Dalam dunia yang semakin terhubung secara digital, ancaman terhadap keamanan siber terus berkembang dengan cepat. Salah satu jenis serangan yang terus mengkhawatirkan dan terus beradaptasi adalah social engineering atau rekayasa sosial. Social engineering merupakan seni memanipulasi individu agar mengungkapkan informasi rahasia atau menjalankan tindakan tertentu yang merugikan mereka atau organisasi mereka. Serangan semacam ini seringkali tidak hanya mencurigakan, tetapi juga mengelabui korban dengan metode persuasi yang canggih.
Mengutip data dari Oxford University, Executive Vice President Center of Digital BCA, Wani Sabu dalam Webinar ‘Waspada Modus Penipuan Gaya Baru’ mengatakan, 88% kasus perbankan di seluruh dunia dalam era digital ini adalah social engineering, bahkan di Indonesia, 99% serangan tersebut adalah social engineering.
Dalam sektor perbankan, modus awal dari para pelaku social engineer ini adalah menyamar sebagai costumer service atau support staff dari pihak bank, kartu kredit, atau instansi bidang keuangan lainnya, untuk mengorek data pribadi dari calon korban yang tidak menyadari kejahatan tersebut. Lantas, apa sih sebenernya social engineering itu? Apa saja metode dan contoh cyber attack yang menggunakan metode ini? Mari kita bahas tuntas.
Rekayasa sosial adalah seni memanipulasi, memengaruhi, atau menipu Anda untuk mendapatkan kendali atas sistem komputer Anda. Peretas mungkin menggunakan telepon, email, snail mail, atau kontak langsung untuk mendapatkan akses ilegal. Phishing, spear phishing, dan CEO Fraud adalah beberapa contohnya. Dan para pelakunya bisa jadi siapa saja yang menginginkan data kamu untuk meraup keuntungan. Bisa jadi keuntungan dari dana finansial di bank kamu, atau bahkan data penting dari Perusahaanmu. Intinya mereka adalah pelaku yang ingin mengambil data berharga dari kamu.
Metode Umum Serangan Social Engineering
Memahami berbagai vektor serangan untuk jenis kejahatan ini adalah kunci dalam hal pencegahan. Beginilah beberapa cara umum penjahat siber melakukannya:
1. Phishing
Proses untuk mendapatkan informasi sensitif seperti nama pengguna, kata sandi, dan detail kartu kredit dengan menyamar sebagai institusi yang dapat dipercaya menggunakan email massal yang mencoba menghindari filter spam. Email yang mengaku berasal dari situs sosial populer (facebook, twitter, Instagram), bank, atau administrator IT dan biasanya digunakan untuk memikat perhatian korban yang tidak curiga. Ini adalah bentuk social engineering yang menipu. Perhatikan pemberitahuan security Paypal palsu yang memperingatkan kemungkinan adanya tanda "aktivitas masuk yang tidak biasa" pada akun mereka:
Image 1: Paypal fake email
2. Spear Phishing
Serangan kecil, terfokus, dan ditargetkan melalui email kepada orang atau organisasi tertentu dengan tujuan untuk menembus pertahanan mereka. Serangan spear phishing dilakukan setelah melakukan penelitian terhadap target korban dan memiliki komponen khusus yang dipersonalisasi untuk membuat target melakukan sesuatu yang bertentangan dengan kepentingan mereka.
3. CEO Fraud
Berikut adalah contoh upaya penipuan CEO yang ditargetkan pada korban. Dia menerima email dari seseorang yang mengaku sebagai pemimpin diperusahaan korban. Contoh dari phishing ini dapat berupa banyak hal, mulai dari mentransfer sejumlah uang operasional, atau lainnya, yang sangat meyakinkan korban bahwa itu berasal dari pemimpin diperusahaannya.
4. Social Media
Pada metode ini, threat actor membuat profil palsu di media sosial dan mencoba memperdaya kamu. Mereka akan menyamar sebagai siapa saja (bisa orang terkenal, orang yang kamu kenal atau yang ingin berteman denganmu). Profil-profil ini akan terlihat asli dan sangat mudah untuk menipu. Katakanlah kamu tertipu, mereka akan mengirimkan link dan membuat kamu mau untuk membukanya dengan berbagai alasan.
Image 2: Social Media Engineering
Jika kamu mengklik link yang dikirimkan, kemungkinan besar credential kamu sudah dicuri oleh mereka atau kamu menginfeksi perangkat digital kamu (laptop atau handphone) yang memungkinkan mereka mengambil alih perangkat kamu.
Image 3: The Social Engineering Threat Landscape
Pada umumnya, threat actor tidak mencoba untuk mencoba mengeksploitasi kerentanan teknis pada perangkat kamu. Mereka malah mengincarmu. Karena tidak membutuhkan kemampuan teknis untuk sekedar menemukan satu orang yang mungkin bersedia disaat lemah, untuk membuka lampiran atau link berbahaya yang dikirimkan oleh mereka. Hanya sekitar 3% dari malware yang ditemui mencoba mengeksploitasi kelemahan teknis, dan 97% lainnya mencoba menipu atau mengelabui korban melalui beberapa jenis social engineering yang diatas. Artinya, masalahnya bukan dijenis PC kamu, Mac atau Windows, namun kita lah yang menjadi pertahanan terakhir.
Oleh karena itu, sebagai pertahanan terakhir, kita wajib untuk waspada terhadap segala jenis tipu muslihat diluar sana. Jika kamu belum sepenuhnya paham, kamu bisa mengikuti beberapa pelatihan kesadaran keamanan siber seperti KnowBe4 yang memiliki tampilan sederhana dan membuat kamu lebih sadar akan kejahatan siber diluar sana. Tunggu apa lagi? Klik disini untuk mengetahui lebih lanjut ya Primo CS!
Sources:
Youtube Live - Webinar Waspada Modus Penipuan Gaya Baru oleh Otoritas Jasa Keuangan
https://www.knowbe4.com/what-is-social-engineering/