Membongkar Cara Kerja Peretasan Psikologis

Membongkar Cara Kerja Peretasan Psikologis – Kita tahu risiko penipuan online, tapi mengapa kita masih saja jatuh ke dalamnya?

Di dunia siber, pintu masuk termudah bagi penjahat bukanlah celah pada software atau sistem komputer, melainkan manusia itu sendiri.

Inilah inti dari Social Engineering, atau yang sering disebut rekayasa sosial seni memanipulasi psikologi manusia untuk mendapatkan informasi rahasia.

Dalam episode podcast Unlocked 403 dari ESET, Software Engineer Alena Košinárová (ESET) menjelaskan bagaimana para penyerang menggunakan trik psikologis.

Dan bahkan menunjukkan secara langsung betapa mudahnya ia mengorek informasi pribadi host podcast, Becks, hanya dari data yang tersedia secara publik.

Kasus Keajaiban yang Mencegah Kerugian Jutaan

Social engineering semakin canggih. Alena membuka episode dengan sebuah kisah: pada akhir tahun 2024, CEO sebuah startup keamanan cloud senilai $12 juta menjadi sasaran penipuan suara deepfake (suara kloningan AI).

Para peretas mengirim pesan suara yang sangat meyakinkan kepada karyawan, meminta kredensial login mereka. Namun, penyerangan itu gagal total.

Mengapa? Peretas lupa satu detail kecil: suara publik CEO berbeda dari nada bicara sehari-hari saat mengobrol. Perbedaan ini menimbulkan kecurigaan, dan pembobolan pun berhasil dicegah.

Taktik Penipuan Paling Umum

Alena, yang memang tertarik pada psikologi, menjelaskan bahwa social engineering adalah manipulasi murni. Para penjahat menargetkan sisi emosional dan psikologis kita, seperti:

• Rasa Kasihan (Compassion): Dieksploitasi dalam penipuan yang melibatkan penyakit atau masalah keluarga.
• Kesepian (Loneliness) atau Kebutuhan Koneksi: Dieksploitasi dalam Romance Scams.
• Ketakutan (Fear): Dieksploitasi dalam penipuan yang mengancam (seperti Sextortion).
• Ego: Peretas membuat target merasa penting atau diberi kesempatan emas yang tak terulang.

Peretas pada dasarnya ingin tahu apa yang akan Anda lakukan, dan memaksa Anda melakukan apa yang mereka inginkan.

Taktik Penipuan Paling Umum

Serangan social engineering tidak hanya terjadi secara online, tetapi juga offline.

1. Penipuan Daring (Online Scams)

Taktik

Cara Kerja & Pemanfaatan Emosi

Phishing/Smishing     Romance Scams     Sextortion

Upaya mendapatkan kredensial atau uang. Contoh yang sangat umum adalah penipuan “Ma, aku dalam masalah, butuh bantuan!” melalui SMS (Smishing), yang menekan rasa kasih sayang dan ketakutan orang tua. Peretas pura-pura tertarik dan membangun hubungan romantis, lalu meminta uang karena alasan mendesak (seperti tentara yang butuh biaya pulang atau keluarga yang sakit). Penipuan ini berkembang pesat selama pandemi karena banyak orang merasa kesepian. Peretas mengklaim telah meretas komputer Anda, menyalakan webcam, dan merekam Anda saat menonton konten intim. Mereka meminta uang tebusan (ransom) yang tidak terlalu besar (beberapa ratus hingga seribu dolar) karena mengandalkan rasa malu dan bersalah korban.

2. Serangan Fisik (Offline Social Engineering)

Social engineering juga bisa terjadi di dunia nyata, sering kali untuk mendapatkan akses fisik:

• Mengekor (Tailgating): Berpura-pura sebagai karyawan atau orang yang berhak masuk, lalu mengekor (ikut masuk) di belakang karyawan sah yang memegang lencana akses.
• Perangkat Berisi Malware: Meninggalkan USB drive di tempat parkir dengan judul yang menarik, atau menawarkan vape gratis yang tidak diisi daya, sehingga orang mencolokkannya ke komputer kerja untuk mengisi daya dan secara tidak sengaja menginfeksi jaringan.

Sinyal Bahaya (Red Flags) yang Wajib Anda Ketahui

Meskipun teknologi keamanan dapat membantu memfilter, keputusan akhir untuk berinteraksi atau mengeklik ada di tangan Anda. Berikut adalah lima tips utama untuk menjaga diri dari social engineering:

1. Baik itu penawaran pekerjaan sempurna di LinkedIn, diskon besar di toko online yang tidak dikenal, atau janji romantis yang instan.
2. Jangan langsung memercayai orang asing yang terus mengklaim Anda harus memercayai mereka kepercayaan harus diperoleh.
3. Jika seseorang menghubungi Anda melalui messenger dalam keadaan panik (misalnya, meminta transfer uang), segera hubungi mereka kembali melalui jalur komunikasi berbeda (telepon/panggilan suara) untuk memastikan Anda berbicara dengan orang yang asli.
4. Jika seseorang mengirim email yang mengklaim telah meretas komputer Anda tetapi hanya meminta uang tebusan kecil, hampir pasti mereka berbohong. Jika mereka benar-benar meretas, mereka akan langsung melakukan serangan yang lebih menguntungkan (seperti ransomware).
5. Jangan merasa bersalah atau malu jika Anda ditipu. Ini adalah perbuatan orang jahat. Segera minta bantuan dari orang yang Anda percaya atau pihak berwenang. Selain itu, pastikan Anda menggunakan solusi keamanan yang baik sebagai pertahanan dasar.

Sumber berita:

WeLiveSecurity