Rekayasa Sosial (dalam keamanan siber)

Rekayasa sosial menjelaskan serangkaian teknik serangan non-teknis yang digunakan oleh penjahat dunia maya untuk memanipulasi pengguna agar mengesampingkan keamanan atau protokol proses bisnis lainnya, melakukan tindakan berbahaya, atau menyerahkan informasi sensitif.

5 min baca

5 min baca

Bagaimana cara kerja rekayasa sosial?

Sebagian besar teknik rekayasa sosial tidak memerlukan keterampilan teknis apa pun dari pihak peretas, yang berarti bahwa siapa pun mulai dari pencuri kecil hingga peretas paling canggih dapat beroperasi di ruang ini.

Ada banyak teknik yang termasuk dalam payung istilah rekayasa sosial dalam keamanan siber. Di antara yang paling terkenal adalah spam dan phising:

Spam adalah segala bentuk komunikasi yang tidak diminta yang dikirim secara massal. Paling sering, spam adalah email yang dikirim ke sebanyak mungkin pengguna, tetapi juga dapat dikirim melalui pesan instan, SMS, dan media sosial. Spam bukanlah rekayasa sosial semata, tetapi beberapa kampanyenya menggunakan teknik rekayasa sosial seperti phising, spearphishing, vishing, smishing, atau menyebarkan lampiran atau tautan berbahaya.

Phishing adalah bentuk serangan siber di mana penjahat menyamar sebagai entitas yang dapat dipercaya untuk meminta informasi sensitif dari korban. Jenis penipuan ini biasanya mencoba menciptakan rasa urgensi, atau menggunakan taktik menakut-nakuti untuk memaksa korban mematuhi permintaan pelaku. Kampanye phising dapat menargetkan sejumlah besar pengguna anonim, atau korban tertentu atau korban tertentu.

Tapi itu bukan satu-satunya teknik. Waspadalah terhadap ini juga:

Spearphishing adalah bentuk phising yang ditargetkan di mana peretas mengirim pesan yang sangat disesuaikan ke sekelompok orang terbatas, atau bahkan hanya seorang individu, dengan tujuan mengumpulkan data mereka atau memanipulasi mereka untuk melakukan tindakan berbahaya.

Vishing dan Smishing adalah teknik rekayasa sosial yang mirip dengan phising tetapi dilakukan dengan cara selain email. Vishing (voice phishing) menggunakan panggilan telepon palsu, sedangkan smishing (SMS phishing) menggunakan pesan teks SMS yang berisi tautan atau konten berbahaya.

Peniruan identitas dalam keamanan siber memiliki arti yang serupa dengan padanannya di dunia fisik. Penjahat dunia maya bertindak atas nama orang yang dapat dipercaya dan menipu korban untuk mengambil tindakan yang merugikan diri mereka sendiri atau perusahaan mereka. Contoh tipikal adalah peretas yang menyamar sebagai CEO perusahaan, saat CEO tidak menjabat, memrintahkan dan menyetujui transaksi penipuan.

Penipuan Dukungan TeknisPenipuan Dukungan Teknis biasanya berupa panggilan telepon palsu atau iklan web di mana peretas menawarkan layanan dukungan teknis yang tidak diminta kepada korban. Pada kenyataannya, penjahat dunia maya mencoba menghasilkan uang dengan menjual layanan palsu dan menghilangkan masalah yang tidak ada.

Scareware adalah perangkat lunak yang menggunakan berbagai teknik pemicu kecemasan untuk memanipulasi korban agar menginstal kode berbahaya lebih lanjut pada perangkat mereka, sementara juga biasanya mengekstraksi pembayaran untuk perangkat lunak berbahaya yang tidak berfungsi atau langsung. Contoh tipikal adalah produk antivirus palsu yang dirancang untuk mengelabui pengguna agar berpikir bahwa perangkat mereka telah disusupi dan mereka perlu menginstal perangkat lunak tertentu (biasanya berbahaya) untuk menghilangkan masalah.

(Cyber)Scams adalah skema penipuan yang sering menggunakan satu atau bahkan beberapa teknik rekayasa sosial yang dijelaskan di bagian ini.

Mengapa UKM harus peduli dengan rekayasa sosial?

UKM semakin sadar bahwa mereka adalah target penjahat dunia maya, menurut survei tahun 2019 yang dilakukan oleh Zogby Analytics atas nama Aliansi Keamanan Siber Nasional AS. Hampir setengah (44%) perusahaan dengan 251-500 karyawan mengatakan mereka telah mengalami pelanggaran data resmi dalam 12 bulan terakhir. Survei tersebut menemukan bahwa 88 persen usaha kecil percaya bahwa mereka setidaknya menjadi target "agak mungkin" bagi penjahat dunia maya, termasuk hampir setengah (46%) yang percaya bahwa mereka adalah target "sangat mungkin".

Kerusakannya nyata dan luas, sebuah poin yang diilustrasikan dengan baik oleh laporan tahunan Internet Crime Center (IC3) FBI. FBI memperkirakan bahwa, pada tahun 2018 saja, perusahaan AS kehilangan lebih dari $2,7 miliar karena serangan siber, termasuk $1,2 miliar yang dikaitkan dengan Business Email Compromise (BEC)/(EAC) Email Account Compromise yang memungkinkan transfer dana tanpa izin.

Bagaimana cara mengenali serangan rekayasa sosial?

Ada beberapa tanda bahaya yang dapat menandakan serangan rekayasa sosial. Tata bahasa dan ejaan yang buruk adalah salah satu hadiahnya. Begitu juga rasa urgensi yang meningkat yang berusaha mendorong penerima untuk bertindak tanpa ragu. Setiap permintaan untuk data sensitif harus segera membunyikan lonceng alarm: perusahaan terkemuka biasanya tidak meminta kata sandi atau data pribadi melalui email atau pesan teks.

Beberapa tanda bahaya yang mengarah ke rekayasa sosial:

1. Bahasa yang buruk dan umum

Biasanya, peretas tidak terlalu memperhatikan detail, mengirim pesan yang penuh kesalahan ketik, kata-kata yang hilang, dan tata bahasa yang buruk. Elemen linguistik lain yang dapat menandakan upaya serangan adalah salam dan rumusan umum. Jadi, jika email dimulai dengan "Penerima yang terhormat" atau "Pengguna yang terhormat", berhati-hatilah.

2. Alamat pengirim yang aneh

Sebagian besar spammer tidak meluangkan waktu untuk menipu nama atau domain pengirim agar terlihat dapat dipercaya. Jadi jika email berasal dari alamat yang merupakan campuran angka dan karakter acak atau tidak diketahui penerimanya, sebaiknya langsung masuk ke folder spam dan dilaporkan ke departemen TI.

3. Rasa urgensi

Penjahat di balik kampanye rekayasa sosial sering mencoba menakut-nakuti korban agar bertindak dengan menggunakan frasa yang memicu kecemasan seperti "kirimkan detail Anda segera, atau paket Anda akan dibuang" atau "jika Anda tidak memperbarui profil Anda sekarang, kami akan menutup akun Anda". Bank, perusahaan parsel, lembaga publik, dan bahkan departemen internal biasanya berkomunikasi dengan cara yang netral dan faktual. Oleh karena itu, jika pesan mencoba mendorong penerima untuk bertindak cepat, itu mungkin berbahaya dan berpotensi penipuan berbahaya.

4. Permintaan informasi sensitif

Institusi dan bahkan departemen lain di perusahaan Anda sendiri biasanya tidak akan meminta informasi sensitif melalui email atau telepon, kecuali jika kontak tersebut diprakarsai oleh karyawan.

5. Jika sesuatu terdengar terlalu bagus untuk menjadi kenyataan, mungkin itu adalah

Ini berlaku untuk hadiah yang tidak diminta di media sosial seperti halnya untuk "peluang bisnis yang sangat baik namun terbatas waktu" yang baru saja masuk ke kotak masuk Anda.

5 cara untuk melindungi perusahaan Anda dari serangan rekayasa sosial

1. Pelatihan keamanan siber reguler untuk semua karyawan, termasuk manajemen puncak dan personel TI. Ingatlah bahwa pelatihan semacam itu harus menunjukkan atau mensimulasikan skenario kehidupan nyata. Poin pembelajaran harus dapat ditindaklanjuti dan yang terpenting, diuji secara aktif di luar ruang pelatihan: teknik rekayasa sosial bergantung pada kesadaran keamanan siber yang rendah dari target mereka.

2. Pindai kata sandi lemah yang berpotensi menjadi pintu terbuka di jaringan perusahaan Anda untuk peretas. Selain itu, lindungi kata sandi dengan lapisan keamanan lain dengan menerapkan otentikasi multi-faktor.

3. Menerapkan solusi teknis untuk mengatasi komunikasi penipuan sehingga pesan spam dan phising terdeteksi, dikarantina, dinetralkan, dan dihapus. Solusi keamanan, termasuk banyak yang disediakan ESET, memiliki beberapa atau semua kemampuan ini.

4. Buat kebijakan keamanan yang dapat dimengerti yang dapat digunakan karyawan dan yang membantu mereka mengidentifikasi langkah-langkah apa yang perlu mereka ambil ketika mereka menghadapi rekayasa sosial.

5. Gunakan solusi keamanan dan alat administratif, seperti ESET Cloud Administrator, untuk melindungi titik akhir dan jaringan perusahaan Anda dengan memberikan administrator visibilitas penuh dan kemampuan untuk mendeteksi dan mengurangi potensi ancaman di jaringan.

Lawan rekayasa sosial sekarang

ESET PROTECT
Advanced

Lindungi organisasi Anda dari manipulasi psikologis dengan menggunakan solusi keamanan titik akhir berlapis ESET, termasuk perlindungan LiveGrid® melalui cloud dan perlindungan serangan jaringan, dan konsol ESET PROTECT berbasis cloud, untuk memberikan visibilitas jaringan yang lengkap dan mendetail kepada admin Anda, 24/7.