Serangan rekayasa sosial datang dalam berbagai bentuk.
Dalam beberapa tahun terakhir, terutama sejak meningkatnya penggunaan media sosial, pelaku kejahatan cyber telah menggunakan metode serangan psikologis maupun teknis. Manusia, pada dasarnya, cenderung percaya, terutama ketika terganggu atau dalam tekanan.
Hacker semakin banyak memanfaatkan kecenderungan alami ini untuk memengaruhi korban agar mengungkapkan data pribadi atau rahasia bisnis melalui manipulasi psikologis, yang dikenal sebagai rekayasa sosial. Bahkan, kebanyakan serangan cyber saat ini diinisiasi dengan cara ini.
Berikut adalah beberapa jenis serangan rekayasa sosial yang umum dan bagaimana cara menghindarinya.
Apa Itu Rekayasa Sosial?
Rekayasa sosial adalah bentuk serangan cyber di mana pelaku kejahatan memanipulasi korban untuk memberikan informasi sensitif. Ini adalah salah satu masalah terbesar bagi para profesional keamanan cyber saat ini.
Biasanya, seorang pelaku akan mencoba menipu korban agar percaya bahwa mereka tepercaya, sering kali menggunakan informasi yang diperoleh dari media sosial, sebelum membujuk mereka untuk memberikan data atau melaksanakan tindakan untuk mengompromikan keamanan. Kadang-kadang, para pelaku ini mencoba menipu individu agar membagikan uang atau data pribadi; kadang-kadang mereka mencoba mencuri data perusahaan dalam serangan yang bertujuan finansial. Terkadang, mereka disponsori oleh negara-negara antagonis dan mencoba untuk menghancurkan infrastruktur kritis atau membujuk tokoh politik untuk mengungkap rahasia. Apapun itu, hal ini dapat menyebabkan kerugian besar, dengan laporan Biaya Pelanggaran Data IBM 2023 menemukan bahwa biaya rata-rata serangan rekayasa sosial adalah $4,76 juta.
Jenis-Jenis Serangan Rekayasa Sosial
Sementara istilah rekayasa sosial mencakup setiap jenis tipu daya psikologis yang dirancang untuk mendapatkan uang atau data pribadi, serangan cenderung masuk ke dalam salah satu pola berikut.
Jenis serangan yang paling umum meliputi phishing, tailgating, pretexting, baiting dan scareware. Kecuali untuk tailgating, semuanya bergantung pada sarana komunikasi elektronik, mulai dari panggilan telepon dan SMS hingga surel dan video. Teknologi baru membuat semua metode ini lebih meyakinkan, dengan Kecerdasan Buatan semakin digunakan untuk membuat komunikasi yang lebih menggoda; media sosial, sementara itu, dapat memberikan pelaku semua data pribadi yang mereka butuhkan untuk membuat pendekatan mereka terlihat sah.
Phishing
Phishing sejauh ini adalah jenis rekayasa sosial yang paling umum – dan tren yang berkembang, dengan peneliti Vade menemukan bahwa jumlah serangan meningkat 173% selama kuartal ketiga 2023.
Jauhi umpannya.
Cara lain adalah duduk bersandar.
Phishing melibatkan menghubungi korban melalui surel, pesan teks (dikenal sebagai smishing) atau panggilan telepon (vishing) dan menggunakan teknik psikologis untuk menipu mereka agar mengungkapkan informasi pribadi atau data perusahaan, atau mengunduh malware. Ini biasanya berarti berpura-pura menjadi kontak bisnis, institusi tepercaya seperti bank, atau bahkan anggota keluarga, dengan pelaku memanfaatkan informasi yang mereka miliki untuk membuat bohongannya lebih meyakinkan. Contoh lain, sebuah kelompok Rusia yang dikenal sebagai Star Blizzard ditemukan menyasar organisasi pertahanan dan industri di AS dan Inggris, meniru kontak yang dikenal dari target untuk membujuk mereka agar mengunduh tautan palsu. Meskipun semua serangan phishing adalah bentuk rekayasa sosial, dua istilah tersebut tidak sepenuhnya sama artinya, karena rekayasa sosial juga dapat terjadi secara langsung daripada secara elektronik.
Tailgating
Tidak semua serangan rekayasa sosial terjadi secara online: terkadang, mereka dilakukan di dunia nyata. Tailgating adalah seni mendapatkan akses ke lokasi fisik untuk mencuri informasi atau melakukan kerusakan lain.
Ini adalah risiko khusus di tempat kerja yang sibuk – misalnya yang memiliki banyak karyawan yang masuk dan keluar, atau yang sering menerima pengiriman atau kunjungan dari subkontraktor. Pelaku kejahatan akan mencoba menyelinap melewati pintu di belakang pengunjung yang sah, mungkin dengan tangan penuh sehingga orang di depan membuka pintu untuk mereka. Metode lain termasuk menyamar sebagai kurir atau pengemudi pengiriman, atau mengklaim telah kehilangan ID atau lupa kode akses.
Pretexting
Pretexting adalah proses meyakinkan korban dengan membuat cerita yang masuk akal, dan merupakan landasan sentral dari setiap serangan rekayasa sosial.
Seorang pelaku kejahatan cyber dapat menyamar sebagai orang atau organisasi yang tepercaya – seorang atasan, rekan kerja, atau bank, misalnya – sebelum membangun skenario tertentu. Contoh umum termasuk situasi di mana korban diminta untuk membantu dengan sangat mendesak, seperti mentransfer uang ke kerabat atau atasan. Penipuan pretexting lainnya termasuk surel yang menawarkan kemenangan lotre, investasi kriptokurensi – atau, dalam kasus penipuan romantis, cinta seumur hidup korban. Dalam banyak kasus, penipu menghabiskan waktu dan usaha yang signifikan untuk menyiapkan skenario palsu.
Baiting
Baiting hanyalah apa yang terdengar: penciptaan insentif untuk mendorong korban agar tertarik. Ini bisa menjadi barang gratis, seperti hadiah atau film gratis, yang dijanjikan melalui tautan ke situs web berbahaya.
Terkadang, umpannya bersifat fisik, seperti USB yang ditinggalkan begitu saja, mungkin dilabeli dengan sesuatu yang menarik seperti ‘Informasi Rahasia’ atau ‘Pemutusan’. Metode ini digunakan oleh kelompok hacker yang terkait dengan China yang disebut UNC53, ditemukan oleh firma keamanan Mandiant pada tahun 2023: USB yang ditinggalkan di lokasi seperti kafe bandara dan toko layanan cetak digunakan untuk menyerang lebih dari 180 organisasi di AS, Eropa dan Asia dan mengirimkan malware.
Scareware
Sementara teknik baiting membuat korban tertarik, scareware melakukan hal yang sama dengan menekan. Salah satu taktik umum adalah iklan pop-up yang menyatakan bahwa korban memiliki malware di komputernya, dan mendorong mereka untuk menginstal perangkat lunak keamanan baru.
Scareware memang selalu memiliki unsur mendesak, dengan korban didorong untuk percaya bahwa bencana akan segera menimpa jika mereka tidak segera bertindak. Iklan palsu ini seringkali sangat meyakinkan, tampaknya berasal dari supplier antivirus yang asli, misalnya. Dalam satu contoh terbaru, peneliti Unit 42 menemukan kampanye berukuran besar yang disebut ApateWeb yang menggunakan jaringan lebih dari 130.000 domain untuk menyebarkan scareware, program yang mungkin tidak diinginkan, dan halaman penipuan lainnya.
Contoh Rekayasa Sosial di Dunia Nyata
Pada Februari 2024, jurnalis keuangan pribadi Charlotte Cowles mengungkap bagaimana dia berhasil dipersuasi untuk menyerahkan $50.000 dalam bentuk uang tunai setelah terjebak dalam skema rekayasa sosial yang kompleks, menunjukkan bahwa siapa pun bisa menjadi korban. Skema yang rumit yang menipunya melibatkan penyamaran investigator palsu FTC, agen CIA palsu, dan dasar alibi yang sangat rinci. Dia kehilangan $50.000 sebagai hasilnya.
Dan dalam contoh lain, akun 27 pelanggan cloud perusahaan pengembangan perangkat lunak Retool diretas setelah seorang pelaku berpura-pura menjadi anggota tim IT, dan mengatakan kepada penerima untuk mengklik tautan untuk menangani masalah terkait gaji. Rekayasa sosial ini dimulai dengan pesan SMS, namun dilanjutkan dengan penggunaan teknologi deepfake dari suara pekerja IT. Industri kripto, pada saat yang sama, sering menjadi target serangan rekayasa sosial, dengan laporan terbaru dari perusahaan analisis blockchain Chainalysis baru-baru ini menemukan bahwa penipuan phishing telah digunakan untuk mencuri kriptokurensi senilai $1 miliar sejak Mei 2021. Sebagai contoh, seorang pedagang kripto dilaporkan kehilangan $5,1 juta dalam token Beam setelah mendapat serangan phishing.
Bagaimana Mencegah Serangan Rekayasa Sosial
Menghindari serangan rekayasa sosial pada dasarnya berarti sangat-sangat curiga. Individu, baik di tempat kerja atau di luar jam kerja, sebaiknya menghindari membuka surel yang tidak terduga tanpa memeriksa sumbernya, atau memasukkan USB sembarangan ke PC mereka. Mereka harus waspada terhadap setiap pendekatan yang dijelaskan sebagai sangat mendesak, menggunakan penyaring spam yang baik, dan menjaga perangkat lunak anti-malware dan antivirus tetap terkini. Sandi unik harus digunakan untuk setiap akun, bersama dengan autentikasi dua faktor. Organisasi, sementara itu, sebaiknya melatih orang-orang untuk hal ini, dan juga memperkenalkan mekanisme pelaporan sederhana bagi karyawan yang yakin ada sesuatu yang salah. Dan jika yang terburuk terjadi, sandi harus segera diubah, dan laporan diajukan kepada penegak hukum atau badan nasional yang relevan.
Intisari
Manusia cenderung mudah tertipukan, dan seringkali bisa menjadi titik lemah dalam strategi keamanan cyber perusahaan. Sedikit keraguan yang sehat, pelatihan staf, dan perlindungan keamanan dasar dapat membantu individu dan organisasi meminimalkan risiko.