Orang percaya saat teknologi terus maju dan berkembang, dalam berbagai aspek keamanan siber akan meningkat dan sumber daya tersebut sebagian besar didasarkan pada kontrol teknis dan algoritma pemrograman.
Sementara aspek teknis keamanan sangat penting, ada satu kelemahan yang tidak dapat diatasi melalui teknologi. Kerentanan itu khusus untuk elemen tertentu yang tak terhindarkan dan penting dalam operasi sehari-hari perusahaan mana pun. Komponen vital ini adalah karyawan/manusia, yang rentan terhadap serangan social engineering, yang jelas-jelas berkarakter low-tech.
Dalam hal keamanan komputer dan jaringan, istilah “social engineering” telah ada setidaknya sejak tahun 1995. Namun, di bidang keamanan informasi, rekayasa sosial didefinisikan sebagai “kegiatan menggunakan taktik psikologis untuk membujuk seseorang untuk menyerahkan apa yang mereka miliki atas kemauannya sendiri”
Orang akan selalu dianggap sebagai salah satu mata rantai dalam rantai keamanan karena mereka terlibat dalam pengelolaan dan penggunaan jaringan komputer mana pun. Untuk alasan sederhana bahwa orang mudah dimanipulasi, titik ini akan selalu menjadi yang terlemah. Hal ini disebabkan karena emosi seringkali lebih diutamakan daripada komitmen apa pun terhadap penalaran yang mungkin kita miliki.
Sementara serangan social engineering dapat dilakukan hanya dengan sedikit keahlian khusus di pihak pelaku karena serangan tersebut tidak bergantung pada kontrol teknologi dalam sistem yang digunakan.
Untuk mencuri informasi penting melalui diskusi dengan seorang karyawan, Anda tidak memerlukan pengetahuan pemrograman komputer atau pemahaman mendalam tentang topologi jaringan yang mendasarinya.
Kategori social engineering
Dalam social engineering dapat dikategorikan menjadi dua bagian yakni Hunting dan Farming, keduanya yang mendasari serangan social pada umumnya.
1. Hunting
Metode ini bertujuan untuk melakukan operasi social engineering dengan jumlah keterlibatan paling sedikit dengan target. Komunikasi kemungkinan akan berakhir setelah tujuan yang diinginkan terpenuhi dan pelanggaran keamanan ditemukan. Ini adalah cara paling umum untuk mendukung serangan siber, dan biasanya hanya mencakup satu kontak.
2. Farming
Meskipun farming social engineering tidak umum digunakan, mungkin berguna dalam beberapa situasi. Pelaku ingin membangun ikatan dengan korban sehingga dia dapat mengekstrak informasi untuk waktu yang lebih lama. Kontak mungkin berkembang selama proses, target mungkin mengetahui kebenarannya, dan pelaku kemudian akan mencoba menyuap atau memeras target, kembali ke perilaku kriminal yang khas.
Fase
Operasi rekayasa sosial dapat bervariasi dari satu pertemuan hingga serangkaian operasi, kadang-kadang termasuk banyak pelaku ancaman yang bertujuan mengumpulkan sedikit informasi yang relevan dari berbagai sumber untuk mencapai tujuan tertentu. Meskipun serangan didasarkan pada satu pertemuan, biasanya mengikuti proses empat langkah: penelitian, riset, menjalin hubungan, games, dan exit.
1. Riset
Operasi biasanya dimulai dengan fase pengintaian, di mana tim mempelajari dan mengumpulkan informasi sebanyak mungkin tentang target dan strategi bisnis. Alih-alih meluncurkan serangan terfokus, pelaku yang terampil dapat mengambil keuntungan dari interaksi, menghasilkan peluang baru tanpa penelitian sebelumnya.
2. Menjalin hubungan
Pelaku social engineering memulai komunikasi dengan calon korban pada fase ini. Dia melibatkan target, menceritakan sebuah kisah, membangun kedekatan, dan mengambil alih komando pertunangan.
3. Games
Tujuan permainan adalah untuk mencapai tujuan serangan, yang mungkin untuk mencuri data atau mengubah target untuk menembus sistem.
4. Exit
Akhirnya, hubungan korban dengan pelaku selesai, idealnya tanpa menimbulkan kecurigaan. pelaku biasanya cukup sulit untuk dilacak setelah tahap terakhir ini.
Serangan Model Spiral
Model ini menunjukkan bahwa seiring berjalannya proses, risiko terhadap target dan aktor ancaman meningkat, meskipun faktanya mereka hadir di seluruh operasi. Akibatnya, kompleksitas serangan meningkat. Sehingga pelaku sering mempertimbangkan penilaian risiko di setiap tahap.
Tipe
Serangan social engineering terjadi dalam berbagai bentuk dan ukuran, dan mereka dapat dilakukan di mana pun ada interaksi manusia. Lima jenis serangan social engineering digital yang paling populer tercantum di bawah ini:
1. Baiting atau umpan – Serangan umpan, menggunakan janji palsu untuk memicu ketamakan atau minat korban. Mereka menipu konsumen agar jatuh ke dalam jebakan karena keserakahan dirinya.
Informasi dicuri atau komputer mereka terinfeksi malware. Media fisik digunakan untuk menyebarkan malware sebagai media umpan. Misalnya, pelaku dapat menempatkan umpan flash drive yang biasanya terinfeksi malware yang diatur sedemikian rupa di mana calon korban cenderung menemukannya.
Target mengambil umpan karena penasaran dan menempatkannya di komputer kantor atau rumah, menyebabkan malware diinstal secara otomatis. Umpan terjadi secara online dalam bentuk iklan menarik yang mengarahkan pemirsa ke situs web berbahaya atau membujuk mereka untuk mengunduh aplikasi yang terinfeksi malware.
2. Scareware – Para korban dari scareware diserang dengan peringatan palsu dan ancaman palsu. Pengguna ditipu untuk percaya bahwa sistem mereka terinfeksi malware, mendorong mereka untuk menginstal perangkat lunak yang tujuannya tentu saja untuk menguntungkan pelaku, software tersebut disusupi dengan malware.
Perangkat lunak penipuan, perangkat lunak pemindaian jahat, dan perangkat penipuan adalah semua istilah yang digunakan untuk menakut-nakuti. Iklan popup yang tampak sah yang ditampilkan di browser saat Anda menelusuri web, menampilkan frasa seperti “Komputer Anda mungkin terinfeksi aplikasi spyware jahat”, adalah contoh menakut-nakuti yang paling populer.
Kemudian mereka mulai menawarkan untuk menginstal utilitas untuk Anda yang sering dipenuhi malware atau mengarahkan ke situs web berbahaya tempat PC Anda terinfeksi. Scareware juga disebarkan melalui email spam, yang mengirimkan peringatan palsu atau mendorong orang untuk mendapatkan layanan yang tidak berguna/berbahaya.
3. Pretexting – Seorang pelaku mengumpulkan informasi dengan menceritakan serangkaian kebohongan yang dibangun dengan baik. Pelaku dapat memulai penipuan dengan mengaku membutuhkan informasi sensitif dari korban untuk menyelesaikan tugas penting. Pelaku sering kali memulai dengan menyamar sebagai rekan kerja, polisi, bank dan otoritas pajak, atau orang lain dengan otoritas hak untuk mengetahui untuk mendapatkan kepercayaan dari korbannya.
Pretexter mengajukan pertanyaan yang tampaknya dimaksudkan untuk memvalidasi identifikasi korban, tetapi benar-benar digunakan untuk mendapatkan informasi pribadi yang sensitif. Penipuan ini mengumpulkan berbagai data dan catatan sensitif, termasuk nomor identitas, alamat pribadi dan nomor telepon, catatan telepon, tanggal liburan karyawan, catatan bank, dan bahkan informasi keamanan tentang pabrik fisik.
4. Phising – Penipuan phising, yaitu kampanye email dan pesan teks yang bertujuan untuk menanamkan rasa mendesak, rasa ingin tahu, atau teror pada korban, adalah salah satu jenis serangan sosial engineering yang paling umum.
Ini bertujuan untuk menekan orang agar mengungkapkan informasi pribadi, mengunjungi situs web palsu, atau membuka lampiran yang terinfeksi malware. Email yang dikirim ke pelanggan layanan online yang memberi tahu mereka tentang pelanggaran kebijakan yang memerlukan tindakan segera dari pihak mereka, seperti perubahan kata sandi yang diperlukan, adalah contohnya.
Atau berisi tautan ke situs web terlarang yang terlihat hampir identik dengan versi resmi dan meminta pengguna yang tidak waspada untuk memasukkan kredensial mereka saat ini dan kata sandi baru. Informasi dikirimkan ke pelaku saat formulir dikirimkan. Karena upaya phising mengirim pesan serupa atau hampir serupa ke semua pengguna, server email dengan akses ke sistem berbagi ancaman lebih mudah mengidentifikasi dan menghentikannya.
5. Spear phising – Ini adalah variasi yang lebih terfokus dari penipuan phising, di mana pelaku menargetkan orang atau bisnis tertentu. Mereka kemudian mempersonalisasi komunikasi mereka tergantung pada sifat, jabatan, dan kontak korban mereka untuk membuat serangan mereka kurang jelas.
Spear phising membutuhkan banyak pekerjaan dari pihak pelaku dan mungkin membutuhkan waktu berminggu-minggu atau berbulan-bulan untuk menyelesaikannya. Mereka secara signifikan lebih sulit untuk dideteksi, dan jika dilakukan dengan benar, mereka memiliki tingkat keberhasilan yang lebih tinggi.
6. Whaling – Teknik phishng lain yang ditargetkan menggunakan teknik whaling. Alih-alih menargetkan pengguna biasa, pelaku membidik target profil lebih tinggi seperti CEO dan CFO dalam menjalankan serangannya. Whaling sendiri seperti dari namanya adalah praktik mengejar “ikan besar” di perusahaan.
7. Quid Pro Quo – Quid pro quo (Latin untuk “sesuatu untuk sesuatu”) adalah semacam teknik social engineering di mana pelaku berusaha untuk bertukar informasi untuk layanan. Pelaku menghubungi jalur utama perusahaan dan mengaku berasal dari departemen TI, berharap untuk menghubungi seseorang yang mengalami kesulitan teknis.