Sebagaian besar pengguna komputer seperti karyawan/karyawati perusahaan tidak mengetahui bahwa penjahat siber menggunakan cara licik untuk memperdaya mereka dengan malware, atau social engineering. Serangan siber masih dominan menggunakan email yang di dalamnya berisi pesan yang penuh sugesti atau ancaman, metode ini biasa disebut dengan social engineering.
Social Engineering adalah seni memanipulasi orang sehingga mereka memberikan informasi rahasia. Jenis informasi yang dicari penjahat ini dapat bervariasi, namun bila individu yang menjadi target, mereka biasanya mencoba menipu Anda agar memberi mereka kata kunci atau informasi bank, atau mengakses komputer korban untuk menginstal malware dengan diam-diam, yang akan memberi mereka akses ke password dan informasi bank serta memberi mereka kontrol atas komputer korban.
Jenis Serangan Social Engineering
Ada berbagai macam tipe serangan social engineering yang sering digunakan untuk mengelabui korban, berikut adalah jenis tipuan tersebut:
-
Baiting atau umpan adalah saat pelaku meninggalkan perangkat fisik yang terinfeksi malware, seperti flash drive USB di tempat yang pasti ditemukan. Penemu kemudian mengambil perangkat dan memasukkannya ke komputernya, dan tanpa sengaja menginstal malware.
-
Phishing: Phishing adalah saat penjahat digital mengirim email palsu yang disamarkan sebagai email yang sah, yang seringkali dianggap berasal dari sumber terpercaya. Pesan tersebut dimaksudkan untuk mengelabui penerima agar berbagi informasi pribadi atau keuangan atau mengklik link yang menginstal malware.
-
Spear phishing: Spear phishing seperti phishing, namun disesuaikan untuk individu atau organisasi tertentu.
-
Pretexting adalah ketika satu pihak berbohong kepada orang lain untuk mendapatkan akses ke data istimewa. Misalnya, tipuan pretexting bisa melibatkan pelaku yang berpura-pura membutuhkan data pribadi atau keuangan untuk mengkonfirmasi identitas penerima.
-
Scareware melibatkan trik untuk menipu korban agar mengira komputernya terinfeksi malware atau secara tidak sengaja mengunduh konten ilegal. Pelaku kemudian menawarkan solusi kepada korban untuk memperbaiki masalah palsu tersebut; Pada kenyataannya, korban hanya tertipu untuk mengunduh dan menginstal malware pelaku.
Di dunia digital trik ini dapat berkembang lebih luas menjadi beberapa metode serangan social engineering yang sangat samar untuk terlihat dan tanpa disadari pengguna komputer sudah menjadi korbannya, berikut penjabaran lebih lanjut:
Vishing
Pengguna kadang begitu fokus mencari email palsu sehingga banyak yang lupa peretas seringkali memilih trik lain yang tak terduga seperti melalui panggilan telepon, atau biasa disebut Vishing Calls. Dalam beberapa panggilan telepon ini, penipu seringkali menyamar sebagai teknisi Microsoft dan meminta pengguna untuk memberi mereka kredensial dan/atau kartu kredit mereka. Jangan pernah terjebak dengan cara ini karena tidak mungkin Microsoft tiba-tiba menelepon menanyakan komputer. Jika Anda menerima panggilan dari Teknisi Microsoft palsu, laporkan: https://www.microsoft.com/en-us/reportascam/.
Gunakan SEO untuk Menipu Pengguna Web
Apakah Anda memiliki printer atau scanner lama yang membutuhkan driver? Hati-hati, karena hanya dengan bermodal uang dalam jumlah kecil, pelaku bisa menggunakan taktik pemasaran untuk menglihkan lalu lintas mesin pencari ke driver palsu yang menginfeksi komputer Anda. Misalnya, berdasarkan penelusuran pencarian driver, tanpa disadari bisa membawa ke situs web yang terlihat seperti ofisial atau resmi, namun ternyata berfungsi sebagai penginfeksi malware. Mereka tidak perlu mengeluarkan banyak uang untuk membangun situs web dan membeli istilah pencarian Internet utama untuk menarik korban yang tidak menaruh curiga.
Situs Phishing Bisa Jadi HTTPS
Seperti menjadi kebijaksanaan konvensional bahwa SSl pada situs HTTPS merupakan jaminan keamanan pada sebuah situs. Namun, sayangnya penjahat siber memanfaatkan ini untuk menipu pengguna komputer, mereka tahu mendapatkan sertifikat SSL yang valid tidak mudah, tetapi dengan adanya letsencrypt.org yang memberikan sertifikat SSL gratis.
Pengguna tidak dapat menganggap situs aman hanya karena HTTPS. Untuk laman perbankan penting dan halaman log lainnya, mereka harus mencari bar hijau yang berarti situs tersebut tidak hanya menggunakan HTTPS, namun menggunakan sertifikat SSL Validasi Extended (EV-SSL), yang orang jahat tidak dapat memperolehnya secara gratis .
Situs Tipuan Penuh dengan Malware
Orang-orang menjelajah web dengan bebas dan tidak selalu memperhatikanbahwa peretas bisa mendaftarkan nama domain dari situs yang sah seperti PayPal atau eBay dan membuat mereka terlihat hampir 99 persen mirip dengan aslinya. Penipu pintar menyembunyikan malware di laman ini dan juga menyembunyikan karakter bahasa asing yang tidak mudah terlihat dengan mata telanjang kecuali.
Executable Tersamar
Sebenarnya teknik ini sudah sering digunakan di dunia maya, dan tidak asing untuk sebagian orang. Lain ceritanya jika pengguna komputer baru atau mereka yang jarang mengikuti perkembangan dunia siber mereka akan mudah tertipu dengan trik ini. Apa yang terjadi adalah file akan terlihat seperti ini: gambar.exe.jpg, pada dasarnya adalah file jpg biasa. Namun kenyataannya, dengan menggunakan Unicode, sebuah sistem terjemahan internasional, file tersebut sebenarnya adalah sebuah executable bernama validate.jpg.exe. Pengguna kemudian tanpa sadar meluncurkan malware, menginfeksi komputernya sendiri.
Situs Porno dan Foto Telanjang
Untuk umpan ini, targetnya biasanya adalah pria kesepian. Seorang penipu mengirimkan gambar telanjang seorang wanita yang menarik korban untuk mengirim kembali foto telanjang dirinya. Jika pria emmakan umpan, si penipu kemudian mengirimkan kembali ancaman tebusan, dengan mengatakan bahwa mereka akan mengekposkan foto di Facebook atau media sosial lainnya kecuali jika membayar uang tebusan.
Jenis kejahatan ini rendah teknologi, penipu bahkan tidak perlu menulis kode atau membuat situs web. Yang harus mereka lakukan hanyalah memiliki gambar wanita telanjang. Dalam penipuan seks lain, pengguna mendapatkan kiriman situs porno saat bekerja yang mengatakan bahwa ia berlangganan. Untuk berhenti berlangganan, mereka meminta alamat email kerja dan kata sandi. Jika umpan ini berhasil ditelan mentah-mentah, maka ia telah memberikan kunci masuk ke dalam sistem perusahaan.
Tipuan Sederhana Ransomware
Untuk melakukan ini, pelaku mengirim email kepada pengguna bahwa file mereka telah diretas dan bahwa peretas mendapatkan akses ke akun perusahaan. Tentu saja, ini adalah gertakan yang sempurna, tapi biasanya para peretas meminta Bitcoin senilai $300 (USD). Pengguna yang khawatir membayar uang tebusan karena ketakutan jika sistem perusahaan sudah dikuasai peretas dan untuk menghindari bencana maka ia membayarnya. Dalam kasus ini, semua yang dibutuhkan oleh peretas adalah alamat email dan mereka dapat menghasilkan uang dengan cepat.
Phishing Email via DropBox, Box atau OneDrive
Pernahkah Anda mencoba melampirkan file ke email tapi diberi tahu bahwa file itu terlalu besar? Orang telah terbiasa berbagi file dokumen dan video yang lebih besar melalui Dropbox, Box atau OneDrive. Dalam iming-iming ini, pelaku akan mengirimkan email kepada korban yang terlihat seperti dari rekan kerja atau supervisor dan meminta mereka untuk melihat dokumen tersebut, mungkin dari proyek yang sedang berjalan. Dengan menggunakan metode ini, pelaku dapat menghindari perlindungan keamanan email dan membiarkan korban membuka malware yang diinstall di situs berbagi file.
Akses Admin
Para profesional keamanan tahu bahwa penjahat online memiliki banyak cara untuk memanfaatkan setiap celah untuk mencapai target mereka, namun pengguna seringkali tidak selalu menyadari bahwa mereka akan diserang melalui orang lain di perusahaan.
Peretas berupaya mencuri akses ke basis data, mereka akan mengincar karyawan biasa kemudian dari komputer ini mengirim pesan ke admin jika salah satu aplikasi dalam komputer mereka telah dinonaktifkan. Ketika admin menolong, peretas kemudian mencuri kredensial admin di-cache, yang memberinya akses ke jaringan perusahaan.
Perangkat Lunak Kata Sandi
Pelaku memiliki perangkat lunak otomatis yang memeriksa kata sandi untuk setiap kata dalam kamus, jadi gunakan kata atau nama apapun dalam kata sandi mengurangi keamanan. Ini bukan masalah dapat ditebak atau tidak dapat ditebak, pengguna perlu memfokuskan kata sandi mereka pada huruf dan angka yang tidak masuk akal dan tidak akan ditemukan di kamus atau buku telepon apa pun.
