Section Artikel
Social engineering merupakan salah satu ancaman keamanan data yang tidak mudah untuk di deteksi. Bahaya ini tergolong cukup besar karena terlihat seperti manipulasi akibat kesalahan anda sendiri. Social engineering disebut juga dengan rekayasa sosial.
Dalam dunia cybercrime, social engineering tergolong dalam penipuan human hacking, dimana pengguna dapat mengungkapkan data secara mudah, menyebarkan infeksi malware, dan memberikan akses ke sistem lain. Tidak hanya secara online, serangan juga dapat terjadi secara langsung ataupun melalui interaksi yang sulit diduga.
Dua tujuan utama dari social engineering adalah untuk menyabotase ataupun mencuri informasi. Strategi serangan dibuat berdasarkan cara target serangan berpikir dan bertindak, seperti manipulasi psikologis. Kondisi ini akan membuat target sasaran mudah untuk dikelabui. Jika pelaku sudah mengetahui motivasi korban, penyerangan dapat terjadi secara efektif tanpa halangan.
Perkembangan teknologi yang cukup pesat dapat terkesan menjadi boomerang pada social engineering. Banyak karyawan dan konsumen yang tidak menyadari banyaknya ancaman baru, termasuk drive-by download.
Social engineering bermula dari pembentukan rasa saling percaya antara korban dengan pelaku. Kepercayaan palsu dibangun secara persuasif hingga korban merasa aman.
Serangan social engineering dapat dilakukan secara lebih mendalam setelah hubungan kedua belah pihak terjalin. Empat langkah dari cara kerja social engineering adalah :
Langkah awal dari social engineering adalah persiapan. Pelaku akan mengumpulkan segala jenis informasi yang diperlukan mengenai calon korban. Beberapa jenis data yang umumnya dikumpulkan adalah lokasi, akses, media sosial, email, hingga isi pesan teks.
Infiltrasi adalah langkah samaran pelaku untuk mendekati korban. Pelaku social engineering akan mendekati korban sebagai sumber terpercaya dan menggunakan informasi yang telah digunakan sebelumnya sebagai bahan validasi.
Jika korban sudah merasa aman, pelaku dapat lebih melancarkan serangannya, seperti eksploitasi. Pelaku social engineering secara perlahan akan meminta informasi langsung dari korban yang lebih mendalam secara persuasif, termasuk akses login akun, metode pembayaran, informasi kontak, dan lainnya.
Setelah mendapatkan keuntungan sesuai yang diinginkan, pelaku akan langsung pergi meninggalkan korban tanpa jejak. Komunikasi akan langsung terhenti dan korban akan sulit menemukan pelaku kembali.
Ada beberapa jenis social engineering yang perlu anda waspadai, diantaranya adalah :
Baiting merupakan sebuah serangan social engineering yang dilakukan dengan menggunakan umpan. Seperti memancing, pelaku akan memberikan sedikit suguhan agar korban dapat tertarik dan terjerat dalam tipu social engineering. Jenis ini merupakan jenis social engineering yang paling mudah ditemukan.
Salah satu contoh baiting adalah saat anda ingin mengunduh lagu atau video gratis dari sebuah laman internet. Jika anda diarahkan untuk mengizinkan akses apapun dari laman internet ke perangkat anda, maka anda perlu berhati-hati.
Salah klik pada tahap tersebut dapat menyebabkan pencuri untuk memperoleh identitas dan informasi pribadi anda dalam perangkat.
Selain secara online, baiting juga pernah terjadi secara offline. Contoh nyata kasus tersebut terjadi pada tahun 2018 saat lembaga negara bagian di Amerika menerima sebuah amplop dengan cap Cina.
Amplop tersebut berisikan sebuah surat aneh dan sekeping CD yang terindikasi memiliki malware di dalamnya, sehingga dapat menginfeksi perangkat yang digunakan untuk membukanya.
Pretexting merupakan cara hacker untuk memanipulasi korban untuk mendapatkan data informasi atau akses yang diinginkan melalui sebuah skenario.
Pelaku sering menyamar menjadi rekan kerja atau orang berwenang yang membutuhkan data, termasuk dari bank, polisi, petugas pajak, lembaga resmi lainnya. Hacker-hacker ini umumnya akan meminta data secara persuasif sehingga target mau melakukan apa yang diminta penipu tanpa hambatan.
Penipu dapat mendekati korban melalui email, sms, ataupun telpon. Gaya bahasa yang digunakan pun umumnya cukup formal, seakan terlihat resmi dan dapat dipercaya. Beberapa data yang umumnya menjadi incaran adalah nomor jaminan sosial, nomor telepon, catatan bank, alamat pribadi, dan sebagainya.
Phishing juga tergolong sebagai salah satu cara social engineering yang cukup terkenal, dimana menekankan pada sisi urgensi, rasa ingin tahu, ataupun ketakutan pada korban. Tindakan phishing dapat dilakukan melalui sms, email, ataupun chat lainnya.
Contoh nyata yang sering terjadi adalah mengenai berita kecelakaan yang membawa nama anggota keluarga atau kerabat.
Selain informasi yang menyebabkan ketakutan, pelaku juga sering menggunakan bahasa urgensi yang membuat korban masuk ke situs jejaring berbahaya. Kata-kata pengantar dan informasi dalam laman tersebut akan terkesan penting dan perlu diisi dengan segera.
Korban akan secara tidak sadar mengisi beberapa data penting yang seharusnya tidak disebarluaskan, misalnya kata sandi atau akun mobile banking.
Fakta menunjukan bahwa pada Juli 2021, Anti Phishing Working Group mencatat ada 260.642 serangan phishing yang terlaporkan di beberapa topik/bidang.
Beberapa bidang yang terkena phishing adalah SAAS/webmail (29,1%), Institusi finansial (17,8%), eCommerce dan penjualan (13,1%), sosial media (11,0%), pembayaran (7,1%), Crypto (5,6%), logistik dan pengiriman (3,5%), telekomunikasi (3,5%), dan bidang lainnya (9,3%).
Spear phishing merupakan sebuah serangan phishing yang lebih sepsifik. Penipu harus sudah memiliki informasi dasar dari target, misalnya nama, email, jabatan, nama perusahaan, dan sebagainya. Hal ini disebabkan karena spear phishing perlu menyabotase data dengan mencari titik kelemahan korban dari data informasi yang telah dikumpulkan.
Spear phishing juga tidak jarang menggunakan kata-kata yang terkesan resmi. Korban biasanya tidak melihat dengan jelas isi teks/email yang dikirim penipu, sehingga terlihat asli dari sebuah perusahaan atau instansi.
Terdapat dua jenis spear phishing yang sering ditemukan, yaitu whaling dan CEO fraud. Kondisi whaling terjadi saat serangan yang diluncurkan menargetkan eksekutif sebuah perusahaan, sedangkan kondisi CEO fraud terjadi saat penipu berpura-pura menjadi eksekutif sebuah perusahaan.
Quid Pro Quo merupakan social engineering yang menggunakan taktik penawaran sejumlah manfaat berupa jasa.
Serangan ini termasuk peretasan tingkat rendah, dimana hacker menyamar sebagai pihak berwenang dan menawarkan jasa bantuan. Beberapa jasa bantuan yang sering ditawarkan penipu adalah jasa mengubah data rekening, bantu transfer uang, bantu mengaktifkan data tertentu, dan sebagainya.
Tailgating atau piggybacking merupakan sebuah social engineering yang bersifat fisik. Penipu memanipulasi seseorang berwenang sehingga dapat mengakses lokasi yang memerlukan otentikasi khusus.
Colin Greenless pernah melakukan uji coba tailgating apda sebuah perusahaan jasa keuangan dengan tekonolgi kemanan tinggi. Colin berpura-pura menjadi konsultan IT dengan hanya bersikap ramah dan obrolan umum saja. Target Colin menjadi sangat bersimpati, membuat Colin dapat masuk ke ruang data dan mendapatkan banyak informasi penting terkait perusahaan tersebut.
Scareware merupakan aksi social engineering yang bersifat menakut-nakuti dengan tampilan peringatan. Jenis social engineering ini lebih sering terjadi secara online, misalnya pada kemunculan iklan pop up mengenai peringatan infeksi virus.
Anda akan diarahkan untuk masuk ke laman tertentu yang dapat memberikan akses pada hacker untuk mendapatkan informasi.
Setiap orang berpotensi terkena serangan social engineering. Walaupun begitu, ada beberapa cara yang dapat anda lakukan untuk menghindari praktik social engineering, diantaranya adalah :
Data pribadi merupakan informasi berharga yang selalu menjadi target utama pelaku social engineering. Anda perlu membatasi pengisian data informasi di dunia maya.
Berikanlah data pribadi anda pada platform atau website terpercaya. Jika melalui offline, lebih baik anda langsung datang ke kantor/perusahaan terkait untuk pengisian data informasi.
Jika anda hanya menggunakan satu password untuk semua akun, maka para hacker dapat dengan mudah membajak semua akun setelah mengetahui password tersebut. Menggunakan satu password untuk banyak akun sangatlah berbahaya. Anda disarankan untuk memiliki beberapa password di akun-akun yang anda miliki.
Walaupun sulit untuk menghafal semua password yang dimiliki, anda tidak disarankan untuk mencatatnya di kertas atau di dalam dokumen. Hal ini disebabkan karena kertas atau dokumen tersebut dapat hilang dan jatuh ke tangan yang salah. Anda dapat menggunakan bantuan password manager dalam komputer anda.
Password manager adalah tempat penyimpanan password di dalam komputer anda dengan keamanan yang super tinggi, seperti brangkas, karena menggunakan teknologi Advanced Encryption Standard (AES) 456 bit.
Multi Factor Authentication adalah sebuah lapisan perlindungan keamanan untuk masuk ke akun anda. Fitur ini penting diaktifkan karena jika pelaku social engineering sudah memiliki password anda, pelaku tidak dapat langsung masuk ke dalam akun dan perlu melewati beberapa tahap otentifikasi.
Beberapa pertanyaaan unik dalam lapisan otentifikasi adalah kode OTP, token pin, verifikasi biometrik sidik jari, atau bahkan face ID detector.
Pemasangan antivirus dan antimalware pada setiap perangkat yang anda miliki dapat mengurangi kemungkinan gerak-gerik pelaku social engineering. Website AV-TEST mencatat bahwa ada sekitar 1307.90 juta malwere pada tahun 2021 ini. Antivirus dan antimalware dapat meminimalisir bahaya cyber crime tersebut.
Mengunduh atau men-download berkas, termasuk lagu, aplikasi, musik, video, dapat menjadi berbahaya bila dilakukan di website yang abal-abal. Berhati-hatilah saat ingin mengunduh sesuatu dari internet. Pastikan anda mengunduh berkas dari situs resmi dan memiliki perlindungan SSL (sertifikat keamanan yang enkripsi data).
Sama halnya dengan email, jika anda mendapat email yang meminta anda untuk masuk ke link atau mengunduh sesuatu, pastikan email tersebut dari pihak resmi. Jika email tersebut mencurigakan, jangan klik link atau mengunduh tautan dalam email tersebut.
Periksa kembali setiap email yang anda terima. Banyak pelaku social engineering yang menyamar menjadi agen resmi dan meminta anda untuk melakukan sesuatu.
Lakukanlah konfirmasi ulang kepada pihak terkait apabila anda memperoleh email yang kurang jelas atau mencurigakan. Jangan sungkan untuk telepon ke nomer resmi dan menanyakan validasi email yang anda terima.
Untuk membantu mengurangi email berbahaya dari pelaku social engineering, anda dapat memproteksi email anda dengan menfilter spam pada email.
Jika ada email-email yang masuk ke kotak pesan anda secara tidak diungang, email tersebut akan langsung masuk ke spam. Aturlah fitur ini dengan baik sehingga email penting dan resmi tidak ikut masuk dalam folder spam.