Social engineering telah menjadi salah satu teknik yang paling banyak digunakan untuk mengeksploitasi kerentanan orang. Ini sering terjadi di lingkungan perusahaan dan bahkan merupakan bentuk utama serangan terhadap perusahaan.
Dikenal sebagai The Art of Deception, social engineering secara langsung terkait dengan keberhasilan teknik yang digunakan untuk serangan virtual yang ditargetkan. Serangan ini bertujuan untuk mengeksploitasi tautan terlemah dalam struktur keamanan, yaitu orang.
Tujuan utamanya adalah untuk mempertahankan kontak dengan individu dalam hal ini, karyawan, untuk mengkompromikan sistem keamanan perusahaan, membawa masalah dengan ancaman beragam yang sangat merugikan.
Untuk mempelajari lebih lanjut tentang social engineering dan dampaknya terhadap lingkungan perusahaan, berikut bahasan ESET.
Social engineering
Konsep social engineering secara langsung terkait dengan persuasi. Ini adalah istilah yang merujuk pada manipulasi psikologis orang untuk melakukan tindakan yang tidak boleh dilakukan sesuai dengan praktik keamanan siber yang baik.
Ini adalah jebakan yang membutuhkan interaksi manusia, yang memungkinkan penjahat siber memiliki akses ke data rahasia perusahaan memanfaatkan sisi psikologis karyawan, menggerogoti secara menyakinkan dan terbukti selalu menuai hasil yang baik.
Social engineering umumnya digunakan untuk tujuan negatif, tetapi juga dapat digunakan sebagai alat pencarian kesalahan. Dengan itu, kesalahan manusia dalam organisasi dapat ditemukan dan cara yang tepat untuk memperbaikinya.
Meskipun memiliki sisi ini, social engineering sering digunakan dengan tujuan negatif dan dapat menyebabkan banyak masalah bagi perusahaan.
Bahaya di Lingkungan Perusahaan
Ada banyak teknik dan serangan siber yang menggunakan social engineering. Oleh karena itu, ESET telah memilih jenis pendekatan utama yang digunakan oleh penjahat yang melakukan social engineering. Simak lebih lanjut!
Phising
Email adalah cara yang paling mudah untuk mendapatkan korban, ini adalah serangan klasik yang mendorong target untuk melakukan klik, dengan tampilan dan isi yang menarik dan persuasif terkait finansial atau bahkan ancaman yang bertujuan membuat takut dan memaksa penggunanya untuk mengambil tindakan tergesa-gesa.
Di perusahaan, variasi utama ancaman ini disebut spear phising. Ini karena penjahat dunia maya mengumpulkan informasi yang sangat spesifik dan obyektif melalui social engineering, selain menargetkan organisasi tertentu dengan tepat. Dengan cara ini, serangannya lebih kecil, tetapi jauh lebih kuat dan invasif.
Pharming
Praktik ini sangat mirip dengan phising. Perbedaan besar adalah bahwa serangan itu terjadi pada situs web yang sah, yang menargetkan lalu lintas untuk beroperasi demi kepentingan peretas. Dengan demikian, adalah mungkin bagi pengguna untuk tanpa sadar menginstal program jahat di mesin mereka sendiri. Seperti phising, pharming mendorong korban untuk terlibat dalam kegiatan yang memiliki konsekuensi buruk bagi organisasi.
Media sosial
Di banyak perusahaan, sudah menjadi hal biasa untuk memberikan akses media sosial untuk penggunaan karyawan. Apakah itu untuk menyelesaikan tugas-tugas yang memenuhi tujuan perusahaan atau sebagai pelarian untuk mengurangi tekanan kehidupan sehari-hari, jejaring sosial sepenuhnya kondusif untuk praktik social engineering.
Dengan obrolan pribadi atau publikasi gratis, karyawan menghadapi risiko didekati oleh penjahat siber dengan tujuan memanipulasi para korban. Dengan demikian, sangat umum untuk memeras informasi rahasia perusahaan sehingga berisiko.
Panggilan telepon
Meskipun bukan salah satu metode yang paling efektif, ini adalah taktik yang sangat tradisional dan salah satu dari banyak kemungkinan social engineering. Hanya dalam satu koneksi, penjahat dapat menjadi mitra, kolaborator atau manajer. Dengan demikian, itu mendorong berbagi data rahasia organisasi melalui percakapan yang sepenuhnya dimanipulasi.
Bagaimana cara melindungi?
Salah satu tips utama untuk melindungi diri dari serangan social engineering adalah memiliki penilaian yang baik. Tetapi karena akal sehat adalah hal yang sangat subyektif dalam dunia korporat, penting bagi analis teknologi untuk menyebarluaskan praktik-praktik yang baik untuk menghindari kejadian seperti ini, seperti:
-
Dorong karyawan untuk tidak mengklik tautan yang mencurigakan
-
Hindari membuka pesan dengan pengirim dari orang asing atau alamat yang tidak dikenal
-
Jangan pernah memberikan informasi kepada orang yang pendekatannya dicurigai
-
Dalam keadaan apa pun, jangan pernah berikan informasi rahasia tentang diri Anda atau organisasi.
Selain praktik yang sangat relevan, profesional teknologi perlu mencari investasi berkala dalam keamanan perusahaan. Banyak perusahaan masih tidak mengikuti parameter keamanan informasi yang memadai dan karenanya menderita banyak jenis ancaman virtual, sama berbahayanya dengan social engineering. Untuk ini, ada banyak solusi dan metode yang disarankan yang sangat cocok dengan lingkungan perusahaan.
-
Gunakan Network Traffic Analysis seperti GREYCORTEX, yang merupakan teknologi andal, yang akan menjamin visibilitas dan keamanan untuk arsitektur jaringan, mampu mampu mendeteksi semua lalu lintas yang masuk ke dalam jaringan baik dari luar ke dalam maupun dari dalam ke luar, sehingga tidak ada satu pun yang lolos dari pengamatannya.
-
Penggunaan ESET Mail Security untuk memfilter pesan jauh sebelum mencapai kotak masuk karyawan. Mail security menutup peluang keberhasilan social engineering melalui strategi phising, serta memastikan keamanan yang lebih besar untuk transaksi email.
Sumber berita:
Blog
