Peretasan Manusia: Social Engineering 101

Manusia dan peranti lunak sebenarnya tidaklah begitu berbeda jika kita berbicara dalam lingkup eksploitasi. Kerentanan dalam perangkat lunak dan orang dapat dimanfaatkan oleh peretas untuk mendapatkan apa yang mereka inginkan. Apabila dalam perangkat lunak umumnya source code yang biasa disalahkan, sementara pada manusia maka sifat manusia yang menjadi sasaran manipulasi psikologis.

Social engineering adalah ancaman luas yang bahkan para profesional TI yang paling berpengalaman sekalipun dapat menjadi korban, itulah sebabnya mengapa penjahat online menggunakan metode rendah teknologi ini dalam serangan mereka. Peretas dapat menggunakan social engineering untuk mengelabui karyawan agar menyerahkan kredensial, data rahasia, atau bahkan uang dalam jumlah besar, sering tanpa menggunakan malware apa pun, meskipun malware sering berjalan beriringan dengan social engineering.

Berikut adalah beberapa hal mengenai social engineering, termasuk taktik umum yang digunakan para penjahat siber dan kiat untuk memastikan untuk tetap waspada dan aman.

Apa itu social engineering?

Social engineering atau ada juga yang menyebutnya sebagai Human Hacking pada dasarnya adalah seni untuk mendapatkan akses ke infrastruktur perusahaan, sistem atau data dengan mengeksploitasi psikologi manusia. Metode ini menggunakan berbagai trik psikologis pada pengguna komputer untuk mendapatkan informasi yang mereka butuhkan untuk mengakses komputer atau jaringan

Social Engineering bertujuan memanipulasi orang sehingga mereka memberikan informasi rahasia. Jenis informasi yang dicari penjahat ini dapat bervariasi, namun bila individu yang menjadi target, mereka biasanya mencoba menipu Anda agar mau memberi mereka kata kunci atau informasi bank, atau mengakses komputer korban untuk menginstal malware dengan diam-diam, yang akan memberi mereka akses ke password dan informasi bank serta memberi mereka kontrol atas komputer korban.

Social engineering memanfaatkan perilaku manusia untuk melakukan penipuan. Ibarat kata kita ingin masuk ke dalam sebuah gedung, tidak perlu lagi kuatir untuk menyiapkan kartu identitas atau kartu pass untuk melewati sistem keamanan, cukup dengan meminta seseorang untuk membantu masuk ke dalam. Jika sudah begini, sehebat apa pun sistem keamanan yang dibangun, firewall dan solusi keamanan jadi tidak berguna, semua akan sia-sia jika pengguna Anda tertipu untuk mengeklik tautan jahat yang mereka pikir berasal dari teman Facebook atau koneksi LinkedIn.

Bagaimana cara kerja social engineering?

Offline. Kita akan melihat beberapa aktivitas offline yang digunakan oleh penjahat untuk melakukan social engineering.

• Penetration Testing

Peretas offline menggunakan metode social engineering yang dikenal sebagai pengujian penetrasi atau pentest. Pengujian penetrasi melibatkan evaluasi sistem komputer atau jaringan untuk mencari kerentanan dalam sistem untuk tujuan mengeksploitasinya. Untuk mendapatkan akses ke sistem sehingga pentest dapat dilakukan, peretas meninggalkan kunci USB di area publik sehingga orang-orang akan mengambilnya dan memasukkannya ke PC kantor atau mereka mengirim CD kepada pekerja di sebuah perusahaan sehingga mereka akan memasukkannya ke dalam PC di jaringan.

• Eksploitasi VoIP

VoIP berarti Voice over Internet Protocol dan melibatkan penggunaan telepon. Peretas mengeksploitasi VoIP dengan meninggalkan pesan suara phishing yang memberi tahu penerima bahwa ada masalah dengan rekening bank mereka. Peretas kemudian meninggalkan nomer untuk dihubungi untuk mencoba dan mengelabui penerima agar menggunakan nomor tersebut untuk memperoleh informasi rekening bank.

• Bandit Sign

Metode social engineering offline lainnya meninggalkan iklan di berbagai tempat dan area umum lainnya yang menarik pembaca untuk masuk ke situs web jahat. URL situs web akan nampak sah melalui iklan yang terlihat otentik untuk tujuan amal atau hal lain yang terkait.

Online. Berikut beberapa cara peretas melakukan metode social engineering secara online.

• Instalasi Malware: Pelaku soccial engineering menginstal malware melalui semua hal mulai dari ActiveX Control hingga email dan situs web. Beberapa malware dirancang untuk mencerminkan situs web lain sehingga ketika Anda mengetik dalam pencarian akan muncul situs web yang terlihat seperti situs web biasa yang Anda kunjungi hanya saja situs ini palsu dan menipu dengan tujuan agar pengguna memasukkan informasi ke dalam situs yang dianggap sah.

• Serangan yang Ditargetkan: Dengan serangan yang ditargetkan, peretas secara khusus mengaitkan intrusi tersebut sehingga serangan diarahkan kepada pengguna secara pribadi. Contohnya termasuk email yang dialamatkan secara pribadi, email yang disamarkan berasal dari sumber yang sah, dan pesan jejaring sosial yang memiliki informasi yang dicuri dari situs resume sehingga informasi dalam pesan tersebut langsung ditargetkan pada penerima.

• Email Hoax: Social engineering dapat dilakukan melalui pesan email yang menyatakan penerimanya memenangkan lotre atau menjanjikan pengembalian investasi yang tinggi jika berkontribusi dengan sejumlah uang untuk proyek tertentu. Padahal ini adalah penipuan untuk membuat pengguna mengungkapkan informasi pribadi mereka dan mencuri uang mereka untuk keuntungan finansial dari pihak peretas.

Tipe serangan social engineering?

1. Berbasis manusia, Social engineering berbasis manusia membutuhkan interaksi dengan manusia. Ini artinya kontak langsung antara orang ke orang dan kemudian mengambil informasi yang diinginkan. Dalam dunia kejahatan siber, teknik social engineering berbasis manusia menggunakan beberapa cara, sebagai berikut.

• Peniruan Identitas. Dalam jenis serangan ini, peretas berpura-pura menjadi karyawan atau pengguna yang sah di sistem. Seorang peretas dapat memperoleh akses fisik dengan berpura-pura menjadi petugas kebersihan, karyawan, atau kontraktor.

• Menyamar sebagai orang penting. Dalam jenis serangan ini, peretas berpura-pura menjadi VIP atau manajer papan atas yang memiliki wewenang untuk menggunakan sistem atau file komputer. Dalam banyak kasus, karyawan tingkat rendah tidak mengajukan pertanyaan apa pun kepada seseorang yang muncul di posisi ini.

• Menjadi pihak ketiga. Melalui trik ini peretas berpura-pura mendapat izin dari orang yang berwenang untuk menggunakan sistem komputer. Ia bekerja ketika orang yang berwenang tersebut tidak berada di tempat dalam jangka waktu tertentu.

• Desktop support. Memanggil technical support untuk bantuan adalah teknik social engineering klasik. Technical support dilatih untuk membantu pengguna, yang menjadikan mereka mangsa mudah untuk serangan rekayasa sosial.

• Shoulder surfing. Merupakan teknik mengumpulkan kata sandi dengan mencuri data secara diam-diam dari belakang saat seseorang mencoba masuk ke sistem. Seorang peretas dapat melihat pengguna yang valid masuk dan kemudian menggunakan kata sandi itu untuk mendapatkan akses ke sistem.

• Dumpster diving. Mencuri data dari sampah, cara ini adalah mencoba mencari informasi atau data yang penting dari tempat sampah untuk memperoleh informasi yang ditulis pada potongan kertas atau cetakan komputer. Peretas sering dapat menemukan kata sandi, nama file, atau potongan informasi rahasia lainnya.

2. Berbasis komputer, Teknik social engineering berbasis komputer menggunakan perangkat lunak komputer untuk mengambil informasi yang diinginkan.

• Phishing

Phishing melibatkan email palsu, chat, atau situs web yang dirancang untuk meniru situs aslinya dengan tujuan memperoleh data sensitif. Sebuah pesan mungkin datang dari bank atau lembaga terkenal lainnya dengan kebutuhan untuk “memverifikasi” informasi login Anda. Ini biasanya akan menjadi halaman masuk yang dibuat sedemikian rupa dengan semua kelengkapan seperti logo yang terlihat sah.

• Umpan

Umpan melibatkan sesuatu yang Anda inginkan untuk memikat Anda agar mengambil tindakan yang diinginkan si penjahat. Hal ini bisa dalam bentuk mengunduh musik atau film di situs peer-to-peer atau dapat berupa USB flash drive dengan logo perusahaan dengan label yang menarik perhatian, yang ditinggalkan di tempat terbuka untuk Anda temukan. Kemudian, setelah perangkat digunakan atau diunduh, orang atau komputer perusahaan terinfeksi oleh malware yang memungkinkan penjahat untuk masuk ke sistem Anda.

• Penipuan online

Email yang dikirim oleh scammer mungkin memiliki lampiran yang menyertakan kode berbahaya di dalam lampiran. Lampiran tersebut dapat menyertakan keylogger untuk menyadap kata sandi, atau bisa berupa virus, Trojan, atau worm. Terkadang jendela pop-up juga dapat digunakan dalam serangan social engineering. Jendela pop-up yang mengiklankan penawaran khusus dapat menggoda pengguna agar secara tidak sengaja memasang malware berbahaya.

• Spear phising

Spear phising seperti phising, namun disesuaikan untuk individu atau organisasi tertentu.

• Pretexting

adalah ketika satu pihak berbohong kepada orang lain untuk mendapatkan akses ke data istimewa. Misalnya, tipuan pretexting bisa melibatkan pelaku yang berpura-pura membutuhkan data pribadi atau keuangan untuk mengkonfirmasi identitas penerima.

• Scareware

Scareware melibatkan trik untuk menipu korban agar mengira komputernya terinfeksi malware atau secara tidak sengaja mengunduh konten ilegal. Pelaku kemudian menawarkan solusi kepada korban untuk memperbaiki masalah palsu tersebut; Pada kenyataannya, korban hanya tertipu untuk mengunduh dan menginstal malware pelaku.

Bagaimana mencegah social engineering?

Social engineering memanipulasi perasaan manusia, seperti rasa ingin tahu atau takut, untuk menjalankan skenario yang diingini pelaku dan menarik korban ke dalam perangkap mereka. Oleh karena itu, waspada setiap kali merasa khawatir dengan email, tertarik dengan tawaran yang ditampilkan di situs web, atau ketika menemukan media digital yang terbengkalai. Menjadi waspada dapat membantu melindungi diri dari sebagian besar serangan social engineering yang terjadi di dunia digital.

• Jangan buka email dan lampiran dari sumber yang mencurigakan. Jika tidak tahu siapa pengirimnya, tidak perlu menjawab email. Bahkan jika memang mengenal mereka dan curiga tentang pesan mereka, periksa silang dan konfirmasi berita dari sumber lain, seperti melalui telepon atau langsung dari situs penyedia layanan. Ingat bahwa alamat email dipalsukan sepanjang waktu, bahkan sebuah email yang konon berasal dari sumber tepercaya mungkin sebenarnya telah diprakarsai oleh pelaku.

• Tandai situs tepercaya dan jangan percaya situs yang pernah Anda kunjungi secara langsung.

• Gunakan otentikasi dua faktor – Salah satu bagian paling berharga dari penyerang informasi adalah kredensial pengguna. Menggunakan otentikasi dua faktor membantu memastikan perlindungan akun pengguna jika terjadi kompromi sistem. Secure Authentication yang mudah digunakan yang dapat meningkatkan keamanan akun untuk aplikasi pengguna.

• Berhati-hatilah terhadap tawaran yang menggiurkan. Jika tawaran terdengar terlalu menarik, pikirkan dua kali sebelum menyakininya. Melakukan googling terhadap topik yang ditawarkan dapat membantu menentukan dengan cepat apakah sedang berurusan dengan penawaran sah atau jebakan.

• Berinvestasi dalam solusi keamanan yang efektif, super ringan sangat penting untuk melindungi sistem dan data dari semua jenis ancaman.

• Terus update perangkat lunak antivirus/antimalware. Pastikan Update otomatis diaktifkan. Secara berkala periksa untuk memastikan bahwa pembaruan telah diterapkan, dan pindai sistem untuk kemungkinan infeksi.

• Edukasi. Program kesadaran dan pelatihan keamanan internal, program harus mempertimbangkan semua faktor yang mempengaruhi perusahaan serta faktor perilaku dan kepribadian. Semua harus direncanakan, dirancang, diimplementasikan dan diukur. Hal ini harus dibiasakan dalam perusahaan sampai menjadi bagian dari budaya perusahaan.