Apa Itu Social Engineering: Cara Kerja, Contoh, dan Cara Mencegah

artikel tentang social engineering

Dalam dunia hacking, ada frasa yang menyebutkan bahwa “No System is Safe” atau bisa diartikan sebagai “tidak ada sistem yang aman”. Hal ini mengacu pada anggapan bahwa semua sistem keamanan pasti ada celahnya, salah satu hal yang paling krusial dalam sistem keamanan tersebut adalah manusia. Hacker akan memanfaatkan sifat seperti kecerobohan dan ketidakpatuhan terhadap praktik sistem keamanan dengan cara mendapatkan kepercayaan dari manusia dalam sistem keamanan, lalu kemudian manusia atau korban akan terjebak dalam permainan hacker, dan itulah yang menjadi gambaran dari social engineering.

 

Apa itu Social Engineering?

simulasi social engineering

Seperti yang telah tergambar pada penjelasan sebelumnya, Social Engineering atau rekayasa sosial adalah metode manipulasi psikologis yang dilakukan oleh pihak-pihak jahat dengan tujuan memanfaatkan dan memanipulasi manusia untuk mendapatkan informasi rahasia, akses ke sistem, atau melakukan tindakan tertentu yang dapat merugikan individu atau organisasi.

Social engineering seringkali melibatkan interaksi manusia, baik melalui komunikasi langsung, telepon, email, atau media sosial. Para penyerang yang menggunakan social engineering berusaha untuk memanfaatkan kepercayaan, ketidaktahuan, atau faktor emosional lainnya dari target mereka untuk mencapai tujuan yang merugikan. Tujuan utama dari serangan social engineering biasanya untuk mendapatkan akses ke informasi rahasia, seperti kata sandi, nomor kartu kredit, atau data identitas pribadi.

Bentuk-bentuk umum dari social engineering melibatkan teknik manipulasi seperti pura-pura menjadi seseorang yang berwenang, menciptakan urgensi palsu, atau memanfaatkan kurangnya kehati-hatian dari target. Selain itu, seringkali para pelaku social engineering dapat dengan cerdik menyamar sebagai korban atau entitas tepercaya untuk memperdayai target mereka. Oleh karena itu, pemahaman dan kesadaran terhadap potensi serangan social engineering menjadi sangat penting dalam meningkatkan keamanan siber.

 

Cara Kerja Social Engineering

Social engineering terjadi karena anggapan bahwa lebih mudah untuk memanipulasi kepercayaan manusia daripada menemukan cara untuk meretas perangkat lunak dalam sistem. Dengan kata lain, hal ini memanfaatkan kecenderungan alami pada seseorang untuk untuk percaya. Dalam social engineering ada beberapa tahapan yang dilakukan oleh penyerang diantaranya :

The preparation stage

Pada tahap ini penyerang atau hacker mengidentifikasi seorang korban, mengumpulkan semua informasi yang diperlukan tentang potensi korban seperti akses ke akun media sosial, email, nomor telepon, dan memilih jenis serangan pada akhirnya.

The hook stage

Tahap selanjutnya yaitu melakukan pendekatan dengan seorang korban melalui sumber yang dapat dipercaya. Hal ini ditujukan untuk untuk bisa terlibat dalam interaksi bersama korban.

The exploitation stage

Pada tahap ini penyerang mulai melakukan permintaan informasi dari seorang korban seperti login, kata sandi, metode pembayaran, dan informasi kontak. Dalam tahap ini biasanya korban tidak menyadari bahwa mereka sedang tertipu dengan social engineering.

The exit stage

Dan tahap terakhir terjadi ketika penyerag berhenti berkomunikasi dengan seorang korban dan telah mendapatkan hal yang dituju yang kemudian penyerang akan melakukan serangan siber.

 

Contoh Social Engineering

Phishing

Phising ini merupakan sesuatu yang umum dilakukan, penyerang menciptakan situs web palsu atau mengirim email palsu yang menyamar sebagai entitas terpercaya untuk memancing korban mengungkapkan informasi pribadi, seperti kata sandi atau informasi keuangan. Contohnya seperti email palsu yang mengklaim berasal dari bank dan meminta korban untuk memasukkan kredensial login mereka ke dalam formulir yang sebenarnya palsu.

Pretexting

Contoh yang lainnya yaitu dengan pretexting, dalam metode ini penyerang menciptakan skenario palsu atau “pretext” untuk meminta informasi dari korban, penyerang sering kali menyamar sebagai orang atau entitas yang berwenang.seseorang menelepon karyawan dan berpura-pura menjadi staff IT yang memerlukan informasi login mereka untuk “memperbaiki masalah sistem.”

Baiting

Dalam Baiting, penyerang menawarkan sesuatu yang menarik, seperti media penyimpanan USB atau CD-ROM, yang mengandung malware. Korban kemudian secara tidak sengaja menginstal malware saat menggunakan perangkat tersebut. Contohnya yaitu menyebarkan USB palsu di area kantor dan menunggu karyawan yang menemukannya dan menyambungkannya ke komputer mereka.

Quid Pro Quo

Dalam aksi ini, penyerang menawarkan sesuatu kepada korban sebagai imbalan atas informasi yang diminta. Contohnya seperti menawarkan bantuan teknis gratis melalui telepon dan meminta korban untuk memberikan informasi login sebagai bagian dari “verifikasi.”

Tailgating

Tailgating bekerja dengan penyerang mengikuti seseorang yang memiliki akses ke gedung atau ruangan terkunci dan mencoba masuk bersama mereka tanpa izin. Contohnya seperti mengikuti karyawan yang menggunakan kartu akses untuk masuk ke gedung dan mencoba masuk bersamanya tanpa menggunakan kartu akses.

Dumpster Diving

Pada aksi ini penyerang mencari informasi berharga dalam tempat sampah korban, seperti dokumen atau kertas yang tidak dihancurkan dengan baik. Contohnya dengan mencari kertas atau dokumen yang mengandung informasi sensitif dari tempat sampah perusahaan.

Spear phishing

Aksi ini merupakan bentuk yang lebih berbahaya dari phishing, di mana serangan ditargetkan pada individu atau organisasi tertentu, dengan pesan yang sangat disesuaikan.Contoh dari aksi ini adalah mengirimkan email palsu kepada CEO sebuah perusahaan dengan informasi yang sangat spesifik tentang kegiatan bisnis perusahaan untuk memancing informasi rahasia atau akses ke sistem.

 

Cara Mencegah Social Engineering

Dengan semakin maraknya kejahatan siber saat ini, akan lebih baik apabila selalu menjaga diri dari ancaman social engineering dan juga ancaman siber lainnya, beberapa hal yang bisa dilakukan diantaranya sebagai berikut:

  • Abaikan setiap permintaan informasi pribadi seperti kata sandi, nomor pribadi dan data pribadi.
  • Tolak permintaan bantuan dan tawaran bantuan di sosial media, apabila kurang meyakinkan
  • Atur filter spam dalam email ke tingkat tinggi agar terhindar dari phising dan malware lainnya
  • Pasang antivirus atau anti malware dalam perangkat untuk mencegah akses yang tidak diizinkan
  • Selalu waspada terhadap resiko seperti memeriksa berkali-kali terhadap data pribadi yang kita unggah ke dalam suatu internet.

Dengan menerapkan beberapa hal tersebut setidaknya akan mengurangi kemungkinan terkena ancaman siber khususnya social engineering. Selain itu jangan lupa untuk tidak mudah percaya dengan beberapa orang yang kita kenal hanya dari internet, karena setiap orang berpotensi menjadi penyerang dan korban.

 

Ditulis Oleh : Rian Jakawardana

Peran Data Integrity dalam Keamanan Siber

artikel tentang data integrity

Dalam era digital yang dipenuhi dengan ancaman keamanan cyber, istilah “data integrity” telah menjadi pusat perhatian. Keamanan data tidak hanya tentang melindungi data dari akses yang tidak sah, tetapi juga menjaga integritasnya. Berikut ini penjelasan pentingnya data integrity dalam konteks keamanan cyber dan dampaknya pada bisnis yang berusaha untuk tetap relevan dan andal di pasar yang kompetitif.

 

Mengapa Data Integrity Penting dalam Keamanan Cyber?

Pencegahan Manipulasi Data

Data integrity atau integritas data bertujuan untuk mencegah dan mendeteksi setiap bentuk manipulasi atau perubahan yang tidak sah pada data. Integritas data melibatkan kepastian bahwa data tetap utuh dan tidak dimanipulasi oleh pihak yang tidak berwenang.

Keterpercayaan Informasi

Keamanan data tidak hanya tentang memproteksi dari ancaman eksternal. Akan tetapi juga memastikan bahwa informasi yang digunakan untuk pengambilan keputusan adalah dapat dipercaya. Data integrity menciptakan fondasi kepercayaan dalam keamanan cyber.

Kepatuhan Regulasi

Dengan meningkatnya regulasi privasi dan keamanan data, seperti GDPR dan HIPAA, menjaga data integrity menjadi esensial untuk memenuhi persyaratan kepatuhan. Organisasi yang melanggar integritas data dapat menghadapi sanksi dan denda serius.

Mencegah Kerugian Bisnis

Kehilangan integritas data dapat menyebabkan kerugian bisnis yang signifikan. Informasi yang salah atau termanipulasi dapat mengarah pada keputusan yang salah, kehilangan kepercayaan pelanggan, dan dampak finansial yang merugikan.

 

Contoh Dampak Data Integrity dalam Keamanan Siber

karyawan sedang mengelola data integrity

Contoh perusahaan X yang berhasil mengamankan data dan menjaga integritasnya, mengalami:

Penurunan Risiko Keamanan

Dengan menerapkan strategi yang kokoh, perusahaan X berhasil mengurangi risiko terhadap serangan yang dapat merusak atau mengubah data mereka.

Peningkatan Kepercayaan Pelanggan

Karena kehandalan informasi yang mereka berikan, pelanggan merasa lebih percaya dan terhubung dengan perusahaan X, yang menghasilkan loyalitas pelanggan yang meningkat.

Efisiensi Operasional

Dengan data yang dapat diandalkan, perusahaan X dapat membuat keputusan yang lebih tepat waktu dan efisien, meningkatkan produktivitas dan efektivitas operasional mereka.

 

Pentingnya Data Integrity dalam Perusahaan

Dalam dunia yang terus berubah ini, data integrity tidak hanya menjadi kebutuhan, tetapi juga investasi strategis bagi setiap organisasi. Dengan mengimplementasikan strategi keamanan cyber yang fokus pada menjaga integritas data, bisnis dapat membangun fondasi yang kokoh untuk pertumbuhan berkelanjutan, kepercayaan pelanggan, dan ketangguhan terhadap ancaman keamanan sistem. Hubungi ahli untuk meningkatkan keamanan sistem-mu, salah satunya kepada jasa cyber security berpengalaman di Widya Security. Kamu dapat menghubungi melalui Whatsapp ataupun media sosial lainnya.

 

Ditulis Oleh : Safiera Anindya S

Mengenal OSSTMM Dalam Penetration Testing

artikel tentang osstmm

Dalam suatu sistem keamanan, langkah pengujian sistem keamanan menjadi krusial untuk memastikan ketangguhan dan kehandalan suatu jaringan. Oleh karena itu, penting bagi metode pengujian yang digunakan untuk memenuhi standar yang baik. Salah satu framework yang terkenal dalam konteks ini adalah OSSTMM, yang menjadi metode Penetration Testing yang dikenal karena berbagai keunggulannya.

OSSTMM menjadi salah satu metode penetration testing yang paling dikenal dalam industri karena menyajikan pendekatan yang komprehensif dan terstruktur dalam menguji keamanan jaringan. Keunggulan metode ini tidak hanya terletak pada aspek teknisnya, melainkan juga pada fokusnya terhadap risiko dan kerentanan jaringan secara menyeluruh.

Sebagai informasi, setidaknya ada beberapa metodologi dan standarisasi dalam penetration testing seperti OWASP, NITS, PTES, ISSAF, dan OSSTMM. Namun dalam artikel ini, akan lebih banyak membahas lebih dalam tentang OSSTMM.

 

Apa Itu OSSTMM?

hacker sedang melakukan penetration testing dengan OSSTMM

Framework OSSTMM (Open Source Security Testing Methodology Manual) pada dasarnya merupakan suatu pendekatan sistematis yang digunakan dalam dunia keamanan siber untuk melakukan pengujian penetrasi. OSSTMM memberikan panduan dan pedoman yang komprehensif dalam mengidentifikasi serta mengevaluasi keamanan jaringan.

Framework OSSTMM biasanya juga digunakan sebagai audit keamanan dalam suatu sistem jaringan. Dengan menggunakan metodologi yang sistematis dan terukur, OSSTMM menghasilkan pengujian keamanan kredibel dan terstruktur. Selain itu, OSSTMM juga mampu menguji seberapa tinggi tingkat keamanan suatu aplikasi web. 

Sejak pertama muncul di tahun 2000, OSSTMM dibuat untuk meningkatkan pengujian keamanan untuk komputasi dalam skala perusahaan. Kemudian pada tahun 2006, OSSTMM menstandarisasi pengujian keamanan yang hingga kini menjadi salah satu metode dalam Penetration Testing.

Saat ini perkembangan OSSTMM sudah mencapai di versi ketiganya atau bisa disebut sebagai OSSTMM3. Versi tersebut dikembangkan oleh Institute for Security and Open Methodologies (ISECOM). OSSTMM3 berfokus pada peningkatan pengukuran dan analisis kontrol keamanan, manajemen risiko, dan kerentanan di berbagai area, termasuk jaringan, aplikasi, lokasi fisik, dan faktor manusia.

 

Kanal yang Diuji Dalam OSSTMM

Human Security

Pada kanal ini, OSSTMM berfokus pada pengujian keamanan interaksi dan komunikasi manusia pada khususnya mereka yang berperan sebagai pengawas dalam sistem keamanan. Tujuan utama pada cakupan ini adalah untuk menilai kesadaran keamanan personel dan mengukur kepatuhan terhadap standar keamanan yang telah diuraikan dalam kebijakan perusahaan, peraturan industri, maupun undang-undang internal.

Physical Security

Kanal ini berfokus pada keamanan fisik yang didefinisikan sebagai elemen keamanan yang bersifat nyata dan memerlukan usaha fisik untuk dioperasikan. Contoh dari pengujian keamanan fisik menggunakan OSSTMM adalah percobaan untuk mendapatkan akses ke fasilitas tanpa izin yang tepat.

Dalam konteks ini, OSSTMM digunakan sebagai kerangka kerja untuk mengidentifikasi kelemahan dalam sistem keamanan fisik, termasuk pengujian kemampuan untuk menembus kontrol akses dan prosedur keamanan yang ada. Pendekatan ini membantu organisasi untuk memahami potensi risiko terkait dengan aspek fisik keamanan mereka dan mengambil langkah-langkah perbaikan yang diperlukan.

Wireless Communication

Pada kanal ini OSSTMM berfokus pada pengujian keamanan elektronik, keamanan sinyal, dan keamanan pancaran. Setiap sinyal elektronik yang dapat dihentikan atau diintersep termasuk dalam kanal ini, seperti Identifikasi Frekuensi Radio (RFID), emisi monitor video, peralatan medis, dan titik akses nirkabel jaringan.

Telecommunication

Fokus pengujian dalam kanal ini melibatkan berbagai mode komunikasi suara, termasuk sistem PBX, kotak suara, dan VoIP (Voice over Internet Protocol). Banyak mode komunikasi ini saat ini dioperasikan oleh komputer dan rentan terhadap serangan jaringan. Uji penetrasi dapat mengidentifikasi kemungkinan kebocoran informasi, baik melalui pengalihan paket jaringan atau mekanisme perlindungan yang lemah untuk mengakses akun karyawan.

Data Networks

Fokus pengujian pada kanal ini mencakup mencakup sistem elektronik dan jaringan data yang digunakan untuk komunikasi atau interaksi melalui kabel dan jalur jaringan kabel. Dalam proses pengujian nantinya, OSSTMM akan menekankan pemeriksaan sistem komunikasi kabel, tingkat keamanan data, dan prosedur interaksi melalui jaringan. Pengujian tersebut bertujuan untuk mengidentifikasi potensi risiko keamanan, pelanggaran data, atau serangan jaringan yang mungkin terjadi pada jaringan data tersebut.

OSSTMM berfokus pada lima kanal ini sebagai area operasional penting yang memerlukan pengujian keamanan yang tepat untuk mengamankan suatu sistem dan jaringan dalam perusahaan. Dari kelima kanal tersebut nantinya penguji akan mengetahui sistem mana yang paling lemah, untuk kemudian diberikan penanggulangan dan perbaikan dalam sistem dan jaringan yang diuji.

 

Modul Dalam OSSTMM

Framework OSSTMM memiliki modul-modul, yaitu proses yang dapat diulang dalam penetration testing. Modul-modul ini digunakan dalam semua kanal yang diidentifikasi oleh OSSTMM. Implementasi dari setiap modul dapat berbeda, tergantung pada sistem atau jaringan target; namun, konsep-konsep yang disajikan dalam modul menggambarkan tujuan utama dari setiap modul. Berikut beberapa modul yang ada dalam OSSTMM:

Fase Pertama, Regulatory 

Pertama, dalam fase regulatory, langkah langkah melibatkan beberapa hal diantaranya posture review untuk mengevaluasi kepatuhan terhadap regulasi dan hukum yang berlaku, logistic untuk menilai kesiapan dan keberlanjutan sumber daya keamanan dan active detection verification dengan menguji kemampuan sistem dalam mendeteksi ancaman secara real-time melalui simulasi serangan.

Fase Kedua, Definitions

Berlanjut pada fase Definitions,proses dimulai dengan visibility audit untuk menentukan sejauh mana target-target dalam cakupan proyek dapat terlihat. Selanjutnya, access verification yaitu mengidentifikasi titik-titik akses di dalam target, Trust verification melibatkan penelusuran hubungan kepercayaan antara sistem-sistem dalam melakukan bisnis, dan, Control verification sebagai pengukur kemampuan untuk melanggar kerahasian, integritas, privasi, dan non-repudiasi dalam suatu sistem, serta mengevaluasi kontrol yang diterapkan untuk mencegah kerugian tersebut.

Fase Ketiga, Information Phase

Kemudian pada fase Information Phase terdapat beberapa verifikasi kritis yaitu process verification yang mengevaluasi proses yang menjaga keamanan sistem pada tingkatnya saat ini. Selanjutnya, configuration verification yang membandingkan operasi bawaan target dengan kebutuhan bisnis organisasi. Property validation mengidentifikasi dan memvalidasi lisensi Intellectual Property (IP) atau aplikasi pada sistem target. Kemudian ada segregation review yang berfokus pada identifikasi informasi pribadi dan tingkat aksesnya. Exposure verification mengidentifikasi informasi yang terpublikasikan di internet mengenai sistem target. Selanjutnya ada competitive intelligence scouting yang bertujuan mengidentifikasi informasi pesaing yang dapat memengaruhi pemilik target melalui persaingan.

Fase Keempat, Interactive Controls Test Phase

Terakhir, dalam fase Interactive Controls Test dilakukan sejumlah verifikasi yang kritis yaitu quarantine verification yang memvalidasi kemampuan sistem untuk mengisolasi akses dari luar dan data sistem secara internal. Privileges audit menguji kemampuan untuk meningkatkan hak akses dalam sistem. Survivability validation digunakan untuk menilai ketahanan sistem terhadap situasi berlebihan atau merugikan. Sementara itu, Alert and Log Review melibatkan tinjauan aktivitas audit.

 

OSSTMM Adalah Framework Terbaik?

Dari semua penjelasan di atas tentang OSSTMM, dapat disimpulkan bahwa framework ini secara khusus berfokus pada elemen-elemen yang perlu diuji. OSSTMM tidak hanya memberikan panduan langkah-langkah yang harus diambil sebelum, selama, dan setelah pengujian keamanan, tetapi juga menyediakan metode untuk mengukur hasilnya.

Bagian yang sangat berguna dari OSSTMM adalah adanya panduan praktik terbaik internasional dalam menghadapi pengujian keamanan. Selain itu, OSSTMM juga mencakup aspek hukum, regulasi, dan standar etika yang memberikan pedoman komprehensif. Dengan memperhatikan praktik-praktik terbaik global serta mematuhi hukum yang berlaku, regulasi, dan standar etika, OSSTMM dapat menjadi alat yang efektif dalam memandu pengujian keamanan dengan pendekatan yang efektif.

 

Ditulis Oleh : Rian Jakawardana

Pelatihan Cyber Security ini Wajib Kamu Ikuti di Tahun 2024!

Memasuki tahun 2024, hampir seluruh aktivitas kita berbasis teknologi digital. Namun, segala kemudahan yang kita rasakan saat ini memiliki konsekuensi yang cukup berat. Dibutuhkan kebijaksanaan dalam penggunaan alat digital termasuk kemampuan cyber security untuk menjaga privasi kita. Kita perlu memahami ilmu cyber security untuk mempersiapkan serangan siber tahun 2024 yang semakin canggih. Baca artikel ini untuk mengetahui jenis-jenis pelatihan cyber security di Widya Security untuk kesiapan tim yang lebih kuat! 

 

Pelatihan Cyber Security Tahun 2024

pelatihan cyber security

Strategi Perlindungan Berbasis Cloud

Strategi perlindungan berbasis cloud menjadi semakin penting seiring dengan meningkatnya adopsi teknologi cloud dalam dunia bisnis. Dengan menyimpan data dan menjalankan aplikasi di lingkungan cloud, perusahaan memerlukan pendekatan keamanan yang terintegrasi dan adaptif. Pertama-tama, strategi perlindungan berbasis cloud melibatkan enkripsi data end-to-end, baik dalam istirahat maupun selama perpindahan data. Hal ini bertujuan untuk melindungi informasi sensitif dari potensi akses yang tidak sah.

Selanjutnya, implementasi kontrol akses yang ketat dan manajemen identitas yang cermat di lingkungan cloud menjadi langkah kunci. Dengan memastikan bahwa hanya pengguna yang sah yang memiliki akses yang sesuai, risiko kebocoran data dapat diminimalkan. Selain itu, pemantauan aktivitas dan deteksi  ancaman secara real-time menjadi aspek utama dalam strategi ini. Menggunakan alat keamanan canggih yang mampu mengidentifikasi perilaku abnormal dapat memberikan respons cepat terhadap ancaman keamanan. Dengan demikian, strategi perlindungan berbasis cloud harus selalu diperbarui untuk menghadapi ancaman keamanan yang berkembang. 

 

Blue Team

Blue team merupakan klasifikasi untuk kamu yang mau belajar cyber security dari sisi pertahanan keamanan sistemnya. Dalam kelas ini kamu akan mendapatkan ilmu bagaimana memperkuat suatu keamanan sistem berdasarkan pentest maupun pengujian lainnya. Berikut ini contoh kelas Blue team yang dapat kamu ikuti:

  • Secure Coding
  • Hardening Server
  • Secure Data Management
  • Linux Basic
  • Linux Administration

 

Red Team

Red team merupakan kelas cyber security dari sisi penyerangan untuk mengetahui potensi kerentanan sistem. Kalau blue team melakukan evaluasi berdasarkan pentest, red team-lah yang terlebih dahulu akan melakukan penetration testing ke sistem target. Dalam kelas ini kamu akan dibekali ilmu teknik penyerangan dan identifikasi potensi kerentanan dari serangan yang telah kamu buat. Untuk contoh kelas Red Team yang dapat kamu ikuti adalah sebagai berikut:

  • Cyber Security Analyst
  • Junior Cyber Security
  • Basic and Advanced Penetration Testing
  • Red-teaming

 

Non-Technical Training

Di Widya Security juga memfasilitasi adanya kelas pelatihan cyber security awareness loh! Di kelas ini kamu akan mendapatkan dasar ilmu dalam mengenali jenis serangan. Selain itu, pelatihan ini juga berguna sebagai tindakan pencegahan awal mengenai ancaman cyber security. 

 

Nah itu dia kelas-kelas dan tim yang ada di Widya Security. Dengan urgensi pengetahuan cyber security di zaman teknologi yang canggih, kamu wajib banget untuk ikut kelas ini ya! Selain itu, jenjang karir dari skill yang dikembangkan dari kelas training ini pun saat ini banyak dicari perusahaan lho di tahun 2024!

 

Ditulis Oleh : Safiera Anindya S

Apa itu Phising?

artikel phising

Phising merupakan suatu kejahatan dunia maya dimana target kejahatan dihubungi melalui e-mail, telepon, atau pesan teks oleh seseorang yang menyamar sebagai suatu lembaga resmi dengan tujuan untuk menarik individu tersebut supaya memberikan data sensitif seperti identitas pribadi, detail perbankan dan kartu kredit hingga kata sandi.

 

Apa Tujuan dari Phising?

Informasi berupa data sensitif tersebut digunakan untuk mengakses akun penting hingga mampu mengakibatkan terjadinya pencurian identitas dan kerugian finansial perusahaan.

 

Seperti Apa Bentuk Phising?

ilustrasi phising

Penawaran yang Menjanjikan

Adanya penawaran yang menarik terkait sesuatu yang menguntungkan mampu tidak sengaja menjerumuskan Anda menjadi korban tindak kejahatan di dunia maya seperti adanya pengumuman bahwa Anda telah memenangkan undian handphone, umroh, ataupun hadiah lainnya. Untuk mengatasi hal tersebut, jangan menekan email tersebut secara sembarangan dan tanpa berfikir Panjang.

Urgensi 

Pelaku kejahatan akan meminta Anda bertindak cepat karena adanya penawaran super dengan waktu terbatas. Beberapa dari mereka bahkan akan memberitahu Anda bahwa Anda hanya punya waktu beberapa menit untuk merespons. Jika Anda menemukan e-mail semacam ini, sebaiknya abaikan saja. Terkadang, mereka akan memberitahu Anda bahwa akun Anda akan ditangguhkan kecuali Anda segera memperbarui data pribadi Anda karena sebagian besar organisasi yang dapat diandalkan akan memberikan waktu yang cukup sebelum mereka menghentikan akun dan mereka tidak pernah meminta pelanggan untuk memperbarui informasi pribadi melalui Internet. Jika ragu, kunjungi sumbernya secara langsung daripada mengklik link di email.

Hyperlink

Tautan mungkin tidak seperti yang terlihat. Mengarahkan kursor ke tautan menunjukkan URL sebenarnya yang akan mengarahkan Anda saat klik link tersebut. Bisa jadi sangat berbeda atau bisa juga situs web populer yang salah mengejanya. 

Lampiran

Jika Anda mendapatkan lampiran email yang tidak Anda harapkan atau tidak masuk akal, jangan dibuka! Pelaku kejahatan sering kali memasukkan fitur ransomware atau virus lainnya. Satu-satunya jenis file yang selalu aman untuk diklik adalah file .txt.

 

Bagaimana Cara Mencegah Serangan Phising?

Menggunakan filter spam di e-mail

Filter spam mampu menilai pesan yang Anda terima, apakah e-mail tersebut bersumber dari pihak yang tidak sah. Oleh karena itu, hal ini mampu melindungi data Anda terhadap adanya phising melalui e-mail spam.

Mengubah pengaturan browser

Browser mampu menyimpan daftar situs web palsu secara otomatis sehingga ketika Anda mencoba mengakses situs web tersebut, terdapat alamat yang diblokir atau pesan peringatan yang ditampilkan sehingga pengaturan browser seharusnya hanya mengizinkan situs web yang dapat diandalkan untuk dibuka.

Memastikan situs web aman dengan sertifikat Secure Socket Layer (SSL)

Jika ada link di email, coba arahkan kursor Anda ke URL terlebih dahulu. Situs web aman dengan sertifikat Secure Socket Layer (SSL) yang valid diawali dengan “https”. Pada akhirnya semua situs akan diwajibkan memiliki SSL yang valid .

Menggunakan sistem CAPTCHA

Banyak situs web yang mengharuskan pengguna memasukkan informasi login saat gambar pengguna ditampilkan. Sistem jenis ini mungkin rentan terhadap serangan keamanan. Salah satu cara untuk memastikan keamanan adalah dengan mengubah kata sandi secara berkala, dan jangan pernah menggunakan kata sandi yang sama untuk banyak akun. Sebaiknya situs web juga menggunakan sistem CAPTCHA untuk keamanan tambahan.

 

Waspada Phising di Sekitar Anda!

Umumnya, e-mail yang dikirim oleh pelaku kejahatan disamarkan sehingga tampak seperti dikirim oleh bisnis yang layanannya digunakan oleh penerimanya. Bank maupun perusahaan yang sah tidak akan meminta informasi pribadi melalui e-mail atau menangguhkan rekening Anda jika Anda tidak memperbarui data pribadi Anda dalam jangka waktu tertentu. Sebagian besar bank dan lembaga keuangan juga biasanya memberikan nomor rekening atau detail pribadi lainnya dalam email, untuk memastikan email tersebut berasal dari sumber yang dapat dipercaya.

Dalam pemecahan masalah keamanan terkait phising, Widya Security mampu membantu Anda untuk mengantisipasi ancaman dengan adanya layanan kami terkait keamanan data.

 

Ditulis Oleh : Afrilia Rizki Bening A

Langkah Dasar Memahami Penetration Testing untuk Pemula

artikel penetration testing

Apa itu Penetration Testing?

Penetration testing atau yang disingkat pentest adalah prosedur pengujian keamanan suatu sistem komputer, aplikasi, jaringan, atau infrastruktur teknologi informasi lainnya. Tujuan utamanya adalah untuk mengetahui potensi kerentanan sistem tersebut terhadap serangan-serangan asli yang dapat menyerang. Penetration testing ini merupakan pengujian keamanan berbasis risiko yang langsung mengaplikasikan penyerangan terhadap sistem. Adanya penetration testing sebagai pengujian sistem ini menjadi salah satu contoh penerapan cyber skill yang bijaksana.

 

Bagaimana Cara Penetration Testing Beroperasi?

hacker melakukan penetration testing

Proses penggunaan pentest ini seperti pada prosedur kegiatan lainnya yang membutuhkan adanya perencanaan, pelaksanaan, dan evaluasi. Dalam proses perencanaan diperlukan identifikasi tujuan yang jelas. Misalnya, pentest ini akan fokus dilakukan di mana, apakah untuk menyerang aplikasi web, jaringan, atau sistem tertentu. Ketika kamu sudah tahu arah pentest yang akan dilakukan maka selanjutnya adalah memiliki tool yang sesuai dengan tujuan yang ingin kamu capai.

Pertama, lakukan fase rekognisi untuk mengumpulkan beberapa informasi mengenai target pentest. Informasi yang perlu kamu cari adalah domain, subdomain, dan alamat IP target. Setelah itu lakukanlah beberapa analisis mengenai teknologi yang digunakan pada target pentest. Salah satu rangkaian analisis seperti analisis rentang serangan yang akan dilakukan. Tentukan serangan yang akan diuji dan identifikasi kerentanan yang mungkin ada. Contohnya pada pentest aplikasi web, kamu dapat melakukan pemeriksaan kerentanan umum seperti SQL injection, cross-site scripting (XSS), dan lain sebagainya.

Kemudian, lakukanlah teknik-teknik pentest yang sesuai seperti eksploitasi kerentanan, sniffing jaringan, dan percobaan otentikasi. Pentest ini akan menghasilkan analisis kerentanan, letak potensi risiko, dan dampak apa yang dapat disebabkan oleh serangan yang terjadi. Dengan data tersebut, buatlah laporan final yang mencakup temuan-temuan tersebut. Berdasarkan hasilnya ini maka akan dilakukan evaluasi untuk perkuatan sistem keamanan jaringan.

Dalam kesimpulannya, memahami langkah dasar penetration testing adalah kunci untuk mengamankan sistem komputer, aplikasi, dan jaringan dari potensi serangan. Untuk memahami langkah dasar tersebut, Widya Security dapat memfasilitasi kamu melalui pelatihan Basic dan Advanced Penetration Testing lho!

 

Segera Tingkatkan Keamanan Data Perusahaan Anda!

Penetration testing, atau pentest, bukan hanya prosedur uji keamanan, tetapi juga penerapan cyber skill yang bijaksana untuk mengidentifikasi dan mengatasi kerentanan. Proses pengoperasian pentest memerlukan perencanaan yang cermat, dengan penekanan pada identifikasi tujuan dan penggunaan alat yang sesuai. Fase rekognisi untuk mengumpulkan informasi, analisis tentang serangan, dan penerapan teknik pentest seperti eksploitasi kerentanan menjadi langkah kritis dalam menguji keamanan suatu sistem.

Hasil dari pentest memberikan pemahaman yang mendalam tentang kerentanan dan potensi risiko, membuka jalan untuk pembuatan laporan final. Dengan laporan ini, organisasi dapat mengambil langkah-langkah perbaikan yang diperlukan untuk memperkuat sistem keamanan jaringan mereka. Keseluruhan, penetration testing bukan hanya sebuah langkah, tetapi suatu siklus berkelanjutan untuk memastikan keamanan informasi yang optimal.

 

Ditulis Oleh : Safiera Anindya S

Sumber Daya Pentesting untuk Pengusaha Kecil dan Menengah

Di era digital yang semakin rumit, perlindungan data menjadi fokus utama bagi pengusaha kecil dan menengah. Dengan ancaman siber yang terus berkembang, pentesting (pengujian penetrasi) telah menjadi metode krusial untuk mengidentifikasi kerentanan keamanan dalam infrastruktur teknologi informasi perusahaan. Bagi pengusaha kecil dan menengah yang memiliki keterbatasan sumber daya, memanfaatkan sumber daya pentesting yang sesuai dapat menjadi strategi efektif. Berikut adalah beberapa sumber daya terbaik yang dapat membantu dalam upaya pentesting untuk usaha kecil dan menengah:

Platform E-Learning dan Pelatihan Online: Platform pelatihan online seperti Coursera, Udemy, dan edX menawarkan berbagai kursus dan pelatihan pentesting yang dapat diakses dengan fleksibel. Kursus-kursus ini membantu pemilik usaha memahami konsep dasar dan teknik terbaru dalam pengujian keamanan. Pelatihan intensif dalam bidang pentesting sangat penting untuk mengasah keterampilan yang mendalam dalam mengidentifikasi dan mengevaluasi potensi kerentanan keamanan sistem. Melalui pelatihan ini, para profesional pentesting dapat memastikan bahwa mereka selalu update dengan perkembangan terbaru dalam dunia keamanan informasi. Untuk mendapatkan pelatihan yang mumpuni bisa melalui pelatihan yang disediakan oleh Widya Security sebagai pelatihan terbaik dan terpercaya. 

Perangkat Open Source: Terdapat berbagai perangkat open source seperti Nmap, Metasploit, dan Wireshark yang dapat digunakan untuk mengidentifikasi kerentanan jaringan dan sistem. Sumber daya ini membantu pengusaha kecil dan menengah melakukan penapisan awal terhadap potensi kerentanan keamanan tanpa biaya yang signifikan.

Konsultan Keamanan Independen: Mengontrak konsultan keamanan independen atau perusahaan keamanan siber kecil dapat membantu pengusaha kecil dan menengah mengidentifikasi serta menangani celah keamanan spesifik dan rumit. Konsultan ini memberikan pandangan independen yang berharga untuk memperkuat pertahanan keamanan perusahaan.

Komunitas Online: Bergabung dengan komunitas online seperti forum keamanan siber atau grup diskusi LinkedIn memberikan akses ke wawasan dan saran dari ahli keamanan yang berpengalaman. Diskusi dan pertukaran informasi di komunitas ini membantu pemilik usaha tetap mendapat informasi terbaru mengenai tren dan teknik terkini dalam pentesting.

Cara Mengetahui Pentesting Dengan Cepat

Selain melalui cara di atas, dapat dilakukan juga dengan membaca buku atau mencari materi referensi. Buku dan materi referensi ini merupakan  Buku-buku khusus tentang pentesting dan keamanan siber juga merupakan sumber daya berharga. Buku-buku ini memberikan pemahaman mendalam tentang praktik terbaik dalam mengamankan infrastruktur TI perusahaan.

Penting bagi pengusaha kecil dan menengah untuk mengutamakan keamanan informasi mereka dengan memanfaatkan sumber daya yang tepat. Dengan menggabungkan penggunaan sumber daya di atas, pemilik usaha dapat mengidentifikasi dan mengurangi risiko keamanan siber yang dapat mengancam kelangsungan bisnis mereka. Melalui pendekatan proaktif terhadap keamanan informasi, pengusaha kecil dan menengah dapat membangun fondasi yang kuat untuk pertumbuhan berkelanjutan di era digital yang terus berkembang.Oleh karena itu, mari lakukan pentesting menggunakan Widya Security dalam menjaga keamanan informasi. 

Menarik bukan informasi mengenai penetration testing untuk menjaga keamanan data. Jika Anda tertarik mengenai layanan mengenai pentesting mari kunjungi link ini https://widyasecurity.com/penetration-testing/

 

sumber : Freepik

Pentesting dalam Industri Keuangan Melindungi Data Nasabah

Pentesting dalam Industri Keuangan Melindungi Data Nasabah

Di industri keuangan yang sangat bergantung pada keamanan data nasabah, pentesting atau uji penetrasi telah menjadi keharusan untuk memastikan keamanan yang kokoh terhadap serangan siber. Pentesting merupakan proses krusial dalam industri keuangan yang melibatkan pengujian keamanan sistem, jaringan, dan aplikasi perbankan guna mengidentifikasi celah dan kerentanan yang dapat dimanfaatkan oleh peretas. Peran pentesting dalam industri keuangan tidak boleh diabaikan, sebab melindungi data nasabah menjadi prioritas utama bagi lembaga keuangan.

Terutama, pentesting berperan penting dalam menemukan celah keamanan di dalam sistem perbankan. Dengan mempertimbangkan volume besar transaksi keuangan dan data sensitif yang diproses oleh lembaga keuangan harian, pentesting membantu mengidentifikasi titik-titik rentan dalam infrastruktur IT mereka. Hal ini memungkinkan perusahaan untuk mengambil tindakan proaktif dalam memperbaiki kelemahan yang dapat membahayakan integritas data nasabah.

Selain itu, pentesting membantu lembaga keuangan mematuhi regulasi ketat yang ditetapkan oleh badan regulasi, seperti Bank Indonesia. Dengan terus menguji dan memperbaiki sistem keamanan mereka, lembaga keuangan dapat memastikan kepatuhan terhadap standar keamanan data yang diwajibkan oleh undang-undang dan peraturan, sehingga menghindari sanksi hukum yang dapat merusak reputasi dan kredibilitas mereka di mata nasabah.

Selanjutnya, pentesting juga berperan dalam meningkatkan ketangguhan terhadap ancaman siber yang semakin canggih. Dengan mensimulasikan serangan yang mungkin dilakukan oleh peretas yang memiliki motivasi yang kuat, lembaga keuangan dapat mengevaluasi seberapa efektif sistem keamanan mereka dalam menghadapi skenario serangan yang nyata. Dengan demikian, mereka dapat meningkatkan lapisan keamanan mereka untuk melindungi data nasabah dari upaya peretasan yang terus berkembang.

 

Tingkatkan Kesadaran Keamanan Data Dengan Pentesting

Tidak hanya itu, pentesting juga berguna untuk meningkatkan kesadaran akan keamanan data di kalangan karyawan industri keuangan. Dengan mengintegrasikan pelatihan keamanan siber dan pentesting dalam program pengembangan karyawan, lembaga keuangan dapat mengubah budaya organisasi mereka menjadi lebih sadar akan ancaman keamanan dan tanggung jawab bersama dalam perlindungan data nasabah.

Dengan demikian, pentesting menjadi dasar utama dalam upaya lembaga keuangan untuk memastikan perlindungan data yang kokoh dan dapat diandalkan bagi nasabah mereka. Dengan mengadopsi pendekatan proaktif terhadap keamanan siber, lembaga keuangan dapat membangun kepercayaan yang lebih besar di antara nasabah mereka dan memastikan kelangsungan bisnis yang berkelanjutan dalam era digital yang terus berkembang. Dengan mengintegrasikan pentesting secara teratur dalam strategi keamanan mereka, lembaga keuangan dapat menghadapi ancaman siber dengan keyakinan dan ketangguhan yang diperlukan untuk melindungi data nasabah secara efektif.Oleh karena itu, mari lakukan pentesting menggunakan Widya Security dalam menjaga keamanan aplikasi mobile

 

Menarik bukan informasi mengenai penetration testing untuk menjaga keamanan data. Jika Anda tertarik mengenai layanan mengenai pentesting mari kunjungi link ini https://widyasecurity.com/penetration-testing/

 

sumber : Freepik