Orang yang pernah menonton film Who Am I pasti pernah mendengar isitilah social engineering dalam film tersebut, tetapi sayangnya kebanyakan dari mereka tidak mengetahui begitu jelas maksud dari istilah tersebut. Untuk itu mari kita cari tau apa itu social engineering beserta cara kerja, jenis, dan contohnya.
Baca Juga: Apa Itu Privilege Escalation?
DAFTAR ISI
Apa Itu Social Engineering?
Social engineering adalah adalah teknik manipulasi yang mengeksploitasi kesalahan manusia untuk mendapatkan informasi pribadi, akses, atau barang berharga. Social engineering, dalam dunia keamanan informasi, adalah jenis serangan dunia maya yang bekerja untuk membuat orang menjadi lebih baik melalui tipu daya dan penipuan daripada eksploitasi teknologi.
Serangan ini memanfaatkan kerentanan manusia seperti emosi, kepercayaan, atau kebiasaan untuk meyakinkan individu agar mengambil tindakan seperti mengklik tautan palsu atau mengunjungi situs web jahat. Meskipun kurang canggih dibandingkan strategi serangan dunia maya lainnya, social engineering dapat memiliki konsekuensi yang parah dan seringkali dapat menjadi senjata untuk serangan besar.
Cara Kerja Social Engineering
Tidak seperti virus yang bergantung pada teknik peretasan atau kode berbahaya untuk mengirimkan payload, social engineering bergantung pada psikologi manusia. Jika digunakan dengan sempurna, ini dapat dimanfaatkan untuk mendapatkan akses ke data, sistem, dan bahkan informasi berharga lainnya.
Misalnya, daripada menghabiskan waktu berbulan-bulan untuk membuat jenis malware baru, peretas malah memfokuskan perhatian mereka untuk menipu karyawan supaya membocorkan kata sandi mereka melalui telepon dengan menyamar sebagai teknisi dukungan IT. Jika mereka berbicara dengan orang yang tepat dan mengatakan hal yang benar, mereka bisa langsung terhubung ke jaringan.
Keamanan jaringan kalian hanya sekuat tautan terlemahnya. Hal yang sama berlaku untuk tenaga kerja kalian. Peretas biasanya menggunakan sejumlah teknik berbeda untuk menemukan tautan terlemah yaitu teknik yang berfokus pada ketakutan kita, kesukaan dan ketidaksukaan kita, dan kelemahan kita.
Jenis Jenis Social Engineering
Hampir setiap jenis serangan keamanan siber mengandung beberapa jenis social engineering. Social engineering dapat memengaruhi kalian secara digital melalui serangan seluler selain perangkat desktop. Namun, kalian dapat dengan mudah dihadapkan pada ancaman secara langsung. Serangan ini dapat tumpang tindih dan melapisi satu sama lain untuk membuat penipuan. Berikut beberapa jenis social engineering yang sering digunakan peretas:
- Baiting – Penyerang melakukan memancing serangan ketika mereka meninggalkan perangkat malware yang terinfeksi, seperti USB flash drive, di tempat di mana seseorang akan menemukannya. Ini bergantung pada rasa ingin tahu bawaan kita, seseorang kemungkinan akan memuat perangkat tersebut ke perangkat mereka dan pada akhirnya mereka membawa malware.
- Phishing – Phishing terjadi ketika penyerang melakukan komunikasi penipuan dengan korban yang terlihat seperti sah dan aman. Penerima kemudian tertipu untuk memasang software perusak di perangkat mereka atau membagikan informasi pribadi, keuangan, atau bisnis.
- Pretexting – Pretexting terjadi ketika penyerang membuat keadaan palsu untuk memaksa korban memberikan akses ke data sensitif atau sistem yang dilindungi.
- Quid pro quo – Serangan quid pro quo terjadi ketika penyerang meminta informasi pribadi dari seseorang dengan imbalan sesuatu atau beberapa jenis kompensasi.
- Spear Phishing – Spear phishing adalah jenis serangan phishing yang sangat bertarget yang berfokus pada individu atau organisasi tertentu. Serangan spear phishing menggunakan informasi pribadi yang khusus untuk penerima untuk mendapatkan kepercayaan dan tampak lebih sah. Seringkali informasi ini diambil dari akun media sosial korban atau aktivitas online lainnya.
- Tailgating – Tailgating adalah teknik manipulasi psikologis yang terjadi saat individu yang tidak berwenang mengikuti individu yang berwenang ke lokasi yang sebelumnya aman. Tujuan tailgating adalah untuk mendapatkan properti atau informasi rahasia yang berharga.
Contoh Social Engineering
Social engineering terjadi karena naluri kepercayaan manusia. Penjahat dunia maya telah mengetahui bahwa email, pesan suara, atau pesan teks yang disusun dengan hati-hati dapat meyakinkan orang untuk mentransfer uang, memberikan informasi rahasia, atau mendownload file yang sudah terinstall malware di dalamnya.
Lihat contoh Spear Phishing ini yang meyakinkan seorang karyawan untuk mentransfer 100 Juta ke investor asing:
- Berkat penelitian spear phishing yang cermat, penjahat dunia maya mengetahui bahwa CEO perusahaan sedang bepergian.
- Email dikirim ke karyawan perusahaan yang sepertinya berasal dari CEO. Ada sedikit perbedaan dalam alamat email – tetapi ejaan nama CEO sudah benar.
- Dalam email tersebut, karyawan tersebut diminta untuk membantu CEO dengan mentransfer 100 Juta kepada investor asing baru. Email tersebut menggunakan bahasa yang mendesak namun ramah, meyakinkan karyawan tersebut bahwa dia akan membantu CEO dan perusahaan.
- Email tersebut menekankan bahwa CEO akan melakukan transfer ini sendiri tetapi karena dia sedang bepergian, dia tidak dapat melakukan transfer dana tepat waktu untuk mengamankan kemitraan investasi asing.
- Tanpa memverifikasi detailnya, karyawan tersebut memutuskan untuk bertindak. Dia benar-benar percaya bahwa dia membantu CEO, perusahaan, dan rekan-rekannya dengan memenuhi permintaan email.
- Beberapa hari kemudian, karyawan, CEO, dan rekan perusahaan yang menjadi korban menyadari bahwa mereka telah menjadi korban serangan social engineering dan telah kehilangan 100 Juta.
Bagaimana Melindungi Dari Social Engineering
Pendidikan
Ketidaktahuan adalah kelemahan terbesar kita sebagai manusia dan sangat mudah untuk dieksploitasi, menjadikan yang tidak berpendidikan sebagai sasaran utama penyerang. Kalian harus membuat semua pegawai sadar akan risiko dan waspada terhadap teknik social engineering.
Waspadai Informasi Yang Kalian Rilis
Ini mencakup media verbal dan sosial. Situs-situs seperti Facebook dan Twitter adalah sumber informasi dan sumber yang melimpah, mulai dari gambar hingga minat yang dapat dimainkan. Pencarian Google maps sederhana dari alamat rumah atau kantor kalian memberikan penajahat informasi tentang tempat kalian dan sekitarnya.
Pastikan Melindungi Aset Yang Benar
Pastikan kalian melindungi hal yang benar! Saat memutuskan aset mana yang paling berharga bagi penyerang, pastikan untuk tidak hanya berfokus pada apa yang menurut kalian atau bisnis paling berharga. Penyerang dunia maya tertarik dengan apa pun yang dapat mereka hasilkan.
Menerapkan Dan Mengikuti Kebijakan
Setelah mengidentifikasi aset mana yang paling menggoda bagi penyerang, dan yang mungkin mereka gunakan untuk menargetkannya, tulis kebijakan keamanan dan ikuti! Dalam konteks bisnis, semua karyawan perlu memainkan peran mereka. Setiap orang adalah pintu masuk potensial ke dalam bisnis dan asetnya. Hanya perlu satu pintu untuk terbuka bagi penyerang untuk mendapatkan akses.
Penetration Testing
Setelah kalian menerapkan kebijakan, saatnya untuk mengujinya. Mengirim email berbahaya dalam kondisi pengujian ke sekelompok pengguna atau mengamati bagaimana karyawan mengakses sebuah gedung dapat memberi kalian gambaran yang baik tentang apakah kebijakan dipatuhi.
Baca Juga: Apa Itu Penetration Testing: Tahapan Dan Metode
Autentikasi Multifaktor
Meningkatkan cara pengguna kalian mengakses sistem dan data dapat membantu menghindari serangan social engineering. Menggabungkan kata sandi dengan biometrik, misalnya, adalah salah satu cara otentikasi multifaktor dapat mengalahkan penjahat di permainan mereka sendiri.
Selalu Perbarui Software
Penyerang yang menggunakan teknik manipulasi psikologis sering kali mencari tahu apakah kalian menjalankan software yang belum dipatch dan out-of-date. Tetap memantau patch dan memperbarui software kalian dapat mengurangi sebagian besar risiko ini.
Kesimpulan
Jadi apa itu social engineering? Social engineering adalah teknik yang ditujukan untuk membujuk target agar mengungkapkan informasi tertentu atau melakukan tindakan tertentu untuk alasan yang tidak sah.
Perlindungan terhadap Social engineering dimulai dengan pendidikan. Misalnya jika semua karyawan menyadari ancaman tersebut, keamanan perusahaan akan meningkat. Pastikan untuk meningkatkan kesadaran akan risiko ini dengan berbagi apa yang telah kalian pelajari. Karena mencegah selalu lebih baik daripada mengobati
Sekian artikel Apa Itu Social Engineering: Cara Kerja, Jenis, Dan Contoh. Nantikan artikel menarik lainnya dan jangan lupa share artikel ini ke teman-teman kalian. Terimakasih…