Apa itu rekayasa sosial?
Ketika kita memikirkan tentang keamanan siber, banyak dari kita fokus pada cara melindungi diri dari peretas yang memanfaatkan celah teknologi untuk menyerang jaringan data. Tetapi ada cara lain untuk memasuki organisasi dan jaringan, yaitu dengan memanfaatkan kelemahan manusia. Ini disebut rekayasa sosial, yang melibatkan penipuan seseorang untuk mengungkapkan informasi atau memberikan akses ke jaringan data.
Sebagai contoh, seorang penyusup bisa berpura-pura sebagai petugas meja bantuan IT dan meminta pengguna memberikan informasi seperti nama pengguna dan kata sandi. Dan mengejutkan betapa banyak orang yang langsung memberikan informasi tersebut tanpa ragu, terutama jika permintaan tersebut terlihat berasal dari perwakilan yang sah.
Sederhananya, rekayasa sosial adalah penggunaan penipuan untuk memanipulasi seseorang agar memberikan informasi atau data.
Jenis-jenis serangan rekayasa sosial
Ada banyak jenis serangan rekayasa sosial. Oleh karena itu, penting untuk memahami apa itu rekayasa sosial dan bagaimana cara kerjanya. Setelah mengetahui cara kerjanya, akan lebih mudah untuk mengenali serangan rekayasa sosial.
Baiting
Baiting adalah membuat perangkap, seperti stik USB yang berisi malware. Seseorang yang penasaran mencoba memasukkan stik USB ke perangkatnya, yang kemudian menyebabkan sistem terbobol. Bahkan, ada stik USB yang dapat menghancurkan komputer dengan mengisi daya sendiri dengan energi dari drive USB dan kemudian melepaskannya dalam lonjakan daya yang dapat merusak perangkat yang dimasuki. (Stik USB ini hanya berharga $54).
Pretexting
Serangan ini menggunakan alasan tertentu untuk menarik perhatian korban agar memberikan informasi. Misalnya, survei internet yang tampaknya tidak berbahaya bisa meminta detail akun bank. Atau seseorang yang datang dengan membawa clipboard dan mengeklaim sedang melakukan audit sistem internal, padahal mereka mungkin bukan siapa yang mereka katakan dan berpotensi berusaha mencuri informasi penting dari Anda.
Phishing
Serangan phishing menggunakan email atau pesan teks yang berpura-pura berasal dari sumber tepercaya dan meminta informasi. Contoh yang sering ditemui adalah email yang berpura-pura berasal dari bank, meminta pelanggan untuk 'mengonfirmasi' informasi keamanan mereka, dan kemudian mengarahkan mereka ke situs palsu yang merekam kredensial login. Sementara itu, 'spear phishing' menargetkan individu tertentu dalam perusahaan dengan mengirim email yang seolah-olah berasal dari eksekutif tingkat tinggi yang meminta informasi sensitif.
Vishing dan Smishing
Jenis serangan rekayasa sosial ini adalah varian dari phishing – 'voice phishing' yang berarti menelepon dan meminta data. Pelaku bisa berpura-pura menjadi rekan kerja, seperti staf meja bantuan TI yang meminta informasi login. Smishing menggunakan pesan SMS untuk mencoba memperoleh informasi tersebut.
Quid pro quo
Ada ungkapan bahwa "pertukaran yang adil tidak merugikan," namun dalam kasus ini, justru merugikan. Banyak serangan rekayasa sosial yang membuat korban percaya bahwa mereka akan menerima sesuatu sebagai imbalan atas data atau akses yang mereka berikan. ‘Scareware’ beroperasi dengan cara ini, menawarkan pembaruan kepada pengguna komputer untuk mengatasi masalah keamanan yang mendesak, padahal kenyataannya, scareware itu sendiri merupakan ancaman keamanan yang berbahaya.
Spamming kontak dan peretasan email
Jenis serangan ini melibatkan peretasan akun email atau media sosial individu untuk memperoleh akses ke kontak mereka. Kontak mungkin diberitahu bahwa orang tersebut telah menjadi korban perampokan dan kehilangan semua kartu kreditnya, lalu diminta untuk mentransfer uang ke rekening tertentu. Atau seorang 'teman' bisa mengirimkan 'video yang wajib ditonton' yang mengarah ke malware atau Trojan pencatat ketikan.
Farming vs Hunting
Terakhir, perlu diketahui bahwa beberapa serangan rekayasa sosial lebih kompleks dan canggih. Kebanyakan pendekatan sederhana yang telah dijelaskan merupakan bentuk 'hunting'. Pada dasarnya, masuk, ambil informasi, dan keluar.
Namun, beberapa jenis serangan rekayasa sosial melibatkan pembentukan hubungan dengan target untuk mendapatkan informasi lebih banyak dalam waktu yang lebih lama. Ini disebut 'farming' dan lebih berisiko bagi pelaku: kemungkinan mereka tertangkap lebih besar. Namun, jika berhasil, mereka bisa mendapatkan lebih banyak informasi.
Cara menghindari serangan rekayasa sosial
Serangan rekayasa sosial sulit untuk ditanggulangi karena memang dirancang untuk memanfaatkan sifat alami manusia, seperti rasa ingin tahu, penghormatan terhadap otoritas, dan keinginan untuk membantu teman. Ada beberapa tip yang dapat membantu mendeteksi serangan rekayasa sosial...
Periksa sumbernya
Ambil waktu sejenak untuk memikirkan asal-usul komunikasi itu; jangan percaya begitu saja. Tiba-tiba ada stik USB di meja Anda, dan Anda tidak tahu apa itu? Anda menerima telepon tiba-tiba yang mengatakan Anda mewarisi uang sebesar $5 juta? Email dari CEO Anda yang meminta informasi tentang karyawan tertentu? Semua hal ini terdengar mencurigakan dan seharusnya dianggap demikian.
Memeriksa sumbernya tidaklah sulit. Sebagai contoh, dengan email, periksa header email dan bandingkan dengan email resmi dari pengirim yang sama. Lihat ke mana tautannya mengarah - hyperlink spoofing mudah dikenali dengan mengarahkan kursor ke atasnya (tapi jangan klik!). Periksa ejaan: bank memiliki tim profesional yang terlatih untuk membuat komunikasi pelanggan, jadi email dengan kesalahan ejaan mencolok kemungkinan besar merupakan email palsu.
Jika ragu, kunjungi situs resmi dan hubungi perwakilan yang sah untuk memverifikasi apakah email/pesan tersebut resmi atau palsu.
Apa yang mereka ketahui?
Apakah sumbernya tidak memiliki informasi yang seharusnya mereka miliki, seperti nama lengkap Anda, dll.? Ingat, jika bank menelepon Anda, mereka seharusnya memiliki semua data tersebut dan akan selalu menanyakan pertanyaan keamanan sebelum mengizinkan Anda mengubah akun. Jika tidak, maka kemungkinan besar itu adalah email/telepon/pesan palsu, dan Anda harus berhati-hati.
Bersikap tenang
Serangan rekayasa sosial sering kali bergantung pada rasa urgensi. Pelaku berharap target mereka tidak akan memikirkan situasi dengan terlalu mendalam. Melakukan refleksi sejenak dapat mencegah serangan ini atau mengungkapkan bahwa itu hanya penipuan.
Hubungi nomor resmi atau buka URL situs resmi, daripada memberikan data di telepon atau mengklik tautan. Gunakan metode komunikasi lain untuk memeriksa kredibilitas sumber tersebut. Misalnya, jika Anda mendapat email dari teman yang meminta Anda mentransfer uang, kirim pesan teks atau hubungi mereka untuk memverifikasi apakah itu benar-benar mereka.
Minta ID
Salah satu serangan rekayasa sosial yang paling sederhana adalah mengelabui keamanan untuk masuk ke gedung dengan membawa kotak besar atau setumpuk berkas. Setelah itu, seseorang yang baik hati mungkin akan membuka pintu untuk mereka. Jangan tertipu oleh ini. Selalu minta ID.
Hal yang sama berlaku untuk pendekatan lainnya. Memeriksa nama dan nomor orang yang menelepon atau bertanya, "Siapa atasan Anda?" harus menjadi respons dasar jika diminta memberikan informasi. Setelah itu, periksa grafik organisasi atau direktori telepon sebelum memberikan informasi pribadi atau data sensitif. Jika Anda tidak mengenal orang yang meminta informasi dan merasa ragu untuk memberikan data tersebut, katakan bahwa Anda perlu memverifikasi dengan orang lain dan akan menghubungi mereka kembali.
Gunakan filter spam yang efektif
Jika program email Anda tidak cukup efektif dalam memfilter spam atau menandai email yang mencurigakan, Anda mungkin perlu menyesuaikan pengaturannya. Filter spam yang baik menggunakan berbagai informasi untuk menentukan email mana yang kemungkinan besar adalah spam. Filter tersebut dapat mendeteksi file atau tautan mencurigakan, memiliki daftar hitam alamat IP atau ID pengirim yang mencurigakan, atau menganalisis konten pesan untuk menentukan mana yang kemungkinan palsu.
Apakah ini realistis?
Beberapa serangan rekayasa sosial berusaha menipu Anda untuk tidak berpikir analitis, dan meluangkan waktu untuk mengevaluasi apakah situasinya realistis bisa membantu mendeteksi banyak serangan. Misalnya:
- Jika teman Anda benar-benar terjebak di Tiongkok tanpa jalan keluar, apakah mereka akan mengirimkan email kepada Anda atau menghubungi Anda melalui telepon atau SMS juga?
- Apakah mungkin seorang pangeran Nigeria meninggalkan satu juta dolar untuk Anda dalam wasiatnya?
- Apakah bank akan menelepon Anda untuk meminta detail akun? Faktanya, banyak bank yang mencatat setiap kali mereka mengirim email atau berkomunikasi dengan pelanggan melalui telepon. Jadi, periksa kembali jika Anda tidak yakin.
Jangan terburu-buru
Waspadalah terutama ketika Anda merasakan ada urgensi dalam percakapan. Ini adalah cara umum yang digunakan oleh pelaku kejahatan untuk menghentikan target mereka berpikir secara rasional. Jika Anda merasa tertekan, perlambat semuanya. Katakan Anda membutuhkan waktu untuk mendapatkan informasi, Anda perlu bertanya kepada manajer Anda, atau Anda tidak memiliki detail yang tepat saat ini—apa saja untuk memperlambat dan memberi waktu bagi Anda untuk berpikir.
Sebagian besar waktu, para pelaku rekayasa sosial tidak akan melanjutkan aksinya jika mereka menyadari bahwa mereka telah kehilangan keuntungan dari faktor kejutan.
Amankan perangkat Anda
Penting untuk mengamankan perangkat agar serangan rekayasa sosial, meskipun berhasil, hanya bisa mencapai hasil yang terbatas. Prinsip yang digunakan tetap sama, baik itu perangkat smartphone, jaringan rumah sederhana, atau sistem perusahaan besar.
- Pastikan perangkat lunak anti-malware dan anti-virus Anda selalu diperbarui. Ini akan membantu mencegah malware yang masuk melalui email phishing terinstal secara otomatis. Gunakan perangkat lunak seperti Antivirus Kaspersky untuk melindungi jaringan dan data Anda.
- Pastikan perangkat lunak dan firmware selalu diperbarui, terutama patch keamanan.
- Hindari menjalankan ponsel Anda dalam mode root, atau jaringan atau PC Anda dalam mode administrator. Meskipun serangan rekayasa sosial berhasil mendapatkan kata sandi akun 'pengguna' Anda, itu tidak akan memberi izin untuk mengonfigurasi ulang sistem Anda atau menginstal perangkat lunak di dalamnya.
- Jangan menggunakan kata sandi yang sama di berbagai akun. Jika serangan rekayasa sosial memperoleh kata sandi akun media sosial Anda, Anda tidak ingin pelaku bisa mengakses semua akun lainnya.
- Gunakan autentikasi dua faktor untuk akun-akun penting, sehingga kata sandi saja tidak cukup untuk mengakses akun tersebut. Itu bisa melibatkan verifikasi suara, penggunaan perangkat keamanan, sidik jari, atau kode konfirmasi melalui SMS.
- Jika Anda baru saja memberikan kata sandi akun Anda dan mencurigai Anda telah 'terjebak rekayasa sosial', segera ubah kata sandi Anda.
- Terus dapatkan informasi tentang risiko kejahatan siber terbaru dengan menjadi pembaca setia Pusat Sumber Daya kami. Dengan begitu, Anda akan selalu mengetahui metode serangan baru yang muncul, yang mengurangi kemungkinan Anda menjadi korban.
Pikirkan tentang jejak digital Anda
Anda mungkin perlu mempertimbangkan jejak digital Anda. Terlalu sering membagikan informasi pribadi secara online, seperti melalui media sosial, bisa dimanfaatkan oleh pelaku serangan. Misalnya, banyak bank menggunakan 'nama hewan peliharaan pertama Anda' sebagai pertanyaan keamanan — apakah Anda membagikannya di Facebook? Jika iya, Anda berisiko menjadi target! Selain itu, beberapa serangan rekayasa sosial akan berusaha membangun kredibilitas dengan merujuk pada kejadian baru yang mungkin Anda bagikan di media sosial.
Kami sarankan untuk mengubah pengaturan media sosial Anda menjadi 'hanya teman' dan berhati-hatilah dengan apa yang Anda bagikan. Anda tidak perlu paranoid, cukup tetap waspada.
Pikirkan juga hal-hal lain dalam hidup Anda yang Anda bagikan secara online. Jika Anda memiliki CV online, misalnya, pertimbangkan untuk menghapus alamat, nomor telepon, dan tanggal lahir - informasi yang sangat berguna bagi siapa saja yang merencanakan serangan rekayasa sosial. Sebagian serangan rekayasa sosial mungkin tidak terlalu melibatkan korbannya, sementara yang lain disusun dengan sangat cermat — berikan seminimal mungkin informasi yang dapat dimanfaatkan oleh pelaku.
Rekayasa sosial sangat berbahaya karena ia mengubah situasi normal menjadi manipulasi dengan tujuan jahat. Namun, dengan pemahaman yang mendalam tentang cara kerjanya dan dengan mengambil langkah-langkah pencegahan dasar, Anda akan jauh lebih kecil kemungkinannya menjadi korban rekayasa sosial.
Produk yang direkomendasikan:
