Social Engineering

Oleh

Social Engineering






Apa itu Social Engineering?

Tindakan menipu orang lain Yang bertujuan untuk mencuri informasi yang biasanya dilakukan menggunakan suatu teknologi, itu adalah Social Engineering. Ide di balik Social Engineering adalah memanfaatkan kecenderungan alami dan reaksi emosional dari calon korban.

Seorang Hacker biasa mungkin mencari kerentanan dalam perangkat lunak untuk mengakses komputer korban. Namun, seorang Social Engineer berpura-pura menjadi seseorang yang memberikan dukungan teknis untuk mengelabui korban agar mengungkapkan kredensial (Informasi) login mereka.

Bagaimana cara kerja Social Engineering?

Untuk sebagian besar serangan Social Engineering, langkah pertamanya adalah mengumpulkan informasi tentang korban.

Misalnya, jika korbannya adalah perusahaan, penyerang dapat mengeksploitasi OPSEC (Operations security) yang buruk untuk mengumpulkan informasi secara online dan struktur dari organisasi tersebut, operasi internal, jargon industri, vendor pihak ketiga, dan profil media sosial lainnya yang terdaftar di publik.

Dalam banyak kasus, karyawan tingkat rendah yang kredensial loginnya dapat digunakan untuk mendapatkan akses ke informasi internal yang dapat digunakan untuk spear phishing atau ancaman dunia maya lain yang lebih bertarget akan menjadi korban pertama.

Serangan terhadap Social Engineering mengekspos informasi sensitif, seperti nomor jaminan sosial atau nomor kartu kredit, yang mengarah pada pelanggaran data atas informasi identitas pribadi.

Jenis-jenis Social Engineering

  • Baiting - penyerang meninggalkan perangkat yang terinfeksi malware, seperti USB flash drive atau CD, di tempat yang kemungkinan besar akan ditemukan oleh seseorang. 

  • Phishing - phishing menipu kita saat penyerang membuat komunikasi penipuan yang disamarkan sebagai sah(legit), sering kali mengklaim atau seolah-olah berasal dari sumber tepercaya. Dalam serangan phishing, korban tertipu untuk menginstall malware di perangkatnya atau membagikan informasi pribadi, keuangan, atau bisnis. Email adalah mode komunikasi paling populer untuk serangan phishing, tetapi phishing juga dapat menggunakan aplikasi obrolan, media sosial, panggilan telepon, atau situs web palsu yang dirancang agar terlihat asli(legit). Beberapa serangan phishing terburuk membuat permohonan amal setelah bencana alam atau tragedi melanda, mengeksploitasi niat baik orang-orang dan mendesak mereka untuk menyumbang dengan memasukkan informasi pribadi atau pembayaran.

  • Pretexting - pretexting dan phishing melalui telepon atau email sangatlah mirip dan terjadi ketika penyerang membuat keadaan palsu untuk memaksa korban memberikan akses ke data sensitif atau sistem yang dilindungi. Contoh serangan pretexting termasuk scammer yang berpura-pura membutuhkan data keuangan untuk mengkonfirmasi identitas penerima atau menyamar sebagai entitas tepercaya seperti anggota departemen IT perusahaan untuk mengelabui korban agar membocorkan kredensial login atau memberikan akses komputer. Tidak seperti email phishing, yang memanfaatkan rasa takut dan urgensi untuk keuntungan mereka, serangan pretexting mengandalkan rasa kepercayaan yang salah dengan korban. Ini membutuhkan penyerang untuk membangun cerita yang kredibel atau dapat dipercaya yang menyisakan sedikit ruang untuk keraguan di pihak korban mereka.

  • Quid pro quo - quid pro quo attack terjadi ketika penyerang meminta informasi pribadi dari seseorang dengan imbalan sesuatu yang diinginkan atau semacam kompensasi. Misalnya, penyerang meminta kredensial login dengan imbalan hadiah gratis. Ingat, jika kedengarannya terlalu bagus untuk menjadi kenyataan, mungkin memang begitu.

  • Spear phishing - spear phishing adalah jenis serangan phishi
    ng yang berfokus pada individu atau organisasi tertentu.     Serangan spear phishing menggunakan informasi pribadi yang khusus untuk penerima untuk mendapatkan kepercayaan dan tampak lebih sah(legit). Seringkali informasi ini diambil dari akun media sosial korban atau aktivitas online lainnya. Dengan mempersonalisasi taktik phishing mereka, Spear Phishing memiliki tingkat keberhasilan yang lebih tinggi untuk mengelabui korban agar memberikan akses atau membocorkan informasi sensitif, seperti data keuangan atau rahasia dagang.

  • Tailgating - tailgating adalah teknik Social Engineering yang dilakukan secara langsung, yang terjadi adalah ketika penyerang mengikuti korban ke lokasi yang aman. Tujuan tailgating adalah untuk mendapatkan properti atau informasi rahasia yang berharga. Tailgating dapat terjadi ketika seseorang meminta Anda untuk menahan pintu tetap terbuka karena mereka lupa kartu aksesnya atau meminta untuk meminjam ponsel atau laptop Anda untuk menyelesaikan tugas sederhana tetapi yang mereka lakukan sebenarnya ialah menginstal malware atau mencuri data dari laptop anda.


Bagaimana Cara Mencegah Serangan Social Engineering?

Tidak ada solusi keamanan yang sangat mudah untuk suatu sistem yang menyertakan elemen manusia. Jika Social Engineer saja dapat membobol perusahaan besar seperti AP News, Sony Pictures, dan perusahaan besar lainnya, seberapa amankah perangkat atau perusahaan Anda?

Tentu saja tidak aman. Tetapi anda tentu masih bisa mendorong kesadaran dan bersiap untuk serangan semacam itu. Kesalahan manusia dapat dikurangi. Berikut beberapa langkah yang harus Anda pertimbangkan.


  • Meningkatkan kesadaran dan pengetahuan akan ancaman (Social Engineering) dan berbagai bentuknya.
  • Memperjelas protokol Anda tentang serangan manipulasi psikologis. Integrasikan protokol tersebut ke dalam keseluruhan kebijakan tentang keamanan informasi dan perlindungan data.
  • Mendidik staf tentang Cyber Security. Latih mereka cara melawan setiap jenis serangan Social Engineering.
  • Latih staf tentang cara meningkatkan kecerdasan emosional mereka. Bangun ketahanan mereka terhadap serangan manipulasi psikologis.
  • Dorong staf untuk bertanya kepada rekan kerja dan dukungan teknis jika mereka tidak yakin tentang suatu masalah.
  • Lindungi komputer dan perangkat lain menggunakan anti-virus yang diperbarui dan perangkat lunak keamanan lainnya.
  • Memiliki basis pengetahuan yang dapat diakses, terpusat, dan diperbarui tentang manipulasi psikologis.


Kesimpulan

Ancaman Social Engineering semakin meningkat dikarenakan dunia sudah menjadi lebih digital. Tidak terlepas dari ukuran atau industrinya, tidak ada individu,bisnis atau organisasi yang dikecualikan dari ancaman tersebut.

Bahkan para profesional yang paling paham akan teknologi pun masih bisa menjadi buta dan membuat kesalahan besar. Di tengah lingkungan ini, kita perlu mengadopsi solusi keamanan terbaik dan membangun budaya kewaspadaan.







Komentar

Posting Komentar