Social Engineering: Definisi, Jenis Serangan, dan Cara Mencegah

16 Agustus 2023 | Informasi Nasabah

Bagikan:   
facebook twitter wa

Definisi Social Engineering

Disadur dari Kaspersky, social engineering atau rekayasa sosial, adalah sebuah teknik manipulasi yang memanfaatkan kesalahan manusia untuk mendapatkan akses pada informasi pribadi atau data-data berharga. 

Dalam dunia cybercrime, jenis penipuan human hacking ini dapat memikat pengguna untuk tidak menaruh curiga.

Pengguna dapat dengan mudah mengungkapkan data, menyebarkan infeksi malware, dan memberikan akses ke sistem yang terjaga. 

Serangan seperti ini dapat terjadi secara online, langsung, dan melalui interaksi lainnya yang sulit untuk diduga.

Umumnya, rekayasa sosial memiliki dua tujuan spesifik, yakni untuk menyabotase dan mencuri.

Dikarenakan penipuan ini didasarkan pada manipulasi psikologis, strategi serangan akan dibangun berdasarkan cara korban berpikir dan bertindak. 

Dengan demikian, serangan manipulasi psikologis ini sangat berguna untuk mengelabui dan memengaruhi perilaku korban. 

Setelah memahami apa yang memotivasi setiap tindakan korban, penyerang dapat menipu dan memanipulasi korban secara efektif dan tanpa beban.

Selain itu, para penyerang juga dapat mengeksploitasi minimnya pengetahuan korban terkait dunia teknologi. 

Berkat perkembangan yang pesat, banyak konsumen dan karyawan perusahaan yang tidak menyadari ancaman-ancaman baru, seperti drive-by download.

Calon korban juga mungkin tidak menyadari nilai penuh dari data pribadi, seperti nomor telepon dan informasi pada kartu identitas mereka.

Akibatnya, korban kehilangan data pribadi karena tidak paham mengenai cara terbaik untuk melindungi diri mereka dari serangan-serangan tersebut.

Cara Kerja dan Jenis-Jenis Social Engineering

Setelah mengetahui definisinya, kamu juga perlu tahu mengenai cara kerja social engineering beserta jenis-jenis ancamannya.

Sebagian besar serangan rekayasa sosial akan mengandalkan komunikasi aktual antara penyerang dan korban. 

Para penyerang biasanya akan memotivasi korban untuk berkompromi, daripada menggunakan metode dan peralatan canggih untuk membobol cybersecurity mereka.

Cara kerja serangan juga sangat terstruktur dan tidak berantakan. Menurut CSO Online, cara kerja social engineering adalah seperti berikut ini

  1. penyerang merencanakan strategi dengan mengumpulkan informasi tentang latar belakang dan tempat kerja korban
  2. menyusup dengan menjalin hubungan atau memulai interaksi, dimulai dengan membangun kepercayaan korban
  3. mengeksploitasi korban setelah kepercayaan terbentuk dan kelemahan mereka terlihat
  4. memutuskan hubungan setelah kobran melakukan tindakan yang diinginkan 

Proses ini dapat berlangsung dalam satu kali interaksi email atau selama berbulan-bulan dalam serangkaian obrolan di media sosial. 

Namun, pada akhirnya, serangan akan diakhiri setelah korban melakukan tindakan yang diharapkan penyerang.

Hal itu seperti membagikan informasi pribadi atau memaparkan malware pada sistem device mereka.

Serangan social engineering juga datang dalam berbagai bentuk, dan dapat dilakukan di mana saja di mana interaksi manusia terlibat. 

Menurut Imperva, berikut ini adalah lima bentuk serangan rekayasa sosial yang paling umum ditemukan.

1. Baiting

Baiting merupakan serangan social engineering yang paling sering ditemukan.

Sesuai namanya, baiting menggunakan serangan umpan dalam bentuk janji palsu untuk memancing keserakahan atau keingintahuan korban. 

Penyerang akan memikat korban ke dalam perangkap, di mana nantinya mereka akan mencuri informasi pribadi atau menyebabkan sistem device korban untuk terkena malware.

2. Pretexting

Dalam serangan pretexting, seorang penyerang memperoleh informasi melalui serangkaian kebohongan yang dibuat dengan cerdik. 

Penipuan rekayasa sosial ini sering kali diprakarsai oleh pelaku yang berpura-pura membutuhkan informasi sensitif dari korban untuk melakukan tugas penting.

3. Phishing

Phishing merupakan jenis serangan social engineering yang paling berbahaya.

Sering kali, bentuk penipuan ini hadir dalam kampanye email dan pesan teks yang bertujuan untuk menciptakan urgensi, keingintahuan, atau ketakutan pada korban. 

Kemudian, penyerang akan mendorong korban untuk mengungkapkan informasi sensitif, mengklik tautan ke situs web berbahaya, atau membuka lampiran yang berisi malware.

4. Spear phishing

Jenis serangan ini adalah versi penipuan phishing yang lebih terstruktur, di mana penyerang akan memilih individu atau perusahaan tertentu. 

Penyerang kemudian akan menyesuaikan pesan mereka berdasarkan karakteristik, posisi pekerjaan, dan kontak milik korban agar serangan mereka tidak terlalu mencolok. 

Spear phishing membutuhkan lebih banyak upaya, dan mungkin membutuhkan waktu berminggu-minggu hingga berbulan-bulan untuk melakukannya.

Contoh Serangan dalam Social Engineering
Berikut adalah beberapa contoh kasusnya:

1. Worm attacks

Worm attacks bertujuan menarik perhatian pengguna untuk mengakses link dan file yang telah terinfeksi.

Contoh dari serangan ini adalah kasus worm bernama ILOVEYOU pada tahun 2000 di Filipina.

Saat itu, serangan ini menargetkan email-email perusahaan di Filipina dan negara-negara lain seperti Hong Kong.

Target akan menerima email berupa “surat cinta” yang berisi pesan cinta dan link.

Saat link dibuka, maka worm atau serangan tersebut akan menyebar dan mengakses data pribadi penerima email.

Kerugian ditaksir mencapai lebih dari 20 juta dolar Amerika Serikat, atau setara Rp303 miliar.

2. Peer-to-peer network attacks

Jaringan P2P juga sering menjadi incaran dari serangan dengan metode social engineering.

Biasanya serangan ini akan berisi virus Trojan dan muncul dalam bentuk file siap download dengan nama yang menarik perhatian, contohnya:

  • AIM and AOL Password Hacker.exe
  • Microsoft CD Key Generator.exe

Dua file tersebut berkaitan dengan perangkat serta aplikasi yang banyak digunakan oleh para pekerja.

Cara Mencegah Social Engineering

Melihat cara kerjanya yang terstruktur serta banyaknya jenis social engineering, seperti apa, sih, cara mencegah serangan berbahaya ini?

Melansir MDSNY, cara-caranya cukup mudah, di mana pengguna device harus sadar akan bahaya yang mengancam data mereka. Berikut langkah-langkah jelasnya.

  1. Jangan mengklik tautan yang mencurigakan.
  2. Periksa kembali sumber situs yang ingin dibuka.
  3. Hindari percakapan dengan orang asing.
  4. Hindari download dokumen yang tak dikenal.
  5. Anggap saja bahwa seluruh tawaran hadiah itu palsu.
  6. Tolak request email atau pesan dari orang yang tak dikenal.
  7. Selalu ingat akan risiko kehilangan informasi penting
Promo