Social engineering sangat berbahaya bagi setiap orang, karena sudah banyak orang tertipu karena antivirus dan firewall tidak bisa menghentikan serangan ini.
Oleh karena itu, untuk mencegahnya tidak bisa cuma bergantung pada teknologi saja, tetapi juga harus ada edukasi dan pengaplikasian prosedur agar tidak ada human error.
Jika Anda ingin mengetahui lebih jauh tentang social engineering, simak artikel Wowrack hingga akhir.
Apa Itu Social Engineering?
Social engineering adalah salah satu jenis serangan siber yang penggunaannya memanipulasi psikologis manusia untuk memperoleh informasi penting untuk keuntungan.
Berbeda dengan serangan siber lain, cara pengaplikasiannya dengan menargetkan kelemahan manusia sebagai titik terlemah dalam menjaga informasi.
Modusnya, pelaku akan menyamar sebagai pihak yang dipercaya dari internal, contohnya rekan kerja, menyamar sebagai atasan, dan sering juga menyamar sebagai penyedia layanan.
Pelaku akan menciptakan situasi mendesak serta meyakinkan untuk mendorong korban secara tidak sadar mengklik, memberikan data penting, atau mendownload file.
Serangan social engineering dilakukan melalui media email, pesan singkat (WA), telepon, dan akun media sosial.
Mengapa Sangat Berbahaya?
Untuk melakukan serangan siber ini, hacker tidak memerlukan skill khusus, karena bisa berhasil dengan memanfaatkan emosi target seperti rasa takut, urgensi, hingga keyakinan yang mengira pelaku adalah instansi resmi.
Korban bisa memberikan semua informasi tanpa sadar sama sekali jika sedang ditipu. Kenapa sangat berbahaya? Serangan social engineering tidak bisa dideteksi oleh antivirus karena memang tidak menggunakan malware.
Jika sudah menyerahkan data penting, dampaknya bisa berbahaya: pencurian data, kehilangan uang di tabungan, hingga rusaknya reputasi perusahaan.
Faktor-Faktor Yang Membuat User Menyerahkan Informasi
- Rasa Takut
Hacker akan memanfaatkan rasa takut target dengan cara menyampaikan ancaman seperti akun user bisa saja terblokir jika tidak segera mendownload program tertentu, atau data akan dihapus jika tidak segera melakukan tindakan tertentu. Karena emosi ketakutan membuat korban panik dan bertindak impulsif, korban akan langsung mengikuti instruksi hacker.
- Urgensi
User yang mendapat pesan dari hacker akan mendapatkan isi pesan yang bersifat mendesak untuk mendorong korban segera bertindak. Kalimat seperti ini biasanya digunakan hacker untuk memanipulasi korban, seperti “harus sesegera mungkin”, “batas waktu hari ini”, atau “tindakan cepat diperlukan”. Kalimat-kalimat ini sengaja dipakai hacker supaya korban tidak diberikan waktu untuk berpikir jernih.
- Kepercayaan
Ada juga teknik social engineering dengan cara membangun kepercayaan, seperti menyamar sebagai orang yang dikenal, contohnya adalah rekan kerja, atasan, dan seringnya penyedia layanan resmi. Ketika user sudah percaya maka kewaspadaan user akan menurunkan dan akan langsung memberikan informasi ke hacker.
- Otoritas
Faktor yang dipakai selanjutnya adalah hacker yang mengatasnamakan figur berwenang, contohnya menyamar sebagai tim di manajemen, pihak IT dari perusahaan tertentu, atau menyamar sebagai lembaga resmi, sehingga korban akan langsung patuh pada hacker. Karena kebanyakan orang akan langsung melaksanakan perintah dari orang yang dianggap memiliki jabatan lebih tinggi.
Jenis-Jenis Serangan Yang Digunakan
Berikut ini kami kumpulkan jenis-jenis serangan social engineering dari kasus-kasus serangan siber yang pernah dihadapi klien Wowrack.
Phishing
Phishing adalah salah satu serangan paling sering yang didapatkan klien kami. Serangan ini dikirim ke email target atau situs palsu yang menyamar sebagai situs aslinya. Hacker akan membuat situs yang 100% mirip untuk memancing korban mengisi form login, dan memberikan informasi login dan password atau data pada kartu kredit.
Spear Phishing
Selanjutnya, jenis-jenis serangan siber yang digunakan untuk social engineering adalah spear phishing, yaitu serangan siber yang mengarah ke akun personal. Penyerang menyamar sebagai individu yang menarget teman sekantor dengan pesan yang disesuaikan berdasarkan kebutuhan target, karena target merasa kenal dengan pelaku, maka target akan memberikan informasi yang diminta oleh pelaku.
Whaling
Whaling adalah serangan yang khusus menargetkan pemimpin dalam organisasi, contohnya C-level seperti CEO, CFO, CTO. Karena C-level memiliki banyak akses, korban yang terkena whaling akan mengalami kerugian finansial yang besar.
Vishing dan Smishing
Vishing (voice phishing) dilakukan dengan media telepon, sedangkan smishing (SMS phishing) adalah kejahatan yang dilakukan dengan media SMS. Cara kerjanya adalah pelaku berpura-pura menjadi pihak resmi dan kadang memiliki informasi lengkap terhadap target, seperti nomor KTP, kartu keluarga, dan pekerjaan. Tujuannya untuk meminta data korban.
Contoh Kasus
Berikut ini adalah berbagai contoh kasus social engineering yang sering dialami perusahaan di Indonesia dan luar negeri, kami kumpulkan untuk Anda
1. Serangan Melalui Email Perusahaan
Salah satu kasus paling sering kami temui adalah penyebaran email palsu yang mengatasnamakan tim IT dari bagian manajemen.
Email yang berisi link berbahaya ini akan disamarkan dengan isi email yang menganjurkan penerima untuk memperbarui kata sandi secara mendesak, ada juga yang berisi anjuran untuk mengunduh file.
Banyak orang tertipu karena emailnya sangat mirip dengan email resmi resmi, karyawan penerima email pasti tidak akan menyadari jika email tersebut adalah bagian dari serangan social engineering, cara paling tepat untuk menghindari email berbahaya adalah menggunakan perlindungan email.
2. Social Engineering di Media Sosial
Pada serangan ini, hacker mengumpulkan informasi dari akun media sosial korban, contohnya info terkait pekerjaan, apa jabatan di perusahaan, siapa saja rekan kerja, dan aktivitas sehari-hari.
Setelah mendapatkan informasi ini, pelaku menggunakannya untuk membangun kepercayaan, contohnya adalah berpura-pura sebagai teman.
Lalu pelaku akan mengirim pesan untuk meminta data sensitif atau mengarahkan target untuk mengklik link berbahaya.
3. Social Engineering di Lingkungan Kantor
Ada juga contoh kasus social engineering yang dilakukan secara offline, atau langsung datang ke kantor. Pertama-tama, penyerang menyamar sebagai tamu, vendor, atau teknisi. Lalu pelaku akan meminta akses ke area penting untuk mencari informasi internal. Dengan memanfaatkan kelemahan dari korban, melalui rasa sopan dan ketidaktahuan karyawan, hacker yang sudah masuk ke area kantor berpotensi mencuri data perusahaan.
Ciri-Ciri Anda Sedang Menjadi Target
Jika Anda menemukan ciri-ciri di bawah ini pada media serangan seperti email, akun media sosial, dan lain sebagainya, Anda harus waspada. Berikut kami buatkan ciri-ciri jika Anda sedang ditargetkan.
- Pesan Mendesak dan Tidak Wajar
Ciri pertama jika Anda sedang ditargetkan adalah Anda akan mendapatkan pesan yang isinya mendesak. Hacker ingin menciptakan waktu yang terbatas, seperti alasan darurat, agar Anda segera bertindak sekarang juga. Hacker memang sengaja membuat situasi seperti ini agar Anda tidak sempat melakukan verifikasi ke pihak asli.
- Permintaan Data Sensitif
Jika Anda mendapatkan permintaan dalam bentuk apa pun untuk memberikan informasi rahasia seperti kata sandi, kode OTP, nomor VCC kartu kredit, atau Anda disuruh login dan mengikuti perintah orang yang tidak Anda kenal, ini adalah pertanda Anda sedang menjadi target penipuan social engineering. Pihak resmi sekalipun tidak boleh meminta informasi data sensitif melalui email, pesan singkat, dan juga melalui telepon karena menyalahi aturan perusahaan.
Pengirim Tidak Dikenal atau Dipalsukan
Jika Anda mendapatkan email dari alamat email yang mirip, namun ada huruf atau angka yang mencurigakan, nomor telepon tidak dikenal, atau akun media sosial pengirim pesan sering kali mirip seperti orang yang kita kenal, atau ada perbedaan huruf pada domain, maka bisa menjadi indikasi bahwa Anda sedang menjadi target penipuan.
Tahap-Tahap Serangan
Berikut ini adalah tahap-tahap yang akan dilakukan hacker untuk menjalankan serangan social engineering.
Tahap Pengumpulan Informasi (Reconnaissance)
Tahap awal hacker harus mengumpulkan informasi target melalui berbagai sumber yang tersedia secara gratis, contohnya dari akun media sosial, data yang tertera di website perusahaan, dan email.
Informasi yang harus didapatkan oleh pencuri adalah struktur organisasi, jabatan, bagaimana pola kerja target, hingga teknologi apa saja yang digunakan. Data-data ini akan disusun menjadi skenario serangan untuk meyakinkan target.
Tahap Manipulasi
Setelah informasi dikumpulkan, penyerang mulai membangun kepercayaan dengan menyamar sebagai orang yang dikenal korban. Pelaku akan mengirimkan pesan yang sudah dijelaskan sebelumnya kepada korban terkait urgensi atau rasa takut untuk memanipulasi korban agar mengikuti instruksi pelaku.
Tahap Pengambilan Data
Pada tahap ini, penyerang akan menyarankan korban melakukan tindakan, seperti meminta info login atau mengarahkan korban ke situs palsu yang dibuat sangat mirip dengan situs aslinya. Jika berhasil, maka hacker akan sukses memperoleh data penting.
Tahap Penghilangan Jejak
Setelah mendapatkan semua yang diinginkan dari korban, hacker akan berusaha menghilangkan jejak aktivitasnya agar tidak terdeteksi.
Pertama-tama menghapus jejak komunikasi yang sudah dijalankan agar tidak ada bekas sama sekali, selanjutnya menyembunyikan akses seperti website phising tidak bisa diakses.
Cara Antisipasi Serangan Social Engineering
Ada beberapa cara untuk mencegah serangan social engineering terjadi di perusahaan Anda. Berikut ini adalah cara paling efektif untuk menghindari dan mencegah serangan.
Security Awareness Training
Security awareness training adalah pelatihan keamanan berbasis kesadaran pada setiap orang di perusahaan, training ini akan mensimulasikan contoh-contoh serangan social engineering dan berbagai serangan lain agar karyawan mengetahui jika sedang diserang.
Melalui simulasi serangan siber, karyawan bisa mengetahui pola serangan dan langsung melakukan tindakan preventif, sehingga bisa mengurangi kesalahan karena kelalaian manusia.
Email Filtering Threat Detection
Jika perusahaan Anda memiliki teknologi email filtering dan threat detection, maka bisa mencegah terjadinya serangan sejak dini. Email filtering bisa mengetahui isi email apakah ada link mencurigakan, dan langsung memasukkan email mencurigakan ini ke spam atau junk. Dengan adanya email filtrasi ini, email-email berbahaya bisa disaring otomatis sehingga karyawan tidak melakukan kesalahan karena mengklik tautan berbahaya.
Gunakan Monitoring Aktivitas
Sebaiknya tim siber Anda menerapkan sistem monitoring aktivitas agar bisa mendeteksi perilaku yang tidak wajar pada sistem sejak dini.
Dengan adanya sistem monitoring keamanan jaringan, monitoring server yang terstruktur, perusahaan Anda tidak perlu takut lagi dengan serangan social engineering.
Buat Sistem Backup dengan Acronis
Banyak orang meremehkan pentingnya sistem backup, padahal backup adalah perlindungan terakhir jika penyerang berhasil membobol sistem Anda. Jika perusahaan Anda belum memiliki sistem backup yang baik, kami menyarankan untuk menggunakan layanan backup Acronis. Layanan ini bisa melakukan pencadangan secara otomatis. Sehingga perusahaan Anda tidak mungkin kehilangan sistem backup, karena sudah dilakukan secara otomatis.
Kesimpulan
Social engineering adalah serangan siber paling serius dan kompleks, karena selama proses melakukannya memanfaatkan data serta kelemahan manusia.
Dengan berbagai cara untuk memanipulasi korban, melalui rasa takut, tindakan yang harus dilakukan dengan segera, kepercayaan terhadap jabatan di atasnya, hacker dapat memperoleh akses ke sistem tanpa disadari oleh korban.
Oleh karena itu, pencegahannya harus dilakukan dengan beberapa cara, yaitu memberikan edukasi pada tim internal, penerapan sistem keamanan yang baik, serta penggunaan teknologi uji phishing perusahaan, menggunakan layanan SOC, atau next generation firewall identity management, monitoring sistem, dan backup data dengan Acronis.
Dengan adanya kesadaran dari tim internal dan semua karyawan maka serangan social engineering dapat dihindari dengan baik.
