Serangan rekayasa sosial memanipulasi orang untuk membagikan informasi yang tidak seharusnya mereka bagikan, mengunduh perangkat lunak yang tidak seharusnya mereka unduh, mengunjungi situs web yang tidak seharusnya mereka kunjungi, mengirimkan uang kepada penjahat, atau melakukan kesalahan lain yang membahayakan keamanan pribadi atau organisasi mereka. Karena rekayasa sosial menggunakan manipulasi psikologis dan mengeksploitasi kesalahan atau kelemahan manusia daripada kerentanan teknis atau sistem digital, maka terkadang disebut 'peretasan manusia'.
Email yang tampaknya berasal dari rekan kerja tepercaya yang meminta informasi sensitif, pesan suara yang mengancam dan mengaku berasal dari IRS, tawaran kekayaan dari orang kaya asing-ini hanyalah beberapa contoh rekayasa sosial.
Penjahat siber sering kali menggunakan taktik rekayasa sosial untuk mendapatkan data pribadi atau informasi keuangan-kredensial login, nomor kartu kredit, nomor rekening bank, nomor Jaminan Sosial-yang dapat mereka gunakan untuk pencurian identitas, sehingga mereka dapat melakukan pembelian dengan menggunakan uang atau kredit orang lain, mengajukan pinjaman dengan menggunakan nama orang lain, mengajukan tunjangan pengangguran orang lain, dan banyak lagi. Tetapi serangan rekayasa sosial juga bisa menjadi tahap pertama dari serangan siber berskala lebih besar. Sebagai contoh, penjahat siber dapat mengelabui korban untuk membagikan nama pengguna dan kata sandi-dan kemudian menggunakan kredensial tersebut untuk menanamkan ransomware pada jaringan perusahaan korban.
Rekayasa sosial menarik bagi para penjahat siber karena memungkinkan mereka untuk mengakses jaringan digital, perangkat, dan akun tanpa harus melakukan pekerjaan teknis yang sulit untuk mengatasi firewall, perangkat lunak antivirus, dan kontrol keamanan s iber lainnya. Inilah salah satu alasan mengapa rekayasa sosial merupakan penyebab utama dari kompromi jaringan saat ini, menurut laporan State of Cybersecurity 2022 dari ISACA (tautan berada di luar IBM.com). Dan menurut laporan Cost of a Data Breach 2022 dari IBM, pelanggaran yang disebabkan oleh taktik rekayasa sosial (seperti phishing dan kompromi email bisnis) termasuk yang paling mahal.
Lihat cara IBM Security® QRadar® SIEM mengidentifikasi dan menyelidiki perilaku anomali.
Taktik dan teknik rekayasa sosial didasarkan pada ilmu pengetahuan tentang motivasi manusia. Mereka memanipulasi emosi dan naluri korban dengan cara yang terbukti mendorong orang untuk mengambil tindakan yang tidak sesuai dengan kepentingan terbaik mereka.
Sebagian besar serangan rekayasa sosial menggunakan satu atau beberapa taktik berikut ini:
Menyamar sebagai merek tepercaya: Penipu sering kali menyamar sebagai perusahaan yang dikenal, dipercaya, dan mungkin sering berbisnis dengan korban-saking seringnya, korban mengikuti instruksi dari merek-merek tersebut secara refleks, tanpa melakukan tindakan pencegahan yang tepat. Beberapa penipu rekayasa sosial menggunakan perangkat yang tersedia secara luas untuk membuat situs web palsu yang menyerupai situs web merek atau perusahaan besar.
Menyamar sebagai lembaga pemerintah atau figur otoritas: Orang-orang mempercayai, menghormati, atau takut pada otoritas (dalam berbagai tingkatan). Serangan rekayasa sosial memainkan naluri ini dengan pesan-pesan yang muncul atau mengaku berasal dari lembaga pemerintah (misalnya FBI atau IRS), tokoh politik, atau bahkan selebriti.
Menimbulkan rasa takut atau rasa terdesak: Orang cenderung bertindak gegabah saat takut atau terburu-buru. Penipuan rekayasa sosial dapat menggunakan berbagai teknik untuk menimbulkan rasa takut atau urgensi pada korban-memberitahukan kepada korban bahwa transaksi kredit baru-baru ini tidak disetujui, bahwa virus telah menginfeksi komputer mereka, bahwa gambar yang digunakan di situs web mereka melanggar hak cipta, dll. Rekayasa sosial juga dapat menarik rasa takut kehilangan korban (FOMO), yang menciptakan jenis urgensi yang berbeda.
Menarik keserakahan: Penipuan Pangeran Nigeria-sebuah email di mana seseorang yang mengaku sebagai bangsawan Nigeria yang mencoba melarikan diri dari negaranya menawarkan hadiah uang dalam jumlah besar sebagai imbalan atas informasi rekening bank penerima atau sedikit uang muka-adalah salah satu contoh rekayasa sosial yang paling terkenal yang menarik keserakahan. (Hal ini juga berasal dari figur yang dianggap memiliki otoritas, dan menciptakan rasa urgensi-kombinasi yang kuat). Penipuan ini sama tuanya dengan email itu sendiri, namun pada tahun 2018 masih meraup USD 700.000 per tahun.
Menarik rasa ingin menolong atau rasa ingin tahu: Taktik rekayasa sosial juga dapat menarik sifat baik korban. Misalnya, pesan yang tampaknya berasal dari teman atau situs jejaring sosial dapat menawarkan bantuan teknis, meminta partisipasi dalam survei, mengklaim bahwa kiriman si penerima telah menjadi viral-dan memberikan tautan palsu ke situs web palsu atau unduhan malware.
Phishing
Serangan phishing adalah pesan digital atau suara yang mencoba memanipulasi penerima untuk membagikan informasi sensitif, mengunduh perangkat lunak berbahaya, mentransfer uang atau aset ke orang yang salah, atau melakukan tindakan merusak lainnya. Penipu membuat pesan phishing agar terlihat atau terdengar seperti berasal dari organisasi atau individu yang tepercaya atau kredibel - terkadang bahkan individu yang dikenal oleh si penerima secara pribadi.
Ada banyak jenis penipuan phishing:
Email phishing massal dikirim ke jutaan penerima sekaligus. Email tersebut tampaknya dikirim oleh bisnis atau organisasi besar dan terkenal-bank nasional atau global, peritel online besar, penyedia pembayaran online populer, dll.-dan membuat permintaan umum seperti 'kami mengalami masalah dalam memproses pembelian Anda, mohon perbarui informasi kredit Anda. Seringkali, pesan-pesan ini menyertakan tautan berbahaya yang membawa penerima ke situs web palsu yang mengambil nama pengguna, kata sandi, data kartu kredit, dan banyak lagi.
Spear phishing menargetkan individu tertentu, biasanya orang yang memiliki akses istimewa ke informasi pengguna, jaringan komputer, atau dana perusahaan. Seorang penipu akan meneliti targetnya-sering kali menggunakan informasi yang ditemukan di LinkedIn, Facebook, atau media sosial lainnya-untuk membuat pesan yang tampaknya berasal dari seseorang yang dikenal dan dipercaya oleh target, atau yang mengacu pada situasi yang dikenal oleh target. Whale ph ishing adalah serangan phishing tombak yang menargetkan individu berprofil tinggi, seperti CEO atau tokoh politik. Dalam kompromi email bisnis (BEC), peretas menggunakan kredensial yang disusupi untuk mengirim pesan email dari akun email tokoh otoritas yang sebenarnya, sehingga membuat penipuan ini jauh lebih sulit untuk dideteksi.
Voice phishing, atau vishing, adalah phishing yang dilakukan melalui panggilan telepon. Individu biasanya mengalami vishing dalam bentuk rekaman telepon yang mengancam dan mengaku berasal dari FBI. Namun, IBM X-Force baru-baru ini menetapkan bahwa menambahkan vishing ke kampanye phishing yang ditargetkan dapat meningkatkan keberhasilan kampanye hingga 3x lipat.
Phishing SMS, atau smishing, adalah phishing melalui pesan teks.
Phishing mesin pencari melibatkan peretas yang membuat situs web jahat yang berperingkat tinggi dalam hasil pencarian untuk istilah pencarian populer.
Angler phishing adalah phishing melalui akun media sosial palsu yang menyamar sebagai akun resmi layanan pelanggan atau tim dukungan pelanggan perusahaan tepercaya.
Menurut IBM Security X-Force Threat Intelligence Index 2023, phishing adalah vektor infeksi malware yang paling banyak ditemukan, teridentifikasi pada 41% dari semua insiden. Dan menurut laporan Cost of a Data Breach 2022, phishing adalah vektor serangan awal yang mengarah ke pelanggaran data yang paling merugikan.
Memancing
Memancing korban untuk secara sadar atau tidak sadar memberikan informasi sensitif, atau mengunduh kode berbahaya, dengan cara menggoda mereka dengan tawaran berharga, atau bahkan benda berharga.
Penipuan Pangeran Nigeria mungkin adalah contoh paling terkenal dari teknik rekayasa sosial ini. Contoh yang lebih mutakhir termasuk unduhan game, musik, atau perangkat lunak yang gratis tetapi terinfeksi malware. Namun beberapa bentuk umpan tidak terlalu cerdik. Sebagai contoh, beberapa pelaku ancaman meninggalkan drive USB yang terinfeksi malware di tempat yang mudah ditemukan orang-dan mengambilnya serta menggunakannya karena 'hei, drive USB gratis'.
Tailgating
Dalam tailgating atau penguntitan, juga disebut 'piggybacking', orang yang tidak berwenang mengikuti orang yang berwenang ke dalam area yang berisi informasi sensitif atau aset berharga. Tailgating dapat dilakukan secara langsung — misalnya, pelaku ancaman dapat mengikuti karyawan melalui pintu yang tidak terkunci. Tetapi tailgating juga bisa menjadi taktik digital, seperti ketika seseorang meninggalkan komputer tanpa pengawasan saat masih masuk ke akun atau jaringan pribadi.
Pretexting
Dalam pretexting atau berpura-pura, pelaku ancaman menciptakan situasi palsu bagi korban, dan berpura-pura menjadi orang yang tepat untuk menyelesaikannya. Seringkali (dan yang paling ironis), penipu mengklaim bahwa korban telah terkena dampak pelanggaran keamanan, dan kemudian menawarkan untuk memperbaiki keadaan jika korban mau memberikan informasi akun penting, atau mengendalikan komputer atau perangkat korban. (Secara teknis, hampir semua serangan rekayasa sosial melibatkan beberapa tingkat pretexting).
Quid pro quo
Dalam penipuan quid pro quo, peretas menjuntai barang atau jasa yang diinginkan dengan imbalan informasi sensitif dari korban. Kemenangan kontes palsu atau hadiah loyalitas yang tampaknya tidak bersalah ('terima kasih atas pembayaran Anda—kami memiliki hadiah untuk Anda') adalah contoh dari qui pro quo ploys.
Scareware
Juga dianggap sebagai bentuk malware, scareware adalah perangkat lunak yang menggunakan rasa takut untuk memanipulasi orang agar berbagi informasi rahasia atau mengunduh malware. Scareware sering mengambil bentuk pemberitahuan penegakan hukum palsu yang menuduh pengguna melakukan kejahatan, atau pesan dukungan teknis palsu yang memperingatkan pengguna malware di perangkat mereka.
Serangan lubang air
Dari frasa 'seseorang meracuni lubang air' - peretas menyuntikkan kode berbahaya ke dalam halaman web yang sah yang sering dikunjungi oleh target mereka. Serangan lubang air bertanggung jawab atas segala sesuatu mulai dari kredensial yang dicuri hingga unduhan ransomware yang tidak disadari.
Serangan rekayasa sosial terkenal sulit dicegah karena mengandalkan psikologi manusia daripada jalur teknologi. Permukaan serangan juga signifikan: Dalam organisasi yang lebih besar, hanya perlu satu kesalahan karyawan untuk membahayakan integritas seluruh jaringan perusahaan. Beberapa langkah yang direkomendasikan para ahli untuk mengurangi risiko dan keberhasilan penipuan rekayasa sosial antara lain:
Pelatihan kesadaran keamanan: Banyak pengguna yang tidak tahu cara mengidentifikasi serangan rekayasa sosial. Dan di masa ketika pengguna sering memperdagangkan informasi pribadi untuk barang dan jasa, mereka tidak menyadari bahwa menyerahkan informasi yang tampaknya biasa saja, seperti nomor telepon atau tanggal lahir, dapat memungkinkan peretas untuk membobol akun. Pelatihan kesadaran keamanan, yang dikombinasikan dengan kebijakan keamanan data, dapat membantu karyawan memahami cara melindungi data sensitif mereka, dan cara mendeteksi serta merespons serangan rekayasa sosial yang sedang berlangsung.
Kebijakan kontrol akses: Kebijakan dan teknologi kontrol akses yang aman, termasuk autentikasi multi-faktor, autentikasi adaptif, dan pendekatan keamanan tanpa kepercayaan dapat membatasi akses penjahat siber ke informasi dan aset sensitif di jaringan perusahaan, bahkan jika mereka mendapatkan kredensial login pengguna.
Teknologi keamanan siber: Filter spam dan gateway email yang aman dapat mencegah beberapa serangan phishing agar tidak sampai ke karyawan. Firewall dan perangkat lunak antivirus dapat mengurangi tingkat kerusakan yang dilakukan oleh penyerang yang mendapatkan akses ke jaringan. Menjaga sistem operasi tetap diperbarui dengan patch terbaru juga dapat menutup beberapa kerentanan yang dieksploitasi oleh penyerang melalui rekayasa sosial. Dan solusi deteksi dan respons tingkat lanjut, termasuk deteksi dan respons titik akhir (EDR ) serta deteksi dan respons yang diperluas (XDR), dapat membantu tim keamanan dengan cepat mendeteksi dan menetralisir ancaman keamanan yang menginfeksi jaringan melalui taktik rekayasa sosial.
Uji karyawan Anda melalui latihan phishing, vishing, dan rekayasa sosial fisik. Mengungkap kerentanan karyawan, proses, dan kebijakan untuk mengurangi risiko serangan rekayasa sosial yang nyata akan berhasil.
Kirim teks aplikasi, jaringan, perangkat keras, dan personel untuk mengungkap dan memperbaiki kerentanan yang mengekspos aset terpenting Anda terhadap serangan. X-Force® Red Portal memungkinkan semua orang yang terlibat dalam remediasi untuk segera melihat temuan tes dan menjadwalkan tes keamanan sesuai keinginan mereka.
81% profesional SOC mengatakan bahwa mereka diperlambat oleh investigasi manual.1 Investigasi peringatan cepat dengan IBM Security QRadar® Suite, pilihan teknologi keamanan yang telah dimodernisasi yang menampilkan pengalaman analis terpadu yang dibangun dengan AI dan otomatisasi.
Cara terbaik untuk mencegah pelanggaran data adalah dengan memahami mengapa hal itu terjadi. Laporan Biaya Pelanggaran Data membagikan wawasan terbaru tentang lanskap ancaman yang berkembang dan menawarkan rekomendasi tentang cara menghemat waktu dan membatasi kerugian.
CISO, tim keamanan, dan pemimpin bisnis: Temukan wawasan yang dapat ditindaklanjuti untuk memahami bagaimana pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Penipuan phishing mengelabui korban untuk membocorkan data sensitif, mengunduh malware, dan mengekspos diri mereka sendiri atau organisasi mereka terhadap kejahatan siber.
Pelajari bagaimana autentikasi multifaktor memperkuat keamanan, memenuhi persyaratan kepatuhan terhadap peraturan, dan mendukung strategi keamanan tanpa kepercayaan.