16 Agustus 2023 | Informasi Nasabah
Definisi Social Engineering
Disadur dari Kaspersky, social engineering atau rekayasa sosial, adalah sebuah teknik manipulasi yang memanfaatkan kesalahan manusia untuk mendapatkan akses pada informasi pribadi atau data-data berharga.
Dalam dunia cybercrime, jenis penipuan human hacking ini dapat memikat pengguna untuk tidak menaruh curiga.
Pengguna dapat dengan mudah mengungkapkan data, menyebarkan infeksi malware, dan memberikan akses ke sistem yang terjaga.
Serangan seperti ini dapat terjadi secara online, langsung, dan melalui interaksi lainnya yang sulit untuk diduga.
Umumnya, rekayasa sosial memiliki dua tujuan spesifik, yakni untuk menyabotase dan mencuri.
Dikarenakan penipuan ini didasarkan pada manipulasi psikologis, strategi serangan akan dibangun berdasarkan cara korban berpikir dan bertindak.
Dengan demikian, serangan manipulasi psikologis ini sangat berguna untuk mengelabui dan memengaruhi perilaku korban.
Setelah memahami apa yang memotivasi setiap tindakan korban, penyerang dapat menipu dan memanipulasi korban secara efektif dan tanpa beban.
Selain itu, para penyerang juga dapat mengeksploitasi minimnya pengetahuan korban terkait dunia teknologi.
Berkat perkembangan yang pesat, banyak konsumen dan karyawan perusahaan yang tidak menyadari ancaman-ancaman baru, seperti drive-by download.
Calon korban juga mungkin tidak menyadari nilai penuh dari data pribadi, seperti nomor telepon dan informasi pada kartu identitas mereka.
Akibatnya, korban kehilangan data pribadi karena tidak paham mengenai cara terbaik untuk melindungi diri mereka dari serangan-serangan tersebut.
Cara Kerja dan Jenis-Jenis Social Engineering
Setelah mengetahui definisinya, kamu juga perlu tahu mengenai cara kerja social engineering beserta jenis-jenis ancamannya.
Sebagian besar serangan rekayasa sosial akan mengandalkan komunikasi aktual antara penyerang dan korban.
Para penyerang biasanya akan memotivasi korban untuk berkompromi, daripada menggunakan metode dan peralatan canggih untuk membobol cybersecurity mereka.
Cara kerja serangan juga sangat terstruktur dan tidak berantakan. Menurut CSO Online, cara kerja social engineering adalah seperti berikut ini
Proses ini dapat berlangsung dalam satu kali interaksi email atau selama berbulan-bulan dalam serangkaian obrolan di media sosial.
Namun, pada akhirnya, serangan akan diakhiri setelah korban melakukan tindakan yang diharapkan penyerang.
Hal itu seperti membagikan informasi pribadi atau memaparkan malware pada sistem device mereka.
Serangan social engineering juga datang dalam berbagai bentuk, dan dapat dilakukan di mana saja di mana interaksi manusia terlibat.
Menurut Imperva, berikut ini adalah lima bentuk serangan rekayasa sosial yang paling umum ditemukan.
1. Baiting
Baiting merupakan serangan social engineering yang paling sering ditemukan.
Sesuai namanya, baiting menggunakan serangan umpan dalam bentuk janji palsu untuk memancing keserakahan atau keingintahuan korban.
Penyerang akan memikat korban ke dalam perangkap, di mana nantinya mereka akan mencuri informasi pribadi atau menyebabkan sistem device korban untuk terkena malware.
2. Pretexting
Dalam serangan pretexting, seorang penyerang memperoleh informasi melalui serangkaian kebohongan yang dibuat dengan cerdik.
Penipuan rekayasa sosial ini sering kali diprakarsai oleh pelaku yang berpura-pura membutuhkan informasi sensitif dari korban untuk melakukan tugas penting.
3. Phishing
Phishing merupakan jenis serangan social engineering yang paling berbahaya.
Sering kali, bentuk penipuan ini hadir dalam kampanye email dan pesan teks yang bertujuan untuk menciptakan urgensi, keingintahuan, atau ketakutan pada korban.
Kemudian, penyerang akan mendorong korban untuk mengungkapkan informasi sensitif, mengklik tautan ke situs web berbahaya, atau membuka lampiran yang berisi malware.
4. Spear phishing
Jenis serangan ini adalah versi penipuan phishing yang lebih terstruktur, di mana penyerang akan memilih individu atau perusahaan tertentu.
Penyerang kemudian akan menyesuaikan pesan mereka berdasarkan karakteristik, posisi pekerjaan, dan kontak milik korban agar serangan mereka tidak terlalu mencolok.
Spear phishing membutuhkan lebih banyak upaya, dan mungkin membutuhkan waktu berminggu-minggu hingga berbulan-bulan untuk melakukannya.
Contoh Serangan dalam Social Engineering
Berikut adalah beberapa contoh kasusnya:
1. Worm attacks
Worm attacks bertujuan menarik perhatian pengguna untuk mengakses link dan file yang telah terinfeksi.
Contoh dari serangan ini adalah kasus worm bernama ILOVEYOU pada tahun 2000 di Filipina.
Saat itu, serangan ini menargetkan email-email perusahaan di Filipina dan negara-negara lain seperti Hong Kong.
Target akan menerima email berupa “surat cinta” yang berisi pesan cinta dan link.
Saat link dibuka, maka worm atau serangan tersebut akan menyebar dan mengakses data pribadi penerima email.
Kerugian ditaksir mencapai lebih dari 20 juta dolar Amerika Serikat, atau setara Rp303 miliar.
2. Peer-to-peer network attacks
Jaringan P2P juga sering menjadi incaran dari serangan dengan metode social engineering.
Biasanya serangan ini akan berisi virus Trojan dan muncul dalam bentuk file siap download dengan nama yang menarik perhatian, contohnya:
Dua file tersebut berkaitan dengan perangkat serta aplikasi yang banyak digunakan oleh para pekerja.
Cara Mencegah Social Engineering
Melihat cara kerjanya yang terstruktur serta banyaknya jenis social engineering, seperti apa, sih, cara mencegah serangan berbahaya ini?
Melansir MDSNY, cara-caranya cukup mudah, di mana pengguna device harus sadar akan bahaya yang mengancam data mereka. Berikut langkah-langkah jelasnya.
