Persamaan COVID-19 & Social Engineering Penyakit Menular Beda Dunia

Dampak Social engineering diperkirakan akan terus memburuk dengan meningkatnya ketergantungan masyarakat pada teknologi dan semakin banyaknya orang yang terpaksa bekerja dari rumah.

Pelacakan kontak, supersebar, perataan kurva, konsep-konsep yang di masa lalu adalah domain para ahli kesehatan masyarakat sekarang akrab bagi orang-orang di seluruh dunia. Istilah-istilah ini juga membantu kita memahami virus lain, yang endemik di dunia maya: social engineering yang datang dalam bentuk operasi spear phishing, pretexting, dan fake news.

Segera setelah coronavirus mulai menyebar, laporan berita memperingatkan pengguna tentang serangan social engineering yang mempromosikan obat palsu dan aplikasi pelacakan kontak. Ini bukan kebetulan. Bahkan, ada sejumlah persamaan antara penularan COVID-19 pada manusia dan wabah social engineering:

1. Sama seperti transmisi virus Corona dari orang ke orang melalui droplet, social engineering juga berpindah dari pengguna melalui perangkat komputasi yang terinfeksi ke pengguna lain.

Layaknya orang yang terinfeksi COVID-19, karena kedekatan fisik dengan banyak orang lain menyebabkannya sebagai super sebar, sama persis dengan beberapa pengguna teknologi antagonis yang bertindak dengan cara yang sama melalui social engineering.

Hal ini cenderung terjadi pada orang-orang dengan banyak teman virtual atau mereka yang berlangganan banyak layanan online yang akibatnya sulit membedakan pemberitahuan atau komunikasi nyata dari salah satu teman atau layanan kamuflase/palsu. Pengguna tersebut adalah target utama bagi para peretas yang mencari korban yang dapat memberikan pijakan ke jaringan komputasi perusahaan.

2. Sebagian besar orang yang terinfeksi virus corona ini memiliki gejala ringan hingga sedang. Hal yang sama terjadi pada sebagian besar korban social engineering karena peretas biasanya mengintai tanpa terlihat saat mereka melakukan perjalanan melalui jaringan perusahaan. Mereka sering tidak terdeteksi selama berbulan-bulan, tidak menunjukkan tanda atau gejala sama sekali.

2. Sama seperti tidak ada yang memiliki kekebalan dari COVID-19, tidak ada yang kebal terhadap social engineering. Sekarang semua orang, di seluruh dunia, telah menjadi target para social engineer, dan banyak pengguna yang terlatih, profesional TI, pakar keamanan siber, dan CEO telah menjadi korban serangan Spear phising.

2. Hasil COVID-19 lebih buruk untuk orang yang memiliki kondisi kesehatan sebelumnya dan untuk orang yang lebih tua. Demikian pula, hasil social engineering lebih buruk bagi pengguna dengan kebiasaan komputasi yang buruk dan kemampuan teknis yang buruk. Banyak di antaranya adalah cenderung warga negara senior dan pensiunan yang tidak memiliki sistem operasi yang diperbarui, tambalan yang melindungi mereka dari infiltrasi, dan akses ke layanan keamanan yang dikelola.

2. Kebersihan, seperti mencuci tangan, menggunakan masker, isolasi sosial adalah perlindungan utama terhadap infeksi coronavirus. Demikian juga, untuk melindungi terhadap social engineering, perangkat perlindungan kebersihan digital, menjaga perlindungan dan tambalan virus yang diperbarui, dan berhati-hati saat online adalah satu-satunya perlindungan yang dimiliki setiap orang.

Tetapi di luar kesamaan ini, wabah social engineering sebenarnya lebih sulit untuk dikendalikan daripada infeksi coronavirus:

1. Infeksi social engineering melewati perangkat secara nirkabel, membuatnya sulit untuk melacak sumber infeksi, mengisolasi mesin, dan membatasinya.

2. Ada proses ilmiah yang telah dikembangkan oleh komunitas medis untuk mengidentifikasi kesenjangan pengetahuan tentang coronavirus. Ini membantu para peneliti fokus. Sebaliknya, dalam hal yang fundamental dalam social engineering, sulit untuk melakukan penelitian ketika tidak ada konsensus tentang masalah tersebut atau di mana harus dimulai dan berakhir.

3. Sementara dalam sisi higienis manusia diteliti dengan baik, praktik kebersihan digital tidak. Misalnya, pada tahun 2003, NIST mengembangkan pedoman praktik kata sandi yang meminta agar semua kata sandi berisi huruf dan karakter khusus dan diubah setiap 90 hari. Pedoman ini dikembangkan dengan mempelajari bagaimana komputer menebak kata sandi, bukan bagaimana manusia mengingatnya.

Akibatnya, pengguna di seluruh dunia menggunakan kata sandi yang digunakan kembali atau didaur ulang, menuliskannya di atas kertas untuk membantu memori mereka, atau secara membabi buta memasukkannya pada email phising yang menirukan berbagai email pengaturan ulang kata sandi hingga 2017, ketika masalah ini dikenali, kebijakan tersebut dibatalkan.

4. Bukti menunjukkan bahwa mereka yang telah pulih dari coronavirus memiliki setidaknya kekebalan jangka pendek terhadapnya. Sebaliknya, perusahaan yang mengalami setidaknya satu serangan social engineering yang signifikan cenderung diserang lagi dalam tahun yang sama. Karena peretas belajar dari setiap serangan, ini menunjukkan bahwa peluang untuk dilanggar oleh social engineering sebenarnya meningkat dengan setiap serangan berikutnya.

5. COVID-19 diinformasikan dengan melaporkan seluruh sistem perawatan kesehatan. Sayangnya, tidak ada mekanisme pelaporan yang serupa untuk social engineering. Untuk alasan ini, seorang hacker dapat melakukan serangan di sebuah kota dan menduplikasinya di kota yang berdampingan, semua menggunakan malware yang sama yang bisa dengan mudah dipertahankan melawan jika seseorang memberi tahu orang lain.

Metode ini kemudian menjadi tren yang berperan dalam serangan ransomware yang melumpuhkan sistem komputasi di Paroki Vernon di Louisiana pada November 2019, dengan cepat diikuti oleh enam paroki lain, dan terus berlanjut ke seluruh negara bagian itu pada Februari 2020.

Karena faktor-faktor ini, dampak ekonomi dari social engineering terus tumbuh. Ada peningkatan 67% dalam pelanggaran keamanan dalam lima tahun terakhir, dan tahun lalu perusahaan-perusahaan diharapkan menghabiskan $ 110 miliar secara global untuk melindunginya. Ini menjadikan social engineering salah satu ancaman terbesar bagi perekonomian dunia di luar bencana alam dan pandemi.

Sama seperti kita memerangi pandemi, kita harus mengoordinasikan upaya kita untuk memerangi social engineering. Tanpanya, tidak akan ada vaksin atau obat. Untuk tujuan ini, kita harus mengembangkan portal pelaporan intraorganisasional dan sistem peringatan dini untuk memperingatkan organisasi pelanggaran lainnya. Kami juga membutuhkan dana federal untuk penelitian dasar tentang ilmu cybersecurity bersama dengan pengembangan inisiatif kebersihan digital berbasis bukti yang memberikan praktik terbaik yang memperhitungkan pengguna dan kasus penggunaannya. Akhirnya, kita harus meminta platform media sosial untuk melacak supersebar di pengguna mereka, dan mengembangkan kesadaran sumber terbuka dan inisiatif pelatihan untuk melindungi mereka dan rentan cyber dari serangan di masa depan.

Kecuali jika kita melakukan sesuatu secara proaktif, dampak social engineering diperkirakan akan terus memburuk dengan meningkatnya ketergantungan masyarakat pada teknologi dan semakin banyak dari kita yang dipaksa untuk bekerja dari rumah, jauh dari kantong-kantong organisasi IT yang dilindungi. Kita mungkin pada akhirnya memenangkan pertarungan melawan virus corona, tetapi perang melawan social engineering belum dimulai.