6 Jenis Serangan Rekayasa Sosial

Rekayasa sosial atau social engineering adalah serangkaian manipulasi psikologis yang dilakukan oleh seseorang dalam melakukan aksi atau menguak informasi. Sebagian besar rekayasa sosial atau social engineering berfokus pada kerentanan sistem jaringan komputer, yaitu seorang manusia. Kepercayaan, stres, dan keserakahan adalah kerentanan manusia yang kemudian menjadi senjata bagi penjahat untuk mendapatkan keuntungan.

Rekayasa sosial adalah upaya jahat yang dilakukan dengan terencana dan memanfaatkan emosi yang dimiliki manusia. Dalam serangan rekayasa sosial, penyerang menggunakan interaksi manusia (keterampilan sosial) untuk memperoleh atau membahayakan informasi tentang organisasi atau sistem komputer, Seorang penyerang mungkin saja akan tampak sederhana dan terhormat. Bisa jadi mengaku sebagai karyawan baru, petugas reparasi, atau peneliti dan bahkan memiliki kredensial atas identitas palsu tersebut.

Mereka akan menanyakan informasi untuk menyusup ke suatu jaringan. Jika penyerang tidak dapat mengumpulkan informasi yang cukup dari satu sumber, dia bisa saja menghubungi sumber lain dalam organisasi yang sama dan mengandalkan informasi dari sumber pertama untuk menambah kredibilitasnya. Rekayasa sosial tidak hanya dapat terjadi di dunia nyata, tetapi juga mencakup dunia maya. Ada berbagai jenis dan metode yang digunakan penjahat untuk menipu atau mengelabui korban.

Salah satu contoh rekayasa sosial adalah phishing. Phishing atau pengelabuan terjadi ketika penjahat dunia maya menggunakan email Anda untuk meniru identitas orang lain. Phishing bisa menggunakan metode spoofing dengan cara memalsukan identitas orang lain. Bisa dibilang, ini adalah jenis rekayasa sosial yang sangat sering digunakan hacker untuk memangsa korban atau mengumpulkan informasi pribadi.

Ada beberapa tipe phishing, tergantung pada metode komunikasi apa yang digunakan atau siapa yang ditargetkan. Di samping phishing email yang umum, beberapa tipe yang paling terkenal di antaranya:

• Spear Phishing. Spear Phishing adalah jenis phishing yang membutuhkan lebih banyak usaha tetapi juga memiliki tingkat keberhasilan yang lebih tinggi. Email phishing biasa dapat dikirim ke ribuan orang, sementara spear phishing menargetkan hanya individu atau kelompok kecil. Mereka biasanya berpura-pura menjadi orang tertentu yang Anda percayai.
• Vishing. Vishing adalah jenis serangan phishing lainnya. Penipu akan berpura-pura menghubungi Anda dari organisasi yang dipercaya menggunakan cara lama yaitu menelepon. Pertama-tama, mereka akan memalsukan nomor teleponnya untuk menyamar sebagai Anda atau perusahaan yang Anda percaya.

Anda dapat membaca lebih lengkap mengenai phising di artikel ini.

Pretexting adalah serangan manipulasi psikologi yang hampir sama dengan phishing karena menggunakan dalih yang menarik untuk menipu korban. Namun, jika phishing didasarkan pada ketakutan dan urgensi, maka pretexting adalah kebalikannya, yaitu didasarkan pada kepercayaan dan hubungan baik.

Pretexting membutuhkan lebih banyak penelitian daripada teknik manipulasi psikologis lainnya. Penjahat akan berpura-pura menjadi teman atau kolega Anda. Mereka tidak hanya berbohong, tetapi juga membuat skenario untuk menipu Anda yang mungkin berupa kepribadian palsu, gambar produk, dan bahkan nama industri.

Pada lingkungan perusahaan, peretas akan bekerja dengan baik dan tidak akan berhenti pada satu serangan. Tujuan mereka biasanya untuk mendapatkan informasi dari seseorang dengan tingkat senioritas tertentu. Sebenarnya, pretexting adalah serangan yang jarang dilakukan karena banyaknya penelitian yang harus dilakukan terlebih dahulu. Namun jika Anda menemui seseorang yang tampak terlalu ramah dan meminta data pribadi, jangan takut untuk menolaknya.

Catfishing adalah saat penipu membuat profil media sosial palsu dengan menggunakan foto, video, dan bahkan informasi pribadi orang lain. Identitas palsu ini biasanya digunakan untuk perundungan siber atau untuk mencari perhatian. Terkadang mereka juga menggunakannya untuk mengambil uang atau informasi pribadi korban, yang nantinya dapat digunakan dalam serangan lain. Jika Anda telah menjalin pertemanan daring yang sangat baik tetapi orang tersebut terus-menerus menemukan alasan saat diajak untuk bertemu langsung, kemungkinan besar Anda menjadi korban catfishing. Berikut beberapa tanda peringatannya:

• Menceritakan hal yang membuat Anda prihatin untuk meminta sumbangan.
• Alasan aneh seperti kamera atau telepon mereka yang tidak berfungsi.
• Menghindar setiap kali diajak bertemu.
• Menawarkan untuk bertemu di tempat pribadi.

Serangan manipulasi psikologis ini menggunakan umpan untuk membujuk Anda melakukan sesuatu agar peretas dapat menginfeksi komputer Anda dengan perangkat lunak perusak. Banyak rekayasa sosial yang menggunakan USB sebagai umpan, seperti meninggalkannya di kantor atau tempat parkir dan bertuliskan ‘Gaji Eksekutif’.

Orang yang menemukannya akan tergiur oleh rasa ingin tahu dan memasukkannya ke komputer. Namun dengan semakin canggihnya teknologi, teknik baiting ini pun semakin modern. Penjahat tidak lagi meninggalkan USB tetapi membuat situs palsu tempat pengunduhan film atau permainan yang sebenarnya adalah virus atau Malware.

Serangan ini terjadi dengan menawarkan layanan sebagai imbalan atas informasi pribadi Anda. Beberapa tahun yang lalu, serangan ini terjadi melalui email yang memberi tahu bahwa ada seorang Pangeran Nigeria yang telah meninggal dunia dan Anda mewarisi semua uangnya.

Anda hanya perlu memberi data rincian bank dan informasi pribadi serta mentransfer biaya penanganan yang jumlahnya kecil agar mereka dapat memindahkan uang pangeran tersebut ke rekening Anda. Meski tampaknya lucu, namun serangan macam ini masih relevan digunakan sampai sekarang.

Contact spamming adalah trik tertua dalam serangan ini. Ini merupakan teknik dengan cara meretas email atau akun media sosial Anda dan menghubungi teman Anda dengan pesan seperti “Saya baru saja menonton video yang mengejutkan, lihatlah!”. Dulu, saat akun dunia maya belum memiliki verifikasi dua langkah, korban atas serangan ini sangat banyak. Sayangnya, masih banyak sekali yang percaya dengan trik ini. Padahal, apabila Anda mengklik tautan tersebut Anda akan menginfeksi perangkat dengan Malware.

• Selalu waspada. Selalu bersikap waspada setiap kali Anda menerima panggilan telepon, kunjungan tiba-tiba dari orang asing, atau pesan email yang tidak Anda minta dari individu yang menanyakan tentang karyawan atau informasi internal lainnya. Jika seseorang yang tidak dikenal mengaku dari organisasi yang sah, coba verifikasi identitas orang tersebut langsung melalui perusahaan.
• Simpan informasi pribadi dengan baik. Jangan pernah memberikan informasi pribadi atau informasi mengenai organisasi Anda. Informasi yang dimaksud termasuk struktur jaringan perusahaan, nomor kartu pekerja, asuransi, dan lainnya. Terkecuali Anda benar-benar yakin akan otoritas seseorang yang memiliki informasi tersebut.
• Batasi informasi pribadi. Sebaiknya, selalu batasi informasi pribadi yang Anda sebarkan di internet. Ini termasuk biodata atau informasi umum pada akun media sosial dan email Anda. Ingat, peretas akan dengan mudah memprofilkan kepribadian Anda hanya dengan menelaah akun media sosial.
• Waspadai kesalahan. Sebagian besar rekayasa sosial dikirim melalui email. Bisnis yang legal akan memeriksa isi pesan atau email mereka tiga kali sebelum mengirim, sedangkan peretas tidak. Maka dari itu, peretas akan menuliskan kesalahan tata bahasa, ejaan, atau kesalahan huruf.
• Jangan takut untuk bertanya. Jika menurut Anda orang asing mencoba menipu Anda melalui telepon, jangan ragu untuk menanyakan otoritasnya. Tanyakan dari mana mereka berasal, tempat bekerja, bila perlu minta kartu identitas mereka untuk meyakinkan Anda bahwa mereka tidak bermaksud jahat.
• Jaga perangkat lunak Anda. Instal dan pelihara perangkat lunak seperti Antivirus Firewall, dan filter email untuk mengurangi masuknya spam. Meski tampaknya sederhana, namun menjaga dan memelihara perangkat lunak tersebut dapat secara signifikan mencegah Anda menjadi korban rekayasa sosial di dunia maya.
• Gunakan VPN. VPN akan membantu Anda menutupi identitas dan mencegah peretas menyadap komunikasi Anda terutama saat tersambung Wi-Fi publik. VPN dapat mengenkripsi pertukaran data saat Anda menjelajah di dunia maya. Fitur CyberSec yang dimiliki VPN online akan mencegah Anda mengunjungi situs palsu.
• Gunakan verifikasi dua langkah. Selalu aktifkan verifikasi dua langkah pada setiap akun yang terhubung dengan internet. Selain menjadikan akun Anda lebih aman, Anda juga dapat membatasinya dari akses orang yang tidak sah.

• Apabila Anda yakin bahwa seseorang telah mendapatkan informasi sensitif tentang perusahaan atau organisasi Anda, maka segera laporkan kepada orang yang tepat di organisasi tersebut, termasuk administrator jaringan. Hal ini dapat menjadi upaya tindak lanjut pertama jika terjadi aktivitas yang mencurigakan atau tidak biasa.
• Jika Anda yakin akun keuangan Anda mungkin telah disusupi, segera hubungi lembaga keuangan Anda dan tutup semua akun yang kemungkinan juga disusupi. Perhatikan pula tagihan masuk dan keluar dari akun keuangan tersebut.
• Segera ubah kata sandi yang mungkin terekspos ke orang lain. Jika Anda menggunakan kata sandi yang sama untuk beberapa akun, pastikan untuk mengubahnya dan jangan gunakan kata sandi tersebut lagi.
• Perhatikan tanda-tanda pencurian identitas lainnya. Jika Anda tiba-tiba menerima tagihan atas barang yang tidak pernah Anda beli, segera periksa nomor tagihan tersebut dan buat laporan ke lembaga keuangan serta pihak yang berwajib.
• Pertimbangkan untuk melaporkan kasus serangan yang terjadi ke polisi.