
- Serangan clickjacking
- Serangan Ransomware
- Serangan malware
- Bagaimana menanggapi tailgating
Periksa Resistensi Serangan
Lakukan serangan rekayasa sosial terkontrol pada perusahaan Anda untuk mengujinya. Kirim email phishing palsu, dan tegur dengan lembut anggota staf yang membuka lampiran, mengklik tautan berbahaya, atau bereaksi.
Alih-alih dianggap sebagai kegagalan keamanan siber, kejadian ini harus dilihat sebagai situasi yang sangat mendidik.
Keamanan Operasi
OPSEC adalah metode untuk menemukan perilaku ramah yang mungkin menguntungkan penyerang di masa depan. OPSEC dapat mengekspos data sensitif atau penting jika diproses dan dikelompokkan dengan data lain dengan tepat.
Anda dapat membatasi jumlah informasi yang dapat diperoleh insinyur sosial dengan menggunakan prosedur OPSEC.
Temukan Kebocoran Data
Mengetahui apakah kredensial telah diekspos sebagai hasil dari upaya phishing dapat menjadi tantangan.
Perusahaan Anda harus terus-menerus mencari eksposur data dan kredensial yang bocor karena beberapa phisher mungkin membutuhkan waktu berbulan-bulan atau bahkan bertahun-tahun untuk mengeksploitasi kredensial yang mereka kumpulkan.
Terapkan otentikasi multi-faktor
Terapkan metode otentikasi multi-faktor yang mengharuskan pengguna memiliki token, mengetahui kata sandi, dan memiliki biometrik mereka untuk mendapatkan akses ke sumber daya penting.
Menerapkan sistem manajemen risiko pihak ketiga
Sebelum mendatangkan vendor baru atau melanjutkan kerja sama dengan pemasok saat ini, buat sistem untuk mengelola risiko pihak ketiga, kebijakan manajemen vendor, dan lakukan risiko keamanan siber penilaian.
Terutama setelah data yang dicuri telah dijual di web gelap, jauh lebih mudah untuk menghindari pelanggaran data daripada membersihkannya.
Temukan perangkat lunak yang dapat secara otomatis mengelola risiko vendor dan secara teratur melacak, memberi peringkat, dan mengevaluasi keamanan siber vendor Anda.
Ubah preferensi email spam Anda.
Mengubah pengaturan email Anda adalah salah satu metode paling sederhana untuk mempertahankan diri dari upaya rekayasa sosial. Anda dapat meningkatkan filter spam agar email penipuan manipulasi psikologis tidak masuk ke kotak masuk Anda.
Anda juga dapat langsung menambahkan alamat email individu dan organisasi yang Anda tahu asli ke daftar kontak digital Anda – siapa pun yang berpura-pura menjadi mereka tetapi menggunakan alamat yang berbeda di masa depan kemungkinan besar adalah seorang insinyur sosial.
Kesimpulan
Akhirnya, rekayasa sosial adalah teknik yang agak sederhana yang dapat digunakan untuk melakukan penipuan, penipuan, atau kejahatan lainnya. Ini dapat terjadi pada siapa saja secara langsung, melalui telepon, atau online.
Insinyur sosial tidak perlu terlalu teknis; mereka hanya perlu dapat menipu Anda untuk memberi mereka informasi pribadi.
Ini adalah penipuan yang berpotensi membawa bencana karena kita semua dalam bahaya. Media sosial juga telah memungkinkan insinyur sosial menjadi lebih licik dengan memungkinkan mereka membuat akun palsu yang mudah disalahartikan sebagai akun asli atau bahkan meniru identitas individu yang sebenarnya.
Selalu berhati-hati saat melihat profil aneh atau tidak dikenal di media sosial.
Tinggalkan Balasan