TEKNIK SERANGAN SOCIAL ENGINEERING

Social engineering merupakan istilah yang digunakan untuk berbagai tindak kejahatan yang dilakukan dengan memanfaatkan interaksi dengan manusia. Teknik ini menggunakan manipulasi psikologis untuk menipu korban agar mereka melakukan kesalahan keamanan dan memberikan informasi sensitif.Social engineering sering digunakan oleh para hacker untuk mendapat informasi penting karena mereka memahami bahwa manusia atau user menjadi rantai terlemah pada sistem keamanan jaringan. Meskipun Anda telah membangun sistem keamanan yang baik, namun jika dioperasikan oleh user yang tidak kompeten, sistem tetap bisa dengan mudah diserang oleh hacker.Dalam melakukan serangan, hacker memiliki beberapa metode yang digunakan. Berikut beberapa metode umum yang sering digunakan.

METODE METODE SOCIAL ENGINEERING

PHISHING

Phishing menjadi jenis serangan paling umum dalam social engineering. Hacker akan menggunakan email yang berisi pesan palsu dan link berbahaya untuk memancing korban agar memberikan informasi penting. Agar korban percaya, hacker akan menulis pesan semirip mungkin dengan perusahaan resmi. Pesan juga akan ditulis dengan bahasa yang mampu menimbulkan rasa urgensi sehingga korban akan membuka link berbahaya dan memberikan data sensitif seperti user id, password, atau data penting lainnya. Jika Anda menemukan email yang mencurigakan sebaiknya hindari untuk membuka attachment atau link di dalamnya karena hacker juga bisa mengirim malware melalui email tersebut.

SPEAR PHISING

Versi yang lebih bertarget dari penipuan phishing di mana penyerang memilih individu atau perusahaan tertentu. Mereka kemudian menyesuaikan pesan mereka berdasarkan karakteristik, posisi pekerjaan, dan kontak milik korban mereka untuk membuat serangan mereka kurang mencolok. Membutuhkan lebih banyak upaya atas nama pelaku dan mungkin memerlukan waktu berminggu-minggu dan berbulan-bulan untuk menyelesaikannya. Mereka jauh lebih sulit untuk dideteksi dan memiliki tingkat keberhasilan yang lebih baik jika dilakukan dengan terampil. Pentingnya memberi awareness Security kepada setiap staff Anda untuk menjaga dari penipuan yang sering terjadi saat ini, jika Anda ingin tahu lebih dalam dan cara menanggulangi dengan efektif kami siap membantu Anda.

WHALLING ATTACK

Whalling attack merupakan jenis serangan phishing yang mengincar korban dengan jabatan yang lebih tinggi atau memiliki peran penting di perusahaan. Teknik ini mengadopsi teknik yang sama dengan email phishing, yang membedakan adalah target yang diserang. Email dibuat menyerupai email bisnis penting yang dikirim oleh otoritas resmi. Untuk melakukan metode ini, hacker membutuhkan lebih banyak penelitian dan perencanaan daripada metode phishing biasa. Mereka harus mencari banyak informasi terkait profil perusahaan atau target, agar email lebih mudah dipercaya oleh user yang akan diserang.

PRETEXTING

Dalam metode pretexting, hacker akan membuat skenario palsu untuk mencuri data pribadi korban. Serangan ini bisa dilakukan melalui telpon atau email. Hacker akan berpura-pura menjadi petugas bank, petugas lembaga negara, rekan kerja, atau bahkan staff IT perusahaan yang sedang membutuhkan info dari korban untuk tugas urgent. Keberhasilan pretexting ini tergantung dari kemampuan hacker dalam membangun kepercayaan dengan korban.

BAITING

Metode social engineering selanjutnya adalah baiting. Metode ini memanfaatkan rasa ingin tahu dari korban. Hacker dapat membujuk korban agar membuka tautan berbahaya dengan iming-iming yang menawarkan pengguna unduhan musik atau film gratis. Mereka juga bisa membuat iklan software gratis yang mengarahkan korban ke situs jahat dan mendorong korban untuk mengunduh aplikasi yang sudah terinfeksi malware.

QUID PRO QUO

Secara harfiah, Quid Pro Quo berarti ‘sesuatu untuk sesuatu’. Konsep ini menjanjikan korban keuntungan yang sama yang akan mereka dapatkan dari informasi yang mereka berikan. Taktik ini paling umum dilakukan oleh hacker yang berpura-pura menjadi orang layanan IT dan menelpon sebanyak-banyaknya orang dari perusahaan yang dapat mereka temukan. Hacker ini akan menawarkan bantuan kepada korbannya dengan menjanjikan perbaikan sistem IT yang lebih cepat dengan catatan perusahaan harus menonaktifkan program AV mereka untuk melakukan perbaikan tersebut. Lebih parahnya, hacker dengan taktik ini bisa jadi memiliki kemampuan yang lebih baik daripada orang layanan IT sungguhan.

TAILGATING

Beberapa orang mengenal istilah Tailgating ini dengan Piggyback. Taktik ini dilakukan dengan cara menguntit seseorang yang memiliki otentikasi, seperti karyawan perusahaan untuk masuk ke area yang tidak bisa diakses orang asing. Biasanya, pelaku tailgating, akan meniru kurir pengirim barang dan menunggu di luar gedung. Ketika seorang karyawan yang memiliki akses untuk masuk ke dalam area tersebut membuka pintu masuk, pelaku akan mengikutinya dengan menahan pintu itu lalu masuk ke dalam gedung.

CARA PENCEGAHAN

Taktik social engineering ini bisa dengan mudah dilakukan oleh hacker, dan tidak sulit juga bagi kita yang mungkin jadi korban mencegah penipuan tersebut. Berikut adalah beberapa cara agar kita bisa mencegah serangan social engineering.

• Jangan membuka email berisi tautan dari sumber yang tidak terpercaya.
• Jangan menerima tawaran dari orang yang tidak kamu kenal, apapun keuntungan yang akan kamu terima.
• Kunci laptopmu, kapanpun kamu keluar dari tempat kerjamu.
• Gunakan software anti-virus (AV). Meskipun AV tidak bisa mengamankanmu dari segala serangan, tapi setidaknya AV bisa menambal beberapa celah.
• Membaca dan mengerti kebijakan perusahaanmu terkait siapa orang-orang yang diizinkan masuk ke gedung perusahaan.