Social Engineering | Mengenal Apa Itu Social Engineering

Dunia teknologi yang berkembang tentunya diikuti pula dengan risiko tindak kriminal siber yang ada di dalamnya. Salah satu dari tindak kejahatan ini adalah manipulasi personal lewat social engineering. Apa itu social engineering dan bagaimana kita mencegahnya? Mari simak ulasan singkatnya berikut ini.

Apa itu social engineering?

Social engineering dapat diartikan sebagai rekayasa sosial lewat aktivitas manipulasi psikologi untuk mengelabui pengguna perangkat lunak atau aplikasi media sosial agar ia membuat kesalahan keamanan atau memberikan informasi sensitif kepada pihak anonim. Serangan social engineering dapat terjadi dalam satu atau beberapa langkah yang umumnya dimulai dengan penyelidikan oleh pelaku terhadap korban atau sasaran.

 Penyelidikan ini dilakukan dengan pengumpulan informasi atau latar belakang yang diperlukan, terutama titik masuk atau potensi utama dari protokol keamanan dari privasi korban yang lemah. Penyerang social engineering nantinya akan bergerak untuk mendapatkan kepercayaan korban dan memberikan rangsangan persuasif supaya korban membuat pelanggaran keamanan. Contoh dari hal ini adalah praktik untuk mengungkapkan informasi sensitif atau pemberian akses ke sumber daya penting.

Menurut Kaspersky, social engineering adalah teknik manipulasi yang besifat eksploitatif terhadap kesalahan manusia untuk mendapatkan informasi pribadi, akses, atau barang berharga. Social engineering merupakan salah satu tindak kejahatan di dunia siber karena bersifat meretas manusia dengan memikat mereka untuk mengekspos data hingga menyebarkan malware. Secara umum, social engineering memiliki dua tujuan utama yaitu:

Sabotase, yaitu mengganggu atau merusak data yang menyebabkan kerugian atau ketidaknyamanan pengguna

Pencurian, yaitu berusaha memperoleh barang berharga seperti informasi, akses, atau uang

Cara kerja social engineering

Dilansir Norton, social engineering dibangun dengan membentuk rasa percaya terlebih dahulu. Secara persuasif, pelaku akan membangun kepercayaan palsu pada korban hingga kemudian pelaku dapat melakukan serangan social engineering secara lebih mendalam. Adapun empat langkah cara kerja social engineering yang umum dikenal adalah sebagai berikut.

Persiapan, dilakukan dengan mengumpulkan informasi oleh pelaku social engineering tentang calon korban. Hal ini meliputi lokasi, akses, media sosial, surel, hingga pesan teks.

Infiltrasi, dilakukan dengan cara pelaku social engineering mendekati korban dengan menyamar sebagai sumber terpercaya dan menggunakan informasi yang telah dikumpulkan sebelumnya sebagai bahan validasi.

Eksploitasi, pelaku social engineering mulai meminta informasi dari korban secara persuasif seperti meminta login akun, metode pembayaran, informasi kontak untuk nantinya dipakai dalam serangan siber.

Disengagement, pelaku serangan social engineering menghentikan komunikasi dengan korban dan lekas pergi.

Jenis-jenis social engineering

Baiting

Baiting merupakan teknik social engineering yang dilakukan dengan serangan mengumpan lewat janji palsu atau membangkitkan rasa ingin tahu korban.

Para pelaku umumnya memikat pengguna ke dalam perangkap yang nantinya mencuir informasi pribadi mereka atau menyebabkan sistem mereka terkena malware. Penipuan social engineering dengan baiting dilakukan dengan memancing korban lewat rasa penasaran dan nantinya membuat pelaku masuk ke akses komputer atau akun sensitif korban. Penipuan dengan baiting dapat terjadi lewat iklan atau tautan situs yang mengarah ke situs jahat dan mendorong pengguna mengunduh malware.

Pretexting

Teknik social engineering dengan pretexting dilakukan lewat cara serangkaian kebohongan cerdik oleh pelaku terhadap korban

Cara ini umumnya dilakukan dengan pelaku berpura-pura membutuhkan informasi sensitif dari korban untuk melakukan suatu tugas penting atau riset tertentu. Penyerang social engineering dengan teknik ini memulai tindak kejahatannya dengan membangun kepercayaan dengan korban lewat penyamaran. Biasanya, para pelaku menyamar sebagai rekan kerja, polisi petugas bank atau pajak, atau orang lain yang punya otoritas untuk mengetahui data personal korban. Dengan cara itu, para pelaku bisa mendapatkan akses terhadap nomor jaminan sosial, alamat pribadi, nomor telepon, catatan bank, dan lain sebagainya yang nantinya dapat digunakan untuk tindakan kejahatan lebih lanjut.

Phishing

Teknik kejahatan siber ini dilakukan dengan kampanye lewat surel dan pesan teks yang bertujuan menciptakan rasa urgensi, rasa ingin tahu, atau ketakutan pada korban.

Jika kamu pernah mendapat SMS atau hal-hal seperti chat berisi anggota keluargamu kecelakaan dan lain-lain, hal itu masuk dalam tindakan social engineering jenis ini. Selain itu, korban umumnya juga didorong oleh rasa ingin tahu untuk mengklik suatu tautan ke situs jejaring berbahaya. Dari sana, nantinya pelaku akan menuntun korban untuk memasukkan pengiriman formulir berisi informasi kredensial seperti kata sandi akun mobile banking dan lainnya.

Scareware

Jika kamu pernah mendapatkan pesan berupa ancaman dari aplikasi atau situs web aneh yang muncul tiba-tiba dengan alarm bahaya tertentu, maka itu adalah salah satu social engineering dengan teknik scareware

Teknik social engineering jenis ini dilakukan dengan cara melibatkan korban dengan bombardir ancaman fiktif. Pelaku social engineering jenis ini umumnya mendorong korban untuk menginstal perangkat lunak berbahaya atau malware yang nantinya memindai data pribadi milik korban.

Contoh paling umum dari teknik social engineering jenis ini adalah banner pop-up yang kerap muncul di berbagai situs jejaring dan berujar bahwa komputer korban terinfeksi program atau virus berbahaya. Seketika, mereka akan menawarkan program untuk menangkal virus tersebut dengan cara mengunduhnya. Jika kamu mendapatkan hal seperti ini, cukup abaikan saja.

Posting Komentar

0 Komentar