Social Engineering

Social Engineering

Social engineering ini merupakan salah satu ancaman yang patut diperhitungkan keberadaannya. Jenis data breaching satu ini tidak mudah untuk dideteksi dan bahkan bisa saja upaya manipulatif tersebut tanpa diketahui telah mengancam data kita setiap harinya tetapi kita tidak menyadarinya.

A. Apa itu Social Engineering

 

Social Engineering adalah seni memanipulasi seseorang sehingga mereka memberikan informasi penting dan rahasia. Jenis informasi yang dicari pelaku ini dapat bermacam-macam. Namun, ketika seseorang telah menjadi sasaran, para penjahat biasanya mencoba menipu orang tersebut agar memberi mereka kata sandi atau informasi bank, atau bahkan mengakses komputer korban untuk menginstal perangkat lunak berbahaya (Malicious Software) secara diam-diam yang akan memberi mereka akses ke akun korban. Dan apabila hal itu terjadi, maka sang pelaku dapat hak kendali atas perangkat korban. Dalam dunia Cybercrime, jenis penipuan ini dikategorikan sebagai human hacking dengan cara memikat tanpa tidak dicurigai sedikitpun.

Pengguna dapat dengan mudah mengungkapkan informasi penting, menyebarkan infeksi malware, dan memberikan akses ke sistem yang terjaga tanpa disadari. Serangan seperti ini dapat terjadi secara langsung (Face to Face), tidak langsung (Online), dan melalui interaksi lainnya yang sulit diprediksi. Pada umumnya, Social Engineering memiliki dua tujuan utama yang menjadi sasaran, seperti menyabotase dan mencuri. Dikarenakan penipuan ini didasarkan pada manipulasi psikologis, maka strategi serangan akan direncanakan sedemikian rupa berdasarkan cara korban berpikir dan bertindak. Dengan demikian, serangan manipulasi psikologis ini bisa dikatakan sangat efektif untuk mengelabui dan mempengaruhi perilaku korban.

Calon korban juga mungkin tidak menyadari keberhargaan nilai dari sebuah data pribadi seperti nomor telepon dan informasi pada kartu identitas mereka. Akibatnya, korban kehilangan data pribadi karena tidak memiliki pengetahuan mengenai cara terbaik untuk melindungi diri mereka dari serangan-serangan tersebut.

 

B. Bagaimana Cara Kerja dan Teknik dalam Social Engineering

Basis pola serangan Social Engineering selalu bermula dari komunikasi atau interaksi dalam bentuk apapun antara penyerang dan korban. Biasanya, penyerang akan berupaya membuat korban melakukan suatu hal yang tidak semestinya sehingga malah melakukan sesuatu hal yang diinginkan penyerang. Akhirnya, penyerang tidak perlu melakukan usaha-usaha lainnya seperti brute force attack atau meretas server dan jaringan yang berhubungan dengan si korban, tetapi korbannya sendiri yang memberikan akses bagi si penyerang.

Berikut dibawah ini adalah tahapan bagaimana serangan Social Engineering bekerja :

  • Preparasi, dengan cara mengumpulkan sebanyak dan sedapatnya mungkin informasi mengenai target atau korban. (Akan lebih mempermudah jika penyerang dan korban sudah saling mengetahui satu sama lain. Misalnya, seperti penyerang dan korban termasuk karyawan di perusahaan yang sama)
  • Infiltrasi, dengan cara menjalin hubungan yang baik dengan berbagai cara yang tujuannya adalah membangun kepercayaan antar penyerang dan korban.
  • Exploitasi target, dapat dimulai saat korban sudah percaya penuh terhadap penyerang dan membuka banyak sekali hal-hal privasi kepada penyerang, seperti seorang teman dekat yang memberitahu hal-hal rahasia, hingga penyerang mendapatkan hal-hal yang diinginkannya.
  • Melepas, dalam artian memutus koneksi dan hubungan dengan korban tersebut seperti tidak pernah berteman dari semula, yang pada akhirnya korban melakukan apa yang diinginkan oleh si penyerang tanpa sepengetahuan si korban bahwa penyerang tersebut bukanlah temannya dan terlambat untuk sadar bahwa si penyerang sudah melepas koneksi dengan korban.

Proses ini biasanya dapat terjadi dan berakhir dalam satu hari, atau bahkan bisa berbulan-bulan, bergantung pada korban yang tidak mudah dibohongi atau yang tidak mudah membeberkan hal-hal privasi kepada orang asing atau bahkan memiliki prinsip untuk tidak percaya kepada siapapun. 

Di era modern sekarang ini, sangat penting sekali bagi kita untuk mengetahui bahwa hacker zaman sekarang sering sekali menggunakan teknik penipuan untuk dapat mengambil-alih suatu hal kepunyaan orang lain, contohnya dengan cara Phishing Attack ataupun juga Social Engineering Attack

Tidak lama ini (dari sejak penulisan artikel ini), kita mengetahui bahwa ada kasus yang populer yaitu perusahaan ternama, UBER,  berhasil diretas dan banyak sekali data-data privasi yang tercuri, hingga hampir merugikan perusahaan AWS karena keduanya memiliki koneksi di dalam data privasi tersebut. Kasusnya dapat terjadi karena ada seseorang yang adalah bagian dari perusahaan UBER terjatuh ke dalam serangan Social Engineering sehingga memberikan koneksi VPN (Virtual Private Network) kepada penyerang agar dapat masuk ke dalam jaringan perusahaan UBER.

Terkait bentuk serangan dari Social Engineering, inti yang perlu kita ketahui adalah bahwa Social Engineering memfokuskan serangan kepada pribadi manusianya sendiri yang memiliki hati dan perasaan, sehingga beberapa faktor dibawah inilah yang akan menentukan bahwa penyerang sudah mulai mendapatkan kepercayaan dari korban :

  • Ketakutan
  • Ketertarikan
  • Rasa penasaran
  • Rasa bersalah
  • Kesedihan
  • Rasa/Kondisi yang terburu-buru (berpotensi kompromi terhadap apa yang benar hanya karena didesak oleh rasa diburu-buru sesuatu)
  • Rasa percaya

Jikalau seorang manusia sudah memainkan emosionalnya yaitu perasaannya sampai-sampai tidak ada penguasaan diri atau pengendalian diri (maksudnya, tidak bisa sadar dengan pikiran yang jernih), maka akan sangat terbuka terhadap serangan Social Engineering. Dan hal ini dapat dimanfaatkan oleh penyerang dengan cara membujuk kata-kata yang manis dan dengan kebaikan hati yang licik sehingga korban melakukan apa yang diinginkan penyerang.

 

C. Dampak yang Ditimbulkan dari Social Engineering

Dampak yang ditimbulkan oleh Social Engineering dapat dibilang berpotensi off-scale, maksudnya adalah biasanya hacker memiliki tujuan yang besar saat melakukan serangan Social Engineering yang lebih dari sekedar social manipulation sehingga serangan tidak berakhir pada “membuang-buang waktu” korban saja, tetapi sampai berhasil menaruh malware atau virus atau hal-hal lainnya yang dapat mengakibatkan kerusakan dan kerugian yang besar di pihak korban.

Jika kita melihatnya dari sisi perusahaan, perusahaan akan menerima kerugian yang besar karena harus mematikan atau memutus seluruh sumber daya dan juga akses kepada jaringan internet dan perangkat hanya dengan satu tujuan, yaitu membersihkan seluruhnya dari bekas jejak virus atau malware.

Perlu diingat bahwa, Social Engineering sama bahayanya dengan sebuah komputer atau server yang berhasil diretas karena dalam hal ini yang menjadi target penyerangannya adalah pribadi manusia sendiri. Dengan berhasil “diretasnya” manusia, maka langkah serangan selanjutnya akan merujuk kepada serangan yang dampaknya lebih besar.

 

D. Cara Memitigasi atau Mencegah Serangan Social Engineering

Social Engineering selalu memanipulasi perasaan seseorang seperti rasa penasaran (Curiosity) atau rasa takut, untuk melancarkan rencana dan memancing korban ke perangkap mereka. Oleh sebab itu, diperlukan suatu kewaspadaan apabila anda mendapat peringatan dari sebuah email yang tidak dikenal atau iklan-iklan yang meragukan.

Mewaspadai hal ini bisa membantu anda sebagai individu maupun perusahaan dalam melindungi diri melawan sebagian besar serangan Social Engineering yang biasa terjadi di dunia maya.

Pencegahan atau mitigasi dari Social Engineering sendiri dapat dilakukan dengan beberapa cara seperti berikut:

  1. Jangan membuka email dan lampiran dari sumber yang mencurigakan dan berpotensi Social Engineering. Cara yang dapat dilakukan adalah mengatur spam filter agar mengurangi email yang tidak diketahui asal-usulnya.
  2. Gunakan Multi-Factor Authentication. Dapat diartikan sebagai metode otentikasi atau proses verifikasi pengguna yang akan mengakses suatu perangkat maupun server. Jika suatu perangkat, akun, atau server dilindungi dengan multi-factor authentication, penggunanya harus memberikan dua atau bahkan lebih bukti bahwa orang tersebut memang pemilik asli dari perangkat, akun, atau server tersebut.
  3. Terus memperbarui software anti-virus yang digunakan. Untuk berjaga-jaga ada baiknya untuk memastikan fitur perbarui otomatis dijalankan, atau biasakan untuk mengunduh suatu perangkat lunak (Software) versi terbaru setiap hari sehingga dapat meminimalisir kemungkinan infeksi virus/malware.
  4. Jangan sembarangan mengisi form data pribadi atau menekan klik pada tautan asing. Data pribadi bisa disalahgunakan untuk berbagai kepentingan yang merugikan. Maka dari itu, kita diwajibkan untuk waspada dalam pembagian data pribadi di dunia maya.
  5. Menghindari download file yang tidak dikenal. Serangan Social Engineering kerap menggunakan file yang disisipkan malware, virus, atau sistem yang bisa meretas sebuah perangkat. Pastikan file yang akan kamu download berasal dari situs terpercaya.

 

E. Kesimpulan

Efek dari serangan Social Engineering dapat menimbulkan kasus yang melampaui sekedar file yang hilang ataupun data yang dicuri. Berbagai jenis serangan Social Engineering dapat mengganggu perusahaan, menyebabkan kerugian finansial, dan mengakibatkan nama yang buruk bagi suatu organisasi. 

Itulah mengapa sangat penting bagi kita semua untuk mempersiapkan, mengidentifikasi, mencegah, dan menangani serangan Social Engineering. Milikilah protokol, standar dan guidelines yang terupdate dan selalu dilakukan tanpa alasan apapun agar dapat mencegah terkena serangan Social Engineering. Kalau tidak dijalankan dengan baik, dampak dan kerugian yang diterima akan sangat besar. Dan juga tentunya agar terhindar dari hal-hal yang tidak diinginkan

Referensi:

https://usa.kaspersky.com/resource-center/definitions/what-is-social-engineerin

https://www.webroot.com/us/en/resources/tips-articles/what-is-social-engineering 

https://www.csoonline.com/article/social-engineering-definition-examples-and-techniques

https://www.imperva.com/learn/application-security/social-engineering-attack/

 

Daniel Eduardo Daud & Raymond Nolasco

Daniel Eduardo Daud & Raymond Nolasco