Apa itu Social Engineering Attack ?

Semakin banyak masyarakat menggunakan internet, maka serangan online akan semakin terjadi. Peretas dan penjahat siber memiliki gudang senjata yang terus berkembang untuk mendatangkan malapetaka, mencuri data, melakukan penipuan, atau menimbulkan kerusakan pada organisasi dan konsumen.

Informasi dan kesadaran adalah dua senjata paling efektif yang kita miliki dalam perang melawan social engineering, seperti phishing, dan penipuan lainnya. Untuk itu, mari kita lihat penjelasan mengenai serangan social engineering, termasuk contoh dan teknik, serta bagaimana pencegahannya.

Apa itu Social Engineering ?

Mari kita mulai dengan dasar-dasarnya. Apa sebenarnya social engineering?  Sederhananya, “tindakan apa pun yang memengaruhi seseorang untuk mengambil tindakan yang mungkin atau tidak mungkin demi kepentingan terbaik mereka,” menurut Security Through Education.

Penjahat yang terlibat dalam social engineering berusaha memanfaatkan sifat manusia untuk tujuan jahat mereka. Tidak seperti hacker black hat yang menggunakan teknologi untuk membobol sistem, penyerang ini menggunakan kata-kata untuk mencoba masuk ke dalam pikiran kita.

Anatomi Social Engineering Attack

Semua serangan social engineering mengikuti pola yang telah familiar, kemudian dipecah menjadi serangkaian langkah. Tidak setiap serangan menggunakan setiap level, tetapi urutan berikut adalah pendekatan yang paling umum.

• The Investigation : Penyerang mengidentifikasi korban mereka, mengumpulkan informasi tentang mereka, dan mencari tahu apa pendekatan terbaik mereka
• The Hook : Libatkan target, buat cerita sampul, kendalikan interaksi
• The Play : Amankan pijakan dalam keadaan pikiran/ emosional target, luncurkan serangan, lakukan kejahatan
• The Exit : Hapus semua jejak gangguan, pergi tanpa menimbulkan kecurigaan, dengan menutupi semua jejak

Tipe Social Engineering Attack

Seperti halnya dengan jenis serangan cyber lainnya, mereka yang menggunakan social engineering memiliki berbagai teknik. Berikut ini adalah tipe serangan social engineering yang paling umum,yaitu :

• Baiting

Peretas memikat orang-orang dengan janji-janji keuntungan, mendapatkan scammed sebagai gantinya, dan akhirnya korban menderita beberapa kerugian. Kemudian memancing penipuan dengan melakukan pendekatan rasa ingin tahu seseorang. Pernah mendapatkan pesan online tentang bagaimana Kita dapat mengunduh film yang dijalankan pertama secara gratis sebelum bahkan mencapai layanan bayar-per-tayang? Itu merupakan sebuah umpan untuk melakukan penipuan.

• Pretexting

Penyerang berperan sebagai perwakilan dari otoritas tepercaya (penegak hukum atau pejabat pajak, misalnya) untuk menipu Kita agar memberi mereka informasi sensitif, seperti nomor jaminan sosial, kata sandi, atau nomor akun. pretexting juga dapat digunakan untuk mengumpulkan informasi tertentu yang tidak berbahaya, tetapi tetap mengganggu, seperti nomor ponsel atau alamat surat Kita.

• Phising

Meskipun phising memiliki beberapa karakteristik yang sama, namun serangan phishing adalah email atau penipuan berbasis teks yang berusaha menakut-nakuti atau memaksa korban untuk mengunjungi situs web yang mencurigakan atau menawarkan informasi sensitif.  Penipu mengirimkan email massal atau sms blitz, dengan harapan mendapatkan beberapa pengembalian. Mereka dapat berperan sebagai penyedia internet Kita dan meminta Kita untuk “mengkonfirmasi” kata sandi Kita atau berperan sebagai badan amal yang meminta bantuan (misalnya, “Cukup klik di sini untuk memberi makan anak-anak yang lapar!”).

Dalam satu kasus di dunia nyata, pelaku yang mengaku bekerja untuk Microsoft mengirim email mencari informasi pribadi untuk “mengotorisasi ulang” beberapa perangkat lunak Office yang ada. Permintaan itu tampak sangat meyakinkan, bahkan sampai ke logo perusahaan. Namun, banyak kata yang salah eja, akhirnya membatalkan klaim.

• Scareware

Salah satu tipe ini diakui, sangat efektif dan terus terang sangat meresahkan. Sesuai namanya, serangan social engineering scareware dirancang untuk menakut-nakuti Kita agar patuh dan menyerang Kita dengan peringatan palsu, ancaman yang dibuat-buat, dan peringatan “mendesak”. Biasanya, ancaman palsu ini memberi tahu korban untuk menginstal beberapa perangkat lunak khusus yang mampu menghilangkan ancaman. Banyak ancaman menakut-nakuti dispaning dalam hal seperti “Komputer Kita mungkin terinfeksi dengan program spyware berbahaya.”

• Spear Phising

Tipe ini adalah phishing dalam bentuk yang lebih terfokus dalam melakukan serangan, dan diibaratkan seperti menusuk ikan dengan tombak adalah metode memancing yang langsung daripada menyeret jaring melalui air. Dengan tombak phishing, penyerang memiliki beberapa informasi tentang Kita dan akan menggunakannya untuk membuat penipuan mereka tampak lebih meyakinkan.  Mereka akan menggunakan apapun untuk mendapatkan kepercayaan kita.

Misalnya, mungkin mereka berhasil menemukan beberapa nama teman atau keluarga Kita, atau telah belajar di tempat Kita bekerja. Mereka dapat menggunakan informasi pribadi itu untuk membuat pesan yang lebih meyakinkan. Mereka dapat meniru departemen IT Kita dan meminta Kita untuk mengonfirmasi login Kita dengan mengklik tautan yang akan mengirim Kita ke halaman “resmi”, misalnya. Namun, ketika Kita sampai di sana, halaman mencuri kredensial Kita.

• Tailgating

Sayangnya, ini tidak ada hubungannya dengan makan makanan di tempat parkir stadion sebelum masuk untuk melihat tim favorit Kita bermain. Bentuk social engineering ini lebih merupakan tindakan fisik, di mana penipu mengikuti pengguna yang berwenang langsung ke area yang aman, melewati langkah-langkah keamanan seperti menggesek kartu identifikasi. Oleh karena itu, kita sebut dengan istilah “tailgating.”

Cara Mencegah Social Engineering Attack

Setelah mengetahui semua bentuk serangan social engineering ini, mari kita lihat bagaimana carra mencegah serangan social engineering yaitu :

• Jangan bereaksi impulsif. Masuk ke kebiasaan mengambil napas dalam-dalam, duduk kembali dan melihat informasi baru dengan tenang. Jangan hanya segera mengklik tautan yang tidak biasa atau membuka email dan teks aneh.
• Jangan buka email atau lampiran file dari sumber yang mencurigakan. Jika Kita tidak mengenali alamat email, jangan buka email atau klik tautan. Bahkan, hapus email secara langsung.
• Hati-hati dengan penawaran menarik. Seperti pepatah lama mengatakan, “Jika tampaknya terlalu bagus untuk menjadi kenyataan, maka itu mungkin!”
• Jaga perangkat lunak antivirus Kita tetap update. Meskipun tidak ada aplikasi antivirus yang dapat memberi Kita keamanan 100%, sebagian besar merek terkemuka melakukan pekerjaan yang sangat baik untuk menyaring malware dan serangan phishing. Tetapi lihatlah bahwa perangkat lunak antivirus sudah diperbarui. Perusahaan perangkat lunak antivirus secara teratur merilis versi baru yang dirancang untuk menangani skema serangan terbaru.
• Atur filter spam email Kita dengan value “high.” Buka opsi “Pengaturan” di email Kita dan atur filter spam dengan value “high.”
• JANGAN PERNAH memberikan kata sandi atau informasi keuangan secara online! Perusahaan atau lembaga pemerintah yang Kita tangani tidak akan meminta informasi pribadi Kita secara online.
• Abaikan pesan yang meminta atau memberikan uang. Pemberian amal memang sesuatu hal yang terpuji, tetapi pastikan Kita telah memeriksa badan amal yang Kita berikan uang. Bahkan jika Kita mendapatkan email dari salah satu dari mereka meminta sumbangan satu kali, luangkan waktu dan periksa situs web mereka untuk melihat apakah penawaran / banding ada di sana.
• Menjaga protokol keamanan di tempat yang tepat. Jangan pernah membiarkan orang asing menemani Kita ke tempat kerja Kita jika mereka tidak memiliki kartu. Beberapa perusahaan mengharuskan setiap orang untuk menggesek kartu mereka bahkan jika pintu sudah terbuka.