Apa yang dimaksud dengan rekayasa sosial?

Email yang tampaknya berasal dari rekan kerja tepercaya yang meminta informasi rahasia, pesan suara yang mengancam dan mengaku berasal dari IRS, tawaran kekayaan dari orang kaya asing, ini hanyalah beberapa contoh rekayasa sosial. Karena rekayasa sosial menggunakan manipulasi psikologis dan mengeksploitasi kesalahan atau kelemahan manusia daripada kerentanan sistem teknis atau digital, maka sering disebut "peretasan manusia."

Penjahat siber sering menggunakan taktik rekayasa sosial untuk mendapatkan data pribadi atau informasi keuangan, termasuk kredensial login, nomor kartu kredit, nomor rekening bank, dan nomor Jaminan Sosial. Mereka menggunakan informasi yang dicuri untuk pencurian identitas, memungkinkan mereka melakukan pembelian menggunakan uang atau kredit orang lain, mengajukan pinjaman atas nama orang lain, mengajukan manfaat orang lain dan banyak lagi.

Namun, serangan rekayasa sosial juga bisa menjadi tahap pertama dari serangan siber berskala lebih besar. Sebagai contoh, penjahat siber dapat mengelabui korban untuk membagikan nama pengguna dan kata sandi, dan kemudian menggunakan kredensial tersebut untuk menanamkan ransomware pada jaringan perusahaan korban.

Rekayasa sosial menarik bagi para penjahat siber karena memungkinkan mereka untuk mengakses jaringan digital, perangkat, dan akun tanpa harus melakukan pekerjaan teknis yang sulit untuk mengatasi firewall, perangkat lunak antivirus, dan kontrol keamanan siber lainnya.

Inilah salah satu alasan mengapa rekayasa sosial merupakan penyebab utama dari penyusupan jaringan saat ini, menurut laporan State of Cybersecurity 2022 dari ISACA. Menurut laporan Biaya Pelanggaran Data dari IBM, pelanggaran yang disebabkan oleh taktik rekayasa sosial (seperti phishing dan penyusupan email bisnis) termasuk yang paling merugikan.

Taktik dan teknik rekayasa sosial didasarkan pada ilmu pengetahuan tentang motivasi manusia. Mereka memanipulasi emosi dan naluri korban dengan cara yang terbukti mendorong orang untuk mengambil tindakan yang tidak sesuai dengan kepentingan terbaik mereka.

Sebagian besar serangan rekayasa sosial menggunakan satu atau beberapa taktik berikut ini:

• Menyamar sebagai merek tepercaya: Penipu sering kali menyamar atau "meniru" perusahaan yang dikenal, dipercaya, dan mungkin sering berbisnis dengan korban, sehingga seringnya korban mengikuti instruksi dari merek-merek tersebut secara refleks, tanpa melakukan tindakan pencegahan yang tepat. Beberapa penipu rekayasa sosial menggunakan perangkat yang tersedia secara luas untuk membuat situs web palsu yang menyerupai situs web merek atau perusahaan besar.

• Menyamar sebagai lembaga pemerintah atau figur otoritas: Orang-orang mempercayai, menghormati, atau takut pada otoritas (dalam tingkatan yang berbeda-beda). Serangan rekayasa sosial memainkan naluri ini dengan pesan-pesan yang muncul atau mengaku berasal dari lembaga pemerintah (contoh: FBI atau IRS), tokoh politik, atau bahkan selebriti.

• Menimbulkan rasa takut atau rasa terdesak: Orang cenderung bertindak gegabah saat takut atau terburu-buru. Penipuan rekayasa sosial dapat menggunakan sejumlah teknik untuk menimbulkan ketakutan atau urgensi pada korban. Misalnya, memberi tahu korban bahwa transaksi kredit baru-baru ini tidak disetujui, bahwa virus telah menginfeksi komputer mereka, bahwa gambar yang digunakan di situs web mereka melanggar hak cipta, dan sebagainya. Rekayasa sosial juga dapat menarik rasa takut akan ketinggalan (FOMO) para korban, yang menciptakan urgensi yang berbeda.

• Memikat keserakahan: Penipuan Pangeran Nigeria, sebuah email yang berisi seseorang yang mengaku sebagai bangsawan Nigeria mencoba melarikan diri dari negaranya menawarkan imbalan finansial yang sangat besar sebagai imbalan atas informasi rekening bank penerima atau sedikit biaya di muka, adalah salah satu contoh yang paling terkenal dari rekayasa sosial yang memikat keserakahan. Jenis serangan rekayasa sosial ini juga dapat datang dari orang yang dianggap memiliki otoritas dan menciptakan rasa urgensi, yang merupakan kombinasi yang kuat. Penipuan ini sama tuanya dengan email itu sendiri, tetapi masih menghasilkan USD 700.000 per tahun pada tahun 2018.

• Menarik rasa ingin menolong atau rasa ingin tahu: Taktik rekayasa sosial juga dapat menarik sifat baik korban. Misalnya, pesan yang tampaknya berasal dari teman atau situs jejaring sosial dapat menawarkan bantuan teknis, meminta partisipasi dalam survei, mengklaim bahwa kiriman si penerima telah menjadi viral dan memberikan tautan palsu ke situs web palsu atau unduhan malware.

Serangan phishing adalah pesan digital atau suara yang mencoba memanipulasi penerima untuk membagikan informasi rahasia, mengunduh perangkat lunak berbahaya, mentransfer uang atau aset ke orang yang salah, atau melakukan tindakan merusak lainnya. Penipu membuat pesan phishing agar terlihat atau terdengar seperti berasal dari organisasi atau individu yang tepercaya atau kredibel, terkadang bahkan individu yang dikenal oleh si penerima secara pribadi.

Ada banyak jenis penipuan phishing:

• Email phishing massal dikirim ke jutaan penerima sekaligus. Mereka tampaknya dikirim oleh bisnis atau organisasi besar yang terkenal, seperti bank nasional atau global, pengecer online besar, penyedia pembayaran online populer dan sebagainya. Dalam email ini mereka membuat permintaan umum seperti "kami mengalami masalah dalam memproses pembelian Anda, harap perbarui informasi kredit Anda". Seringkali, pesan-pesan ini menyertakan tautan berbahaya yang membawa penerima ke situs web palsu yang mengambil nama pengguna, kata sandi, data kartu kredit, dan banyak lagi.

• Phishing tombak menargetkan individu tertentu, biasanya orang yang memiliki akses istimewa ke informasi pengguna, jaringan komputer, atau dana perusahaan. Seorang penipu melakukan penelitian terhadap target, sering kali menggunakan informasi yang ditemukan di LinkedIn, Facebook, atau media sosial lainnya, untuk membuat pesan yang tampaknya berasal dari seseorang yang dikenal dan dipercaya oleh target atau yang mengacu pada situasi yang dikenal oleh target. Whale phishing adalah serangan phishing tombak yang menargetkan individu berprofil tinggi, seperti CEO atau tokoh politik. Dalam penyusupan email bisnis (BEC), peretas menggunakan kredensial yang disusupi untuk mengirim pesan email dari akun email tokoh otoritas yang sebenarnya, sehingga membuat penipuan ini jauh lebih sulit untuk dideteksi.

• Phishing suara atau vishing, adalah phishing yang dilakukan melalui panggilan telepon. Individu biasanya mengalami vishing dalam bentuk rekaman telepon yang mengancam dan mengaku berasal dari FBI.

• SMS phishing, atau smishing, adalah phishing melalui pesan teks.

• Phishing mesin pencari melibatkan peretas yang membuat situs web jahat yang berperingkat tinggi dalam hasil pencarian untuk istilah pencarian populer.

• Angler phishing adalah phishing yang menggunakan akun media sosial palsu yang menyamar sebagai akun resmi tim layanan pelanggan atau dukungan pelanggan perusahaan tepercaya.

Menurut IBM® X-Force Threat Intelligence, phishing adalah vektor infeksi malware yang paling banyak ditemukan, teridentifikasi pada 41% dari semua insiden. Menurut laporan Biaya Pelanggaran Data, phishing adalah vektor serangan awal yang mengarah ke pelanggaran data yang paling merugikan.

Memancing korban untuk secara sadar atau tidak sadar memberikan informasi rahasia, atau mengunduh kode berbahaya, dengan cara menggoda mereka dengan tawaran berharga, atau bahkan benda berharga.

Penipuan Pangeran Nigeria mungkin adalah contoh paling terkenal dari teknik rekayasa sosial ini. Contoh yang lebih mutakhir termasuk unduhan game, musik, atau perangkat lunak yang gratis tetapi terinfeksi malware. Namun, beberapa bentuk pancingan tidak terlalu canggih. Misalnya, beberapa pelaku ancaman meninggalkan drive USB yang terinfeksi malware di tempat orang akan menemukannya, mengambilnya, dan menggunakannya karena "hei, drive USB gratis."

Dalam tailgating, juga disebut "piggybacking", orang yang tidak berwenang mengikuti orang yang berwenang dari dekat ke dalam kawasan yang berisi informasi rahasia atau aset berharga. Tailgating dapat dilakukan secara langsung, misalnya pelaku ancaman dapat mengikuti karyawan melalui pintu yang tidak terkunci. Namun, tailgating juga bisa berupa taktik digital, seperti ketika seseorang meninggalkan komputer tanpa pengawasan saat masih masuk ke akun atau jaringan pribadi.

Dalam pretexting, pelaku ancaman menciptakan situasi palsu bagi korban, dan berpura-pura menjadi orang yang tepat untuk menyelesaikannya. Seringkali (dan yang paling ironis), penipu mengklaim bahwa korban telah terkena dampak pelanggaran keamanan, dan kemudian menawarkan untuk memperbaiki masalahnya jika korban mau memberikan informasi akun penting, atau memberikan kontrol komputer atau perangkat korban. (Secara teknis, hampir semua serangan rekayasa sosial melibatkan beberapa tingkat pretexting).

Dalam penipuan quid pro quo, peretas mengiming-imingi barang atau layanan yang diinginkan dengan imbalan informasi rahasia korban. Kemenangan kontes palsu atau hadiah loyalitas yang tampaknya wajar ("terima kasih atas pembayaran Anda, kami punya hadiah untuk Anda") adalah contoh taktik quid pro quo.

Juga dianggap sebagai bentuk malware, scareware adalah perangkat lunak yang menggunakan rasa takut untuk memanipulasi orang agar berbagi informasi rahasia atau mengunduh malware. Scareware sering mengambil bentuk pemberitahuan penegakan hukum palsu yang menuduh pengguna melakukan kejahatan, atau pesan dukungan teknis palsu yang memperingatkan pengguna malware di perangkat mereka.

Dari frasa "seseorang meracuni sumber air minum", peretas menyuntikkan kode berbahaya ke dalam halaman web yang sah yang sering dikunjungi oleh target mereka. Serangan sumber air minum ini adalah penyebab atas banyak serangan, mulai dari kredensial yang dicuri hingga unduhan ransomware yang tidak disadari.

Serangan rekayasa sosial terkenal sulit dicegah karena mengandalkan psikologi manusia daripada jalur teknologi. Permukaan serangan juga signifikan: Dalam organisasi yang lebih besar, hanya perlu satu kesalahan karyawan untuk membahayakan integritas seluruh jaringan perusahaan. Beberapa langkah yang direkomendasikan para pakar untuk mengurangi risiko dan keberhasilan penipuan rekayasa sosial antara lain:

• Pelatihan kesadaran keamanan: Banyak pengguna yang tidak tahu cara mengidentifikasi serangan rekayasa sosial. Di masa ketika pengguna sering menukarkan informasi pribadi dengan barang dan jasa, mereka tidak menyadari bahwa menyerahkan informasi yang tampaknya biasa saja, seperti nomor telepon atau tanggal lahir, dapat memungkinkan peretas untuk membobol akun. Pelatihan kesadaran keamanan, yang dikombinasikan dengan kebijakan keamanan data, dapat membantu karyawan memahami cara melindungi data sensitif mereka dan cara mendeteksi serta merespons serangan rekayasa sosial yang sedang berlangsung.

• Kebijakan kontrol akses: Kebijakan dan teknologi kontrol akses yang aman, termasuk autentikasi multi-faktor, autentikasi adaptif, dan pendekatan keamanan zero trust dapat membatasi akses penjahat siber ke informasi dan aset rahasia di jaringan perusahaan, bahkan jika mereka berhasil mendapatkan kredensial login pengguna.

• Teknologi keamanan siber: Filter spam dan gateway email yang aman dapat mencegah beberapa serangan phishing agar tidak sampai ke karyawan. Firewall dan perangkat lunak antivirus dapat mengurangi tingkat kerusakan yang dilakukan oleh penyerang yang mendapatkan akses ke jaringan. Menjaga sistem operasi tetap diperbarui dengan patch terbaru juga dapat menutup beberapa kerentanan yang dieksploitasi oleh penyerang melalui rekayasa sosial. Selain itu, solusi deteksi dan respons tingkat lanjut, termasuk deteksi dan respons titik akhir (EDR) dan deteksi dan respons yang diperluas (XDR), dapat membantu tim keamanan dengan cepat mendeteksi dan menetralkan ancaman keamanan yang menginfeksi jaringan melalui taktik rekayasa sosial.