Serangan rekayasa sosial memanipulasi orang untuk membagikan informasi yang tidak seharusnya mereka bagikan, mengunduh perangkat lunak yang tidak seharusnya mereka unduh, mengunjungi situs web yang tidak seharusnya mereka kunjungi, mengirimkan uang kepada penjahat, atau melakukan kesalahan lain yang membahayakan keamanan pribadi atau organisasi mereka.
Email yang tampaknya berasal dari rekan kerja tepercaya yang meminta informasi rahasia, pesan suara yang mengancam dan mengaku berasal dari IRS, tawaran kekayaan dari orang kaya asing-ini hanyalah beberapa contoh rekayasa sosial. Karena rekayasa sosial menggunakan manipulasi psikologis dan mengeksploitasi kesalahan atau kelemahan manusia daripada kerentanan sistem teknis atau digital, kadang-kadang disebut "peretasan manusia."
Penjahat siber sering menggunakan taktik rekayasa sosial untuk mendapatkan data pribadi atau informasi keuangan, termasuk kredensial login, nomor kartu kredit, nomor rekening bank, dan nomor Jaminan Sosial. Mereka menggunakan informasi yang telah mereka curi untuk pencurian identitas, memungkinkan mereka untuk melakukan pembelian menggunakan uang atau kredit orang lain, mengajukan pinjaman atas nama orang lain, mengajukan tunjangan pengangguran orang lain dan banyak lagi. Namun, serangan rekayasa sosial juga bisa menjadi tahap pertama dari serangan siber berskala lebih besar. Sebagai contoh, penjahat siber dapat mengelabui korban untuk membagikan nama pengguna dan kata sandi, dan kemudian menggunakan kredensial tersebut untuk menanamkan ransomware pada jaringan perusahaan korban.
Rekayasa sosial menarik bagi para penjahat siber karena memungkinkan mereka untuk mengakses jaringan digital, perangkat, dan akun tanpa harus melakukan pekerjaan teknis yang sulit untuk mengatasi firewall, perangkat lunak antivirus, dan kontrol keamanan siber lainnya. Inilah salah satu alasan mengapa rekayasa sosial merupakan penyebab utama dari penyusupan jaringan saat ini, menurut laporan State of Cybersecurity 2022 dari ISACA (tautan berada di luar ibm.com). Selain itu, menurut laporan Biaya Pelanggaran data 2022 dari IBM, pelanggaran yang disebabkan oleh taktik rekayasa sosial (seperti phishing dan penyusupan email bisnis) termasuk yang paling merugikan.
Dapatkan insight untuk mempersiapkan dan merespons serangan siber dengan lebih cepat dan efektif dengan IBM Security X-Force Threat Intelligence Index.
Daftar untuk memperoleh laporan Biaya Pelanggaran Data
Taktik dan teknik rekayasa sosial didasarkan pada ilmu pengetahuan tentang motivasi manusia. Mereka memanipulasi emosi dan naluri korban dengan cara yang terbukti mendorong orang untuk mengambil tindakan yang tidak sesuai dengan kepentingan terbaik mereka.
Sebagian besar serangan rekayasa sosial menggunakan satu atau beberapa taktik berikut ini:
Menyamar sebagai merek tepercaya: Penipu sering kali menyamar atau "meniru" sebagai perusahaan yang dikenal, dipercaya, dan mungkin sering berbisnis dengan korban—saking seringnya, korban mengikuti instruksi dari merek-merek tersebut secara refleks, tanpa melakukan tindakan pencegahan yang tepat. Beberapa penipu rekayasa sosial menggunakan perangkat yang tersedia secara luas untuk membuat situs web palsu yang menyerupai situs web merek atau perusahaan besar.
Menyamar sebagai lembaga pemerintah atau figur otoritas: Orang-orang mempercayai, menghormati, atau takut pada otoritas (dalam tingkatan yang berbeda-beda). Serangan rekayasa sosial memainkan naluri ini dengan pesan-pesan yang muncul atau mengaku berasal dari lembaga pemerintah (misalnya FBI atau IRS), tokoh politik, atau bahkan selebriti.
Menimbulkan rasa takut atau rasa terdesak: Orang cenderung bertindak gegabah saat takut atau terburu-buru. Penipuan rekayasa sosial dapat menggunakan sejumlah teknik untuk menimbulkan ketakutan atau urgensi pada korban. Misalnya, memberi tahu korban bahwa transaksi kredit baru-baru ini tidak disetujui, bahwa virus telah menginfeksi komputer mereka, bahwa gambar yang digunakan di situs web mereka melanggar hak cipta, dan sebagainya. Rekayasa sosial juga dapat menarik rasa takut akan ketinggalan (FOMO) para korban, yang menciptakan urgensi yang berbeda.
Memikat keserakahan: Penipuan Pangeran Nigeria, sebuah email yang berisi seseorang yang mengaku sebagai bangsawan Nigeria mencoba melarikan diri dari negaranya menawarkan imbalan finansial yang sangat besar sebagai imbalan atas informasi rekening bank penerima atau sedikit biaya di muka, adalah salah satu contoh yang paling terkenal dari rekayasa sosial yang memikat keserakahan. Jenis serangan rekayasa sosial ini juga dapat datang dari orang yang dianggap memiliki otoritas dan menciptakan rasa urgensi, yang merupakan kombinasi yang kuat. Penipuan ini sama tuanya dengan email, tetapi masih menghasilkan USD 700.000 per tahun pada tahun 2018.
Menarik rasa ingin menolong atau rasa ingin tahu: Taktik rekayasa sosial juga dapat menarik sifat baik korban. Misalnya, pesan yang tampaknya berasal dari teman atau situs jejaring sosial dapat menawarkan bantuan teknis, meminta partisipasi dalam survei, mengklaim bahwa kiriman si penerima telah menjadi viral dan memberikan tautan palsu ke situs web palsu atau unduhan malware.
Phishing
Serangan phishing adalah pesan digital atau suara yang mencoba memanipulasi penerima untuk membagikan informasi rahasia, mengunduh perangkat lunak berbahaya, mentransfer uang atau aset ke orang yang salah, atau melakukan tindakan merusak lainnya. Penipu membuat pesan phishing agar terlihat atau terdengar seperti berasal dari organisasi atau individu yang tepercaya atau kredibel—terkadang bahkan individu yang dikenal oleh si penerima secara pribadi.
Ada banyak jenis penipuan phishing:
Email phishing massal dikirim ke jutaan penerima sekaligus. Email tersebut tampak seperti dikirim oleh bisnis atau organisasi besar dan terkenal, seperti bank nasional atau global, pengecer online besar, penyedia pembayaran online populer, dan sebagainya, dan membuat permintaan umum seperti "Kami mengalami kesulitan memproses pembelian Anda. Harap perbarui informasi kredit Anda." Seringkali, pesan-pesan ini menyertakan tautan berbahaya yang membawa penerima ke situs web palsu yang mengambil nama pengguna, kata sandi, data kartu kredit, dan banyak lagi.
Phishing tombak menargetkan individu tertentu, biasanya orang yang memiliki akses istimewa ke informasi pengguna, jaringan komputer, atau dana perusahaan. Seorang penipu akan meneliti targetnya, sering kali menggunakan informasi yang ditemukan di LinkedIn, Facebook, atau media sosial lainnya, untuk membuat pesan yang tampaknya berasal dari seseorang yang dikenal dan dipercaya oleh target, atau yang mengacu pada situasi yang dikenal oleh target. Whale ph shing adalah serangan phishing tombak yang menargetkan individu berprofil tinggi, seperti CEO atau tokoh politik. Dalam penyusupan email bisnis (BEC), peretas menggunakan kredensial yang disusupi untuk mengirim pesan email dari akun email tokoh otoritas yang sebenarnya, sehingga membuat penipuan ini jauh lebih sulit untuk dideteksi.
Phishing suara atau vishing, adalah phishing yang dilakukan melalui panggilan telepon. Individu biasanya mengalami vishing dalam bentuk rekaman telepon yang mengancam dan mengaku berasal dari FBI. Baru-baru ini, IBM’s X-Force menetapkan bahwa menambahkan vishing ke kampanye phishing yang ditargetkan dapat meningkatkan keberhasilan kampanye hingga 3x.
SMS phishing, atau smishing, adalah phishing melalui pesan teks.
Phishing mesin pencari melibatkan peretas yang membuat situs web jahat yang berperingkat tinggi dalam hasil pencarian untuk istilah pencarian populer.
Angler phishing adalah phishing yang menggunakan akun media sosial palsu yang menyamar sebagai akun resmi tim layanan pelanggan atau dukungan pelanggan perusahaan tepercaya.
Menurut IBM Security X-Force Threat Intelligence Index 2023, phishing adalah vektor infeksi malware yang paling banyak ditemukan, teridentifikasi pada 41% dari semua insiden. Selain itu, menurut laporan Biaya Pelanggaran Data 2022, phishing adalah vektor serangan awal yang mengarah ke pelanggaran data yang paling merugikan.
Memancing
Memancing korban untuk secara sadar atau tidak sadar memberikan informasi rahasia, atau mengunduh kode berbahaya, dengan cara menggoda mereka dengan tawaran berharga, atau bahkan benda berharga.
Penipuan Pangeran Nigeria mungkin adalah contoh paling terkenal dari teknik rekayasa sosial ini. Contoh yang lebih mutakhir termasuk unduhan game, musik, atau perangkat lunak yang gratis tetapi terinfeksi malware. Namun, beberapa bentuk pancingan tidak terlalu canggih. Misalnya, beberapa pelaku ancaman meninggalkan drive USB yang terinfeksi malware di tempat orang akan menemukannya, mengambilnya, dan menggunakannya karena "Hei, drive USB gratis."
Tailgating
Dalam tailgating, juga disebut "piggybacking", orang yang tidak berwenang mengikuti orang yang berwenang dari dekat ke dalam kawasan yang berisi informasi rahasia atau aset berharga. Tailgating dapat dilakukan secara langsung, misalnya pelaku ancaman dapat mengikuti karyawan melalui pintu yang tidak terkunci. Namun, tailgating juga bisa berupa taktik digital, seperti ketika seseorang meninggalkan komputer tanpa pengawasan saat masih masuk ke akun atau jaringan pribadi.
Pretexting
Dalam pretexting, pelaku ancaman menciptakan situasi palsu bagi korban, dan berpura-pura menjadi orang yang tepat untuk menyelesaikannya. Seringkali (dan yang paling ironis), penipu mengklaim bahwa korban telah terkena dampak pelanggaran keamanan, dan kemudian menawarkan untuk memperbaiki masalahnya jika korban mau memberikan informasi akun penting, atau memberikan kontrol komputer atau perangkat korban. (Secara teknis, hampir semua serangan rekayasa sosial melibatkan beberapa tingkat pretexting).
Quid pro quo
Dalam penipuan quid pro quo, peretas mengiming-imingi barang atau layanan yang diinginkan dengan imbalan informasi rahasia korban. Kemenangan kontes palsu atau hadiah loyalitas yang tampaknya wajar ("terima kasih atas pembayaran Anda, kami punya hadiah untuk Anda") adalah contoh taktik quid pro quo.
Scareware
Juga dianggap sebagai bentuk malware, scareware adalah perangkat lunak yang menggunakan rasa takut untuk memanipulasi orang agar berbagi informasi rahasia atau mengunduh malware. Scareware sering mengambil bentuk pemberitahuan penegakan hukum palsu yang menuduh pengguna melakukan kejahatan, atau pesan dukungan teknis palsu yang memperingatkan pengguna malware di perangkat mereka.
Serangan lubang air
Dari frasa "seseorang meracuni sumber air minum", peretas menyuntikkan kode berbahaya ke dalam halaman web yang sah yang sering dikunjungi oleh target mereka. Serangan sumber air minum ini adalah penyebab atas banyak serangan, mulai dari kredensial yang dicuri hingga unduhan ransomware yang tidak disadari.
Serangan rekayasa sosial terkenal sulit dicegah karena mengandalkan psikologi manusia daripada jalur teknologi. Permukaan serangan juga signifikan: Dalam organisasi yang lebih besar, hanya perlu satu kesalahan karyawan untuk membahayakan integritas seluruh jaringan perusahaan. Beberapa langkah yang direkomendasikan para pakar untuk mengurangi risiko dan keberhasilan penipuan rekayasa sosial antara lain:
Pelatihan kesadaran keamanan: Banyak pengguna yang tidak tahu cara mengidentifikasi serangan rekayasa sosial. Di masa ketika pengguna sering menukarkan informasi pribadi dengan barang dan jasa, mereka tidak menyadari bahwa menyerahkan informasi yang tampaknya biasa saja, seperti nomor telepon atau tanggal lahir, dapat memungkinkan peretas untuk membobol akun. Pelatihan kesadaran keamanan, yang dikombinasikan dengan kebijakan keamanan data, dapat membantu karyawan memahami cara melindungi data sensitif mereka, dan cara mendeteksi serta merespons serangan rekayasa sosial yang sedang berlangsung.
Kebijakan kontrol akses: Kebijakan dan teknologi kontrol akses yang aman, termasuk autentikasi multi-faktor, autentikasi adaptif, dan pendekatan keamanan zero trust dapat membatasi akses penjahat siber ke informasi dan aset rahasia di jaringan perusahaan, bahkan jika mereka berhasil mendapatkan kredensial login pengguna.
Teknologi keamanan siber: Filter spam dan gateway email yang aman dapat mencegah beberapa serangan phishing agar tidak sampai ke karyawan. Firewall dan perangkat lunak antivirus dapat mengurangi tingkat kerusakan yang dilakukan oleh penyerang yang mendapatkan akses ke jaringan. Menjaga sistem operasi tetap diperbarui dengan patch terbaru juga dapat menutup beberapa kerentanan yang dieksploitasi oleh penyerang melalui rekayasa sosial. Selain itu, solusi deteksi dan respons tingkat lanjut, termasuk deteksi dan respons titik akhir (EDR) serta deteksi dan respons yang diperluas (XDR), dapat membantu tim keamanan dengan cepat mendeteksi dan menetralisir ancaman keamanan yang menginfeksi jaringan melalui taktik rekayasa sosial.
Uji karyawan Anda melalui latihan phishing, vishing, dan rekayasa sosial fisik. Mengungkap kerentanan karyawan, proses, dan kebijakan untuk mengurangi risiko serangan rekayasa sosial yang nyata akan berhasil.
Kirim pesan teks ke aplikasi, jaringan, perangkat keras, dan personel untuk mengungkap dan memperbaiki kerentanan yang mengekspos aset terpenting Anda terhadap serangan. X-Force Red Portal memungkinkan semua orang yang terlibat dalam remediasi untuk segera melihat temuan tes dan menjadwalkan tes keamanan sesuai keinginan mereka.
81% profesional SOC mengatakan bahwa mereka diperlambat oleh investigasi manual.1 Investigasi peringatan cepat dengan IBM Security QRadar Suite, pilihan teknologi keamanan yang telah dimodernisasi yang menampilkan pengalaman analis terpadu yang dibangun dengan AI dan otomatisasi.
Cara terbaik untuk mencegah pelanggaran data adalah dengan memahami mengapa hal itu terjadi. Laporan Biaya Pelanggaran Data membagikan wawasan terbaru tentang lanskap ancaman yang berkembang dan menawarkan rekomendasi tentang cara menghemat waktu dan membatasi kerugian.
CISO, tim keamanan, dan pemimpin bisnis: Temukan insight yang dapat ditindaklanjuti untuk memahami cara pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Penipuan phishing mengelabui korban untuk membocorkan data sensitif, mengunduh malware, dan mengekspos diri mereka sendiri atau organisasi mereka terhadap kejahatan siber.
Pelajari bagaimana autentikasi multifaktor memperkuat keamanan, memenuhi persyaratan kepatuhan terhadap peraturan, dan mendukung strategi keamanan zero trust.