Dalam dunia hacking, ada frasa yang menyebutkan bahwa “No System is Safe” atau bisa diartikan sebagai “tidak ada sistem yang aman”. Hal ini mengacu pada anggapan bahwa semua sistem keamanan pasti ada celahnya, salah satu hal yang paling krusial dalam sistem keamanan tersebut adalah manusia. Hacker akan memanfaatkan sifat seperti kecerobohan dan ketidakpatuhan terhadap praktik sistem keamanan dengan cara mendapatkan kepercayaan dari manusia dalam sistem keamanan, lalu kemudian manusia atau korban akan terjebak dalam permainan hacker, dan itulah yang menjadi gambaran dari social engineering.
Apa itu Social Engineering?
Seperti yang telah tergambar pada penjelasan sebelumnya, Social Engineering atau rekayasa sosial adalah metode manipulasi psikologis yang dilakukan oleh pihak-pihak jahat dengan tujuan memanfaatkan dan memanipulasi manusia untuk mendapatkan informasi rahasia, akses ke sistem, atau melakukan tindakan tertentu yang dapat merugikan individu atau organisasi.
Social engineering seringkali melibatkan interaksi manusia, baik melalui komunikasi langsung, telepon, email, atau media sosial. Para penyerang yang menggunakan social engineering berusaha untuk memanfaatkan kepercayaan, ketidaktahuan, atau faktor emosional lainnya dari target mereka untuk mencapai tujuan yang merugikan. Tujuan utama dari serangan social engineering biasanya untuk mendapatkan akses ke informasi rahasia, seperti kata sandi, nomor kartu kredit, atau data identitas pribadi.
Bentuk-bentuk umum dari social engineering melibatkan teknik manipulasi seperti pura-pura menjadi seseorang yang berwenang, menciptakan urgensi palsu, atau memanfaatkan kurangnya kehati-hatian dari target. Selain itu, seringkali para pelaku social engineering dapat dengan cerdik menyamar sebagai korban atau entitas tepercaya untuk memperdayai target mereka. Oleh karena itu, pemahaman dan kesadaran terhadap potensi serangan social engineering menjadi sangat penting dalam meningkatkan keamanan siber.
Cara Kerja Social Engineering
Social engineering terjadi karena anggapan bahwa lebih mudah untuk memanipulasi kepercayaan manusia daripada menemukan cara untuk meretas perangkat lunak dalam sistem. Dengan kata lain, hal ini memanfaatkan kecenderungan alami pada seseorang untuk untuk percaya. Dalam social engineering ada beberapa tahapan yang dilakukan oleh penyerang diantaranya :
The preparation stage
Pada tahap ini penyerang atau hacker mengidentifikasi seorang korban, mengumpulkan semua informasi yang diperlukan tentang potensi korban seperti akses ke akun media sosial, email, nomor telepon, dan memilih jenis serangan pada akhirnya.
The hook stage
Tahap selanjutnya yaitu melakukan pendekatan dengan seorang korban melalui sumber yang dapat dipercaya. Hal ini ditujukan untuk untuk bisa terlibat dalam interaksi bersama korban.
The exploitation stage
Pada tahap ini penyerang mulai melakukan permintaan informasi dari seorang korban seperti login, kata sandi, metode pembayaran, dan informasi kontak. Dalam tahap ini biasanya korban tidak menyadari bahwa mereka sedang tertipu dengan social engineering.
The exit stage
Dan tahap terakhir terjadi ketika penyerag berhenti berkomunikasi dengan seorang korban dan telah mendapatkan hal yang dituju yang kemudian penyerang akan melakukan serangan siber.
Contoh Social Engineering
Phishing
Phising ini merupakan sesuatu yang umum dilakukan, penyerang menciptakan situs web palsu atau mengirim email palsu yang menyamar sebagai entitas terpercaya untuk memancing korban mengungkapkan informasi pribadi, seperti kata sandi atau informasi keuangan. Contohnya seperti email palsu yang mengklaim berasal dari bank dan meminta korban untuk memasukkan kredensial login mereka ke dalam formulir yang sebenarnya palsu.
Pretexting
Contoh yang lainnya yaitu dengan pretexting, dalam metode ini penyerang menciptakan skenario palsu atau “pretext” untuk meminta informasi dari korban, penyerang sering kali menyamar sebagai orang atau entitas yang berwenang.seseorang menelepon karyawan dan berpura-pura menjadi staff IT yang memerlukan informasi login mereka untuk “memperbaiki masalah sistem.”
Baiting
Dalam Baiting, penyerang menawarkan sesuatu yang menarik, seperti media penyimpanan USB atau CD-ROM, yang mengandung malware. Korban kemudian secara tidak sengaja menginstal malware saat menggunakan perangkat tersebut. Contohnya yaitu menyebarkan USB palsu di area kantor dan menunggu karyawan yang menemukannya dan menyambungkannya ke komputer mereka.
Quid Pro Quo
Dalam aksi ini, penyerang menawarkan sesuatu kepada korban sebagai imbalan atas informasi yang diminta. Contohnya seperti menawarkan bantuan teknis gratis melalui telepon dan meminta korban untuk memberikan informasi login sebagai bagian dari “verifikasi.”
Tailgating
Tailgating bekerja dengan penyerang mengikuti seseorang yang memiliki akses ke gedung atau ruangan terkunci dan mencoba masuk bersama mereka tanpa izin. Contohnya seperti mengikuti karyawan yang menggunakan kartu akses untuk masuk ke gedung dan mencoba masuk bersamanya tanpa menggunakan kartu akses.
Dumpster Diving
Pada aksi ini penyerang mencari informasi berharga dalam tempat sampah korban, seperti dokumen atau kertas yang tidak dihancurkan dengan baik. Contohnya dengan mencari kertas atau dokumen yang mengandung informasi sensitif dari tempat sampah perusahaan.
Spear phishing
Aksi ini merupakan bentuk yang lebih berbahaya dari phishing, di mana serangan ditargetkan pada individu atau organisasi tertentu, dengan pesan yang sangat disesuaikan.Contoh dari aksi ini adalah mengirimkan email palsu kepada CEO sebuah perusahaan dengan informasi yang sangat spesifik tentang kegiatan bisnis perusahaan untuk memancing informasi rahasia atau akses ke sistem.
Cara Mencegah Social Engineering
Dengan semakin maraknya kejahatan siber saat ini, akan lebih baik apabila selalu menjaga diri dari ancaman social engineering dan juga ancaman siber lainnya, beberapa hal yang bisa dilakukan diantaranya sebagai berikut:
- Abaikan setiap permintaan informasi pribadi seperti kata sandi, nomor pribadi dan data pribadi.
- Tolak permintaan bantuan dan tawaran bantuan di sosial media, apabila kurang meyakinkan
- Atur filter spam dalam email ke tingkat tinggi agar terhindar dari phising dan malware lainnya
- Pasang antivirus atau anti malware dalam perangkat untuk mencegah akses yang tidak diizinkan
- Selalu waspada terhadap resiko seperti memeriksa berkali-kali terhadap data pribadi yang kita unggah ke dalam suatu internet.
Dengan menerapkan beberapa hal tersebut setidaknya akan mengurangi kemungkinan terkena ancaman siber khususnya social engineering. Selain itu jangan lupa untuk tidak mudah percaya dengan beberapa orang yang kita kenal hanya dari internet, karena setiap orang berpotensi menjadi penyerang dan korban.
Ditulis Oleh : Rian Jakawardana
