Rekayasa sosial

Menurut sebuah laporan, 98% dari serangan siber mengandalkan teknik rekayasa sosial. Rekayasa sosial memanipulasi orang untuk berbagi informasi sensitif atau mengambil tindakan berbahaya dengan mengeksploitasi psikologi manusia daripada kerentanan teknis, sering disebut “peretasan manusia.” Serangan ini meliputi: -

1. Email phishing

2. Pesan suara palsu atau

3. Janji kekayaan yang curang

Apa itu Social Engineering?

Rekayasa sosial adalah praktik memanipulasi individu untuk mengungkapkan informasi sensitif. Penjahat dunia maya sering bertujuan untuk mendapatkan kata sandi, detail keuangan atau mendapatkan akses ke perangkat untuk menginstal perangkat lunak berbahaya, memungkinkan mereka mencuri data, mengontrol sistem atau melakukan penipuan seperti penipuan game online hari ini.

‍

Bagaimana cara kerja rekayasa sosial?

Beberapa teknik rekayasa sosial umum termasuk

1. Meniru Merek Tepercaya

Penipu sering meniru perusahaan terkenal untuk mendapatkan kepercayaan. Menggunakan situs web palsu atau email yang tampak otentik, mereka mengelabui korban untuk mengikuti instruksi tanpa mempertanyakan legitimasi mereka.

2. Berpura-pura menjadi otoritas

Orang sering menghormati atau takut pada figur otoritas, membuat mereka rentan terhadap pesan yang mengklaim berasal dari lembaga pemerintah (seperti IRS), penegak hukum atau bahkan selebriti.

3. Menciptakan Ketakutan atau Urgensi

Rasa panik atau tekanan waktu membuat orang bertindak impulsif. Contohnya termasuk peringatan tentang transaksi yang tidak sah, virus komputer, atau pelanggaran hak cipta. Takut ketinggalan (FOMO) adalah pemicu kuat lainnya.

4. Mengeksploitasi Keserakahan

Penipuan seperti “Pangeran Nigeria” yang terkenal menawarkan janji imbalan finansial dengan imbalan informasi sensitif atau biaya kecil. Penipuan ini bertahan karena iming-iming kekayaan cepat tetap menggoda.

5. Menarik Keingintahuan atau Bantuan

Pesan yang dirancang agar terlihat ramah atau menarik, seperti pemberitahuan palsu dari jejaring sosial atau posting viral, dapat menyebabkan korban mengklik tautan berbahaya atau mengunduh file berbahaya.

‍

Serangan Rekayasa Sosif

Berikut adalah beberapa jenis serangan rekayasa sosial yang umum

1. Penyelesaian

Serangan phishing menggunakan pesan yang menipu, sering melalui email, telepon atau teks, untuk mengelabui individu agar berbagi informasi sensitif, mengunduh malware atau mentransfer uang.
Serangan ini dirancang agar tampak seolah-olah berasal dari organisasi atau individu tepercaya.

• Phishing Massal

Email massal yang berpura-pura berasal dari merek besar, seperti bank atau pengecer, mendorong penerima untuk mengklik tautan berbahaya atau memberikan data pribadi.

• Spear Phishing

Menargetkan individu tertentu menggunakan informasi pribadi yang dikumpulkan dari media sosial atau sumber lain.

• Perburuan Paus

Ditujukan untuk tokoh-tokoh terkenal seperti CEO atau politisi.

• Kompromi Email Bisnis (BEC)

Peretas mengirim email dari akun yang dikompromikan, membuatnya sangat meyakinkan.

• Vishing (phishing suara)

Dilakukan melalui panggilan telepon, seringkali dengan pesan yang mengancam.

• Menghancurkan (SMS phishing)

Phishing SMS melalui pesan teks.

• Mesin Pencari Phishing

Situs web berbahaya memiliki peringkat tinggi dalam hasil pencarian, menipu pengguna untuk mengunjunginya.

• Phishing Pemancing

Menggunakan akun dukungan pelanggan palsu di media sosial untuk menipu korban.

2. Umpan

Umpan melibatkan menggoda korban dengan penawaran atau barang untuk membujuk mereka untuk mengungkapkan informasi sensitif atau mengunduh malware. Contoh klasik termasuk unduhan sarat malware yang disamarkan sebagai perangkat lunak atau musik gratis. Taktik fisik, seperti meninggalkan drive USB yang terinfeksi di ruang publik, juga umum.

3. Tailgating

Juga dikenal sebagai “piggyback,” tailgating terjadi ketika orang yang tidak berwenang memperoleh akses fisik atau digital dengan mengikuti individu yang berwenang. Ini bisa melibatkan menyelinap ke area aman atau mengeksploitasi perangkat yang masuk tanpa pengawasan.

4. Dalian

Pencegahan menciptakan skenario palsu untuk menipu korban agar memberikan detail sensitif. Misalnya, penyerang dapat mengklaim menyelesaikan masalah keamanan dan meminta kredentif akses atau perangkat. Banyak serangan rekayasa sosial menggabungkan dalih untuk membangun kepercayaan.

5. Why Pro Quo

Dalam penipuan quid pro quo, penyerang menawarkan sesuatu yang diinginkan dengan imbalan informasi sensitif. Contohnya termasuk kemenangan kontes palsu, hadiah atau hadiah sebagai imbalan atas data pribadi.

6. Scareware

Scareware menggunakan rasa takut untuk memanipulasi korban agar bertindak melawan penilaian mereka yang lebih baik. Ini sering muncul sebagai peringatan palsu tentang malware atau ancaman hukum, mendorong pengguna untuk mengunduh perangkat lunak berbahaya atau berbagi data pribadi.

7. Serangan Lubang Penyiraman

Dalam metode ini, peretas menargetkan situs web yang sering dikunjungi oleh korban yang dituju, menyuntikkan kode berbahaya ke situs. Serangan ini dapat menyebabkan kredensibilitas yang dicuri atau pengunduhan ransomware yang tidak disengaja.

‍

Pencegahan dan Perlindungan Rekayasa Sosia

Serangan rekayasa sosial, terutama phishing, tersebar luas dan seringkali efektif. Namun, dengan kewaspadaan dan beberapa langkah proaktif, Anda dapat melindungi diri sendiri. Berikut adalah beberapa tips penting

1. Tetap Waspada dan Terinformasi

• Luangkan Waktu Anda

Penipu sering menciptakan rasa urgensi untuk menekan Anda agar bertindak cepat. Selalu berhenti, pikirkan, dan menilai situasi sebelum bertindak.

• Verifikasi Sumber

Berhati-hatilah dengan pesan yang tidak diminta. Jika email mengklaim berasal dari perusahaan tepercaya, verifikasi informasi secara independen dengan mengunjungi situs web resmi mereka atau menghubungi mereka secara langsung menggunakan detail kontak terverifikasi.

• Hindari Mengklik Tautan Tidak Dikenal

Alih-alih mengklik tautan di email, ketik URL ke browser Anda atau gunakan mesin pencari untuk menemukan situs web yang sah. Arahkan kursor ke tautan untuk melihat URL yang sebenarnya, tetapi ingat, beberapa pemalsuan masih bisa menipu.
Jangan pernah berbagi SMS OTP kode dengan siapa pun yang menelepon atau di obrolan.

• Waspadai Pesan Tak Terduga

Peretas sering membajak akun email untuk menargetkan kontak korban. Bahkan jika email tampaknya berasal dari seseorang yang Anda kenal, verifikasi keasliannya jika tidak terduga atau menyertakan lampiran dan tautan.

2. Lindungi Data dan Perangkat Anda

• Jangan Mengunduh File Mencurigakan

Hanya mengunduh file dari sumber tepercaya. Jika Anda tidak mengharapkan file dari seseorang, hindari mengunduhnya, bahkan jika pengirimnya tampak akrab.

• Abaikan Penawaran Asing

Email tentang memenangkan lotere asing, warisan yang tidak diketahui, atau permintaan untuk mentransfer uang hampir selalu merupakan penipuan.

3. Langkah Praktis untuk Perlindungan

• Hindari Berbagi Informasi Sensitif

Hapus email yang meminta rincian keuangan, kata sandi, atau informasi pribadi. Perusahaan yang sah tidak akan pernah meminta ini melalui email.

• Tolak Bantuan yang Tidak Diminta

Penipu sering berpura-pura menawarkan bantuan, seperti memperbaiki skor kredit atau pembiayaan kembali pinjaman. Jika Anda tidak meminta bantuan, kemungkinan itu adalah penipuan. Demikian pula, berhati-hatilah dengan permintaan amal dan hanya menyumbang kepada organisasi yang telah Anda teliti secara independen.

• Sesuaikan Filter Spam

Sebagian besar program email memiliki filter spam yang dapat memblokir pesan yang mencurigakan. Atur filter Anda ke tinggi tetapi periksa secara berkala pesan teks spam dan folder untuk email sah yang mungkin telah ditandai.

• Amankan Perangkat Anda

Pastikan perangkat Anda dilengkapi dengan perangkat lunak antivirus terbaru, firewall, dan filter email. Aktifkan pembaruan otomatis untuk sistem operasi dan aplikasi Anda. Gunakan alat anti-phishing yang disediakan oleh browser Anda atau layanan pihak ketiga untuk meningkatkan keamanan Anda.

‍

Kesimpulan

Rekayasa sosial mengeksploitasi emosi dan perilaku manusia untuk mendapatkan akses tidak sah ke informasi atau sistem sensitif. Dengan tetap waspada, mempertanyakan permintaan tak terduga dan menerapkan praktik keamanan siber dasar, individu dan organisasi dapat secara signifikan mengurangi risiko mereka. Kesadaran dan pendidikan adalah pertahanan utama terhadap taktik manipulatif ini. Melindungi diri Anda dimulai dengan mengenali tanda-tanda dan tetap selangkah lebih maju dari para scammer.

‍