Apa itu social engineering? Social engineering adalah salah satu serangan cyber yang dilakukan dengan memanfaatkan kesalahan manusia. Anda harus berhati-hati dengan serangan ini agar informasi pribadi bisa tetap terlindungi.
Beberapa waktu yang lalu, muncul tren yang berisiko mengancam keamanan siber di Indonesia yaitu penggunaan fitur “Add Yours” di media sosial. Fitur ini memungkinkan pengguna Instagram untuk menanggapi Instagram Story pengguna lain mengenai suatu topik namun dengan versi dirinya sendiri.
Sebagai contoh, seorang pengguna Instagram meng-upload konten OOTD (Outfit of the Day) kemudian menempelkan sticker “Add Yours” di dalam Insta Story-nya. Dengan cara ini, follower dari pengguna tersebut dapat ikut memberikan komentar dengan meng-upload konten OOTD versi mereka sendiri.
Fitur ini sebenarnya sangat interaktif, namun sayangnya banyak orang-orang yang tidak bertanggung jawab yang justru memanfaatkan fitur tersebut untuk melakukan tindakan social engineering. Mereka membuat konten “Add Yours” dengan meminta orang-orang untuk mengirimkan sesuatu yang bersifat pribadi, seperti nomor KTP, tanda tangan, nama panggilan, dan lain-lain. Data-data tersebut kemudian dikumpulkan untuk melakukan tindakan penipuan yang lain.
Para penjahat dunia memang selalu mencari cara untuk mendapatkan data pribadi. Oleh karena itu, saat berjelajah di dunia maya, Anda harus tetap waspada dengan beragam serangan social engineering.
Agar Anda dapat lebih memahami apa itu social engineering, berikut kami berikan info selengkapnya untuk Anda.
Table of Contents
Apa Itu Social Engineering?
Social engineering adalah teknik manipulasi yang mengeksploitasi kesalahan manusia untuk mendapat informasi pribadi, akses suatu akun, atau barang-barang berharga. Penjahat di dunia memahami bahwa manusia menjadi rantai terlemah pada sistem keamanan. Oleh karena itu, mereka mencoba melakukan teknik social engineering agar pengguna mau memberikan data-data sensitif.
Di dunia maya, penipuan “human hacking” ini cenderung berhasil mengekspos data, menyebarkan infeksi malware, atau mencuri akses pada pengguna yang tidak menaruh curiga. Hal ini bisa terjadi karena penjahat mengeksploitasi kurangnya mengetahui pengguna tentang cyber security.
Pada umumnya, penjahat melakukan serangan social engineering karena didasari beberapa tujuan, yaitu:
- Sabotase: Penjahat ingin mengganggu, merusak, atau memanfaatkan data yang diperoleh untuk tindakan yang menyebabkan kerugian pada target korban.
- Pencurian: Penjahat ingin mendapatkan hal-hal berharga seperti informasi pribadi, akses, atau uang.
Bagaimana Social Engineering Dilakukan?
Saat melakukan teknik social engineering, penjahat pada umumnya akan melakukan manipulasi dengan berkomunikasi dengan target korban. Hal ini dilakukan karena para penjahat meyakini bahwa keberhasilan teknik social engineering tergantung pada kepercayaan target terhadap mereka.
Secara garis besar, berikut adalah beberapa langkah yang ada dilakukan oleh para penjahat saat melakukan social engineering:
1. Persiapan
Penjahat akan melakukan persiapan dengan mengumpulkan berbagai informasi mengenai background korban. Contohnya seperti tempat bekerja, group atau organisasi yang diikuti, nama perusahaan Bank yang digunakan, dan lain-lain.
2. Penyusupan
Dengan info background yang sudah diperoleh, penjahat akan mendekati korban. Biasanya mereka akan menyamar sebagai seseorang dari sumber yang dapat dipercaya. Contohnya seperti dari perusahaan tempat mereka bekerja, bank, atau yang lain.
3. Eksploitasi
Setelah target korban mempercayai penjahat yang menyamar, maka penjahat tersebut kemudian akan mulai mengeksploitasi korban. Mereka akan meminta informasi-informasi sensitif seperti credential akun, nomor KTP, nomor rekening, dan lain-lain. Selain itu, penjahat dunia maya juga sering mendorong korban untuk membuka link berbahaya.
4. Disengagement
Setelah penjahat yang berhasil memperoleh info sensitif, mereka kemudian akan menghilang dan berhenti melakukan komunikasi dengan target korban. Mereka kemudian akan memanfaatkan data-data yang sudah diperoleh untuk melakukan tindakan-tindakan yang merugikan korban.
Metode Serangan Social Engineering
Setelah Anda mengetahui apa itu social engineering dan cara kerjanya, berikut adalah beberapa jenis metode social engineering:
1. Phishing
Phishing adalah serangan social engineering di mana penjahat akan berpura-pura menjadi seseorang atau perusahaan terpercaya untuk mengelabui target korban. Hal ini dilakukan agar korban mau membagikan informasi sensitif, membuka link berbahaya, atau mengirimi mereka uang. Serangan ini biasanya dilakukan melalui media email, SMS, atau melalui telepon.
Perlu Anda ketahui, phishing menjadi metode yang paling umum dilakukan saat penjahat melakukan serangan social engineering. Oleh karena itu, perusahaan-perusahaan di Indonesia perlu memanfaatkan solusi simulasi phishing agar karyawan mereka bisa terlatih dalam mengenali dan menghindari serangan phishing.
Baca Juga: 3 Cara yang Dapat Anda Lakukan untuk Mengenali Email Phishing
2. Baiting
Sesuai dengan namanya serangan baiting (umpan) dilakukan dengan memberikan umpan. Baiting adalah serangan yang memanfaatkan rasa ingin tahu target korban. Penjahat biasanya menggunakan umpan dengan barang yang berharga atau layanan gratis. Contohnya seperti dengan membujuk korban agar membuka tautan berbahaya yang terlihat seperti unduhan musik, film, atau software gratis. Saat target korban terbujuk untuk melakukannya, maka penjahat dapat menyebarkan malware di perangkat korban.
Selain dilakukan melalui media internet, teknik baiting juga bisa dilakukan secara offline. Penjahat biasanya melakukannya dengan meninggalkan flash disk yang sudah terinfeksi malware di tempat-tempat umum seperti toilet umum, lift, tempat parkir atau yang lain. Saat korban mengambil umpan tersebut dan memasukkannya ke komputer kantor atau rumah, maka malware akan terinstal secara otomatis pada sistem.
3. Quid Pro Quo
Quid Pro Quo adalah serangan social engineering yang menjanjikan keuntungan untuk suatu pertukaran informasi. Penjahat bisa berpura-pura bekerja pada suatu instansi profesional dan meminta korban untuk memberikan data sensitif. Sebagai imbalan, penjahat akan memberikan giveaway atau hadian kepada target korban. Namun pada kenyataannya, tujuan utama penjahat hanyalah untuk memperoleh data sensitif tanpa dan tidak akan memberikan imbalan apapun kepada korbannya.
Baca Juga: 3 Penyebab Cyber Crime yang Paling Umum Terjadi
Kesimpulan
Informasi di atas membantu Anda memahami apa itu social engineering. Dari penjelasan yang sudah kami sampaikan, dapat diketahui bahwa saat ini penjahat dunia maya dapat melakukan berbagai hal untuk mendapatkan data sensitif. Sebagai pengguna internet, kita tentu harus terus meningkatkan cyber security awareness dan tidak mudah berbagi data pribadi dengan orang yang tidak dikenal.
Jika Anda adalah pemilik perusahaan, Anda perlu memastikan bahwa seluruh karyawan Anda dapat menjaga data sensitif perusahaan. Selain itu, sistem perusahaan yang Anda gunakan juga harus memiliki sistem keamanan yang kuat. Untuk membantu memastikan bahwa perusahaan Anda sudah memiliki cyber security yang baik, Anda bisa bekerja sama dengan tim IT security LOGIQUE. Tim kami akan melakukan penetration testing untuk mencari celah keamanan pada sistem yang dapat dieksploitasi oleh penjahat cyber.
Silakan hubungi kami atau klik jasa pentest Indonesia untuk mendapatkan informasi lebih lanjut.
