Kriminal Digit Berwujud Social Engineering

Segala kejahatan yang terjadi di dunia maya sudah sangat masif. Pencuri di dunia maya makin belajar dan menyesuaikan kepintarannya dalam mengelabuhi target. Apakah itu berupa perorangan, perusahaan besar atau sistem keamanan negara.

 

Mereka bisa mengacak-ngacak semuanya, bahkan sistem keamanan dan keuangan negara bisa lumpuh dibuat oleh mereka. Bila sudah ditahap ini, kejahatan dunia maya sangat berbahaya. Artinya level seorang peretas jauh lebih kuat dari keamanan siber sebuah negara. Di posisi ini juga, warga negara semuanya jadi ancaman.

 

Social Engineering adalah teknik manipulasi mental dan emosional yang digunakan untuk memperoleh informasi rahasia atau mempengaruhi perilaku seseorang untuk melakukan tindakan yang tidak baik. Social Engineering adalah bentuk kejahatan cyber yang berfokus pada pengambilan informasi melalui interaksi sosial antara penyerang dan target.

 

Penyerang menggunakan berbagai metode untuk memperoleh informasi sensitif seperti password, nomor kartu kredit, dan informasi pribadi lainnya. Salah satu metode yang sering digunakan adalah phishing, di mana penyerang mengirimkan email atau pesan teks palsu yang terlihat seperti dari sumber yang terpercaya seperti bank atau organisasi keamanan siber. Email atau pesan teks ini meminta informasi sensitif dari target dan mengarahkan mereka untuk mengklik tautan yang membawa mereka ke situs web palsu.

 

Penyerang juga dapat menggunakan taktik pengaruh sosial, seperti memanfaatkan rasa simpati atau rasa ingin membantu orang lain, untuk memperoleh informasi atau mengambil tindakan yang tidak baik. Mereka dapat berpura-pura menjadi petugas teknis atau agen keamanan dan meminta akses ke sistem atau informasi tertentu.

 

Untuk melindungi diri dari Social Engineering, ada beberapa hal yang dapat dilakukan, seperti memverifikasi sumber sebelum memberikan informasi sensitif, tidak mengklik tautan atau lampiran dari sumber yang tidak dikenal, dan melaporkan setiap permintaan informasi yang tidak masuk akal atau tidak dikenal.

 

Secara keseluruhan, Social Engineering adalah bentuk kejahatan cyber yang sangat serius dan memerlukan perhatian dan pengawasan yang ketat dari masyarakat. Kemampuan untuk mengenali dan memahami teknik Social Engineering adalah hal yang penting untuk melindungi diri dan informasi pribadi dari serangan kejahatan cyber.

 

Yuk Kenal Jauh Social Engineering

Social engineering adalah upaya memanipulasi seseorang untuk memberikan informasi atau data pribadi yang bersifat rahasia dengan memanfaatkan kesalahan mereka.  Umumnya, para peretas akan membuat sesuatu seperti email, campaign, hingga challenge tertentu untuk mendapatkan simpati dan kepercayaan korban.

Saat menjalankannya aksinya, peretas akan menyamar menjadi pihak berwenang atau orang yang dipercaya korban sehingga korban mau memberikan data pribadi, informasi penting, hingga materi. Meskipun istilahnya masih asing, social engineering sudah kerap terjadi. Masih ingat dengan trend add yours di Instagram?

 

Pengguna Instagram diajak untuk saling membagikan hal kecil yang terkesan sepele. Pun demikian, karena ada data pribadi yang ikut dibagikan, tanpa disadari peretas bisa mengumpulkan data dari banyak pengguna dengan cara tersebut.

 

Hasilnya, terjadilah kasus penipuan yang sempat viral karena peretas berhasil meyakinkan korban dengan menggunakan nama panggilan masa kecil seolah adalah orang yang dekat dengan mereka.

 Baca Juga: Bagaimana Peretas Mengirimkan Malware

Setidaknya, ada dua hal tujuan social engineering yang merugikan korbannya yaitu aksi pencurian dan sabotase, Social engineering dapat terjadi dalam berbagai media bisa melalui email, website, social media, telepon, dan lainnya.

 

Awal mula Social Engineering

Kejahatan dari dunia maya terus meningkat dari tahun ke tahun. Pengguna yang terus bertambah menjadi acuan dasar bahwa ada lahan basa di jagat internet. Cara yang dilakukan adalah melakukan manipulasi hingga aksi pencurian.

Keuntungan yang didapatkan dari aksi ini jelas sangat menguntungkan, Apalagi sistem dan pengguna banyak yang belum siap dengan aksi ini. Tinggal menunggu data atau uang pribadinya hilang digondol penjahat digital.

 

Aksi ini sudah merajalela dan jadi ancaman, bermula dari melihat bug pada layanan, kini ada banyak aksi peretas dan pencurian digital yang berlangsung. Bahkan setiap celahan akan jadi peluang baru yang melahirkan aksi social engineering.

 

Jenis Serangan Social Engineering

Social engineering dapat terjadi dalam berbagai cara. Setidaknya, terdapat 7 jenis serangan social engineering yang perlu Anda waspadai. Jumlah ini bisa bertambah dengan banyaknya metode baru yang bisa peretas lakukan.

Serangan Umpan (Baiting), jenis serangan social engineering dengan menggunakan umpan. Jenis social engineering inilah yang paling sering ditemukan.

 

Salah satu contohnya, ketika Anda ingin mendownload sebuah lagu gratis di sebuah website. Anda harus waspada jika diarahkan untuk mengizinkan akses apa pun dari website ke device Anda.

 

Kenapa demikian? Sebab, hal itu bisa menjadi jalan peretas untuk bisa mencuri identitas dan informasi pribadi Anda. Selain terjadi di ranah online, baiting juga bisa terjadi secara offline.

 Baca juga: Wajahmu Menyimpan Data Pribadi

Pretexting, berupa teknik peretas untuk memanipulasi seseorang agar mendapatkan informasi atau akses yang diinginkan dengan membuat skenario palsu.

 

Biasanya, penipu akan menyamar menjadi rekan kerja atau orang yang berwenang yang membutuhkan sebuah data. Akan tetapi, peretas biasanya akan melakukan interaksi yang persuasif, sehingga target akan melakukan apa yang diinginkan penipu.

 

Pada contoh email di atas, penipu menyamar sebagai rekan kerja dan seolah memberikan “special surprise” agar penerima email bersedia melakukan transaksi atau pembelian yang diinginkan penipu.

 

Email tersebut terkesan tidak mencurigakan karena ada penyebutan nama korban, gaya bahasa yang lebih personal, dan seakan menaruh kepercayaan kepada korban.

 

Serangan Phishing, teknik dengan cara mengelabui seseorang untuk mendapatkan informasi. Sasaran phishing biasanya berupa data pribadi, data akun, data finansial. Biasanya para peretas akan mengirimkan email palsu, dengan menampakkan diri menjadi pihak atau instansi berwenang.

 Baca Juga: BSI dan Ransomware Lockbit, Lemahnya Sistem Siber Nasional

Sehingga, penerima email pun merasa percaya dan mengikuti petunjuk email palsu tersebut. Email phishing biasanya akan mengarahkan penerima untuk memberikan data-data penting, mengklik link ke situs berbahaya, hingga membuka lampiran berisi malware. Perusahaan besar umumnya menjadi target dari phishing dan setiap harinya pasti menerima ancaman serupa.

 

Serangan Spear Phishing, punya target spesifik seperti nama, email, posisi di perusahaan, dan sebagainya. Dengan begitu, peretas bisa membangun kepercayaan target dan menemukan titik kelemahan sebelum beraksi mencuri atau menyabotase data.

 

Email di atas merupakan contoh dari upaya social engineering dengan spear phishing. Terlihat sangat meyakinkan, bukan? Apalagi ada logo resmi dari jasa pengiriman dan email juga tampak resmi dari jasa tersebut.

 

Namun, kalau diteliti lagi, email pengirim bukanlah email resmi karena jasa pengiriman tersebut tidak menggunakan domain yang terlihat di contoh. Selain itu, perintah click here, ternyata juga mengarahkan ke alamat website yang berbeda.

 

Kalian pasti sering menemuinya di spear phishing yang mengatasnamakan sebuah perusahaan besar. Namanya agak mirip tapi nyatanya bukan dan menjebak, saat di klik, phishing tersebut langsung bekerja.

 

Serangan Quid Pro Quo, berupa taktik mendapatkan informasi rahasia dengan menawarkan sejumlah manfaat berupa jasa. Jenis serangan social engineering ini termasuk peretasan tingkat rendah. Biasanya peretas akan menghubungi korban dengan menyamar sebagai pihak yang berwenang dan menawarkan bantuan.

 

kasus quid pro quo yang mengatasnamakan perusahaan tertentu salah staunya adalah kasus penipuan mengatasnamakan Gojek, dimana penipu berdalih akan membantu aktivasi akun korban, dengan meminta para merchant untuk mengubah data rekening, mentransfer uang aktivasi GoBiz, dan lainnya.

 

Serangan Tailgating berupa jenis social engineering fisik, penipu memanipulasi seseorang yang berwenang untuk dapat mengakses lokasi yang membutuhkan autentikasi. Teknik butuh ketenangan dari pelaku dalam peretasan karena ia masuk dan menyamar langsung ke perusahaan tersebut dan mengutak-atik data yang tersedia.

 

Percobaan tailgating pernah dilakukan oleh Colin Greenless. Ia menyamar sebagai konsultan IT  pada sebuah perusahaan jasa keuangan yang memiliki teknologi keamanan tinggi. Namun, Colin tanpa kesulitan dapat masuk ke ruang data dan mendapatkan banyak informasi penting dari teknisi IT di perusahaan tersebut.

 

Serangan Scareware aksi peretas yang menakut-nakuti dengan menampilkan peringatan pada perangkat target. Misalnya, ketika Anda mengakses suatu website dan muncul pop up. Nah, biasanya scareware meniru tampilan semirip mungkin dengan program keamanan yang valid.

 

Target dibuat tambah ngeri dengan efek bahaya dan bahkan menampilkan screenshot file di device Anda seolah terinfeksi virus. Sehingga, akhirnya target termanipulasi lalu mengklik atau mengikuti instruksi dari peringatan tersebut.

 

Teknik Serangan Social Engineering dari Peretas

Ada beragam teknik serangan yang dilakukan dan tentunya digunakan dalam mengelabuhi target.

Reverse social engineering attack adalah cara untuk mendapatkan hak akses ke suatu sistem dengan cara meyakinkan korban bahwa jika korban punya masalah tertentu sekarang atau dimasa depan peretas punya solusi dan siap membantu menyelesaikan masalah.

Pada teknik ini peretas akan berusaha melakukan perusakan terhadap infrastruktur network yang ada sehingga kinerja sistem akan terganggu dan tidak berjalan sebagaimana mestinya, secara otomatis pemilik sistem akan berusaha mencari informasi untuk memperbaiki hal ini.

 

Kemudian peretas akan menawarkan bantuan, seolah-olah berasal dari perusahaan security yang dipercaya, atau bisa dilakukan dengan memberikan  kartu nama sebelum serangan dimulai agar ketika peretas mengacaukan sistem si korban akan menghubungi si peretas yang sebelumnya memberikan kartu nama /iklan dalam bentuk email.

 

Setelah korban melihat iklan dan mengontak teknisi untuk perbaikan sistem alih-alih membantu malah si peretas sudah mendapat akses penuh ke sistem dan bisa melakukan hal yang berbahaya seperti menanam backdoor, trojan, atau spyware ke sistem, mengambil data rahasia dan lain-lain.

 

Piggiback attack adalah teknik rekayasa sosial dengan cara mendapatkan hak akses dengan menumpang dengan seseorang yang memiliki hak akses atau otoritas agar mendapat hak akses yang sama dengan orang yang memiliki otoritas tersebut.

 

Contohnya ketika ingin mendapatkan akses ke suatu gedung kita menguntit di belakangnya, atau meminta tolong dibukakan sistem dengan alasan lupa atau dengan cara berbarengan masuk dengan seseorang yang sedang membuka sistem.

 

Techie Talk adalah Peretas sangat mahir dalam hal teknis tentang sistem yang digunakan, jadi ketika peretas melakukan aksi rekayasa sosial maka si peretas dapat berbicara lancar seperti ahli tentang komputer untuk mendapatkan kepercayaan dari target.

 

Peretas dapat berpura-pura menjadi bagian helpdesk atau IT Support dan memberitahukan kepada admin bahwa sistem telah diretas, oleh karena itu perlu mengubah password dan konfigurasi sistem, sang admin akan percaya karena bagian terebut memang job desknya seperti itu.

 

Website Warez merupakan website yang berisi aplikasi-aplikasi full version atau pro yang harusnya dilindungi dengan key atau serial number tapi oleh peretas telah dihilangkan sehingga aplikasi yang versi standar bisa seperti versi pro.

 

Mengapa website ini berbahaya? Karena peratas bisa menanamkan program jahat di dalam keygen atau aplikasi yang ada di website warez. Setiap pengguna komputer tentu menginginkan aplikasi yang full version, karena tak ingin mengeluarkan uang maka solusinya adanya menggunakan aplikasi bajakan tersebut.

 

Peretas tentu saja tidak menyediakan aplikasi tersebut secara gratis, ia akan menanamkan program seperti trojan, spyware, adware, dan lain-lainnya. Sehingga harga untuk meretas aplikasi full version dan mengelola website manjadi terbayarkan. Maka teman-teman berhati-hati ketika mendownload melalui web ini, dan hendaknya memasang anti virus di komputernya.

 

Whalling Attack, merupakan jenis serangan rekayasa sosial yang mengincar target menggunakan jabatan tinggi di suatu organisasi dengan tujuan untuk mendapatkan data rahasia dari suatu perusahaan atau organisasi, oleh karena itu makin tinggi jabatan maka hak akses yang dimiliki akan semaking penuh untuk mengakses data perusahaan atau organisasi.

 

Vishing Attack (Voice or VoIP Phishing Attack), adalah jenis serangan rekayasa sosial yang menggunakan media telepon untuk mendapatkan informasi dari target. Peretas berpura-pura menjadi karyawan suatu bank kemudian memberitahu kepada nasabah bahwa kartu kreditnya ada masalah dan harus melakukan validasi data, dari proses ini peretas akan memperoleh data dari target.

 

Peretas bisa juga menggunakan cara seperti menang undian, diskon dan lain-lain. Target akan diberi instruksi ke ATM dan senagaja memilih bahasa inggris, tentu ini akan memudahkan pelaku dengan harapan target tidak bisa bahasa inggris.

 

Social (Engineer) Networking, berupa cara memanfaatkan media sodial seperti facebook, twitter, atau instagram untuk mengambil data pribadi dari target. Melalui posting-posting yang dilakukan oleh target maka peretas bisa mengumpulkan berbagai informasi yang sangat sensitif seperti tempat tanggal lahir , hobi, tempat tinggal, relasi, kartu ID dan lain-lain.

 

Selain itu dengan melakukan engagement pelaku juga bisa mendapat kepercayaan dengan melakukan komen dan like dari posting yang telah dilakukan oleh target. Dengan ada kepercayaan maka pelaku bisa dengan mudah melancarkan aksinya.

 Baca Juga:  Bahayanya Serangan 911 Versi Digital

Neuro Linguistic Programming (NLP), menggunakan program pikiran sehingga bisa dengan muda  memanipulasi pikiran target.  pelaku serangan akan berhati-hati dalam memilih nada suara , memilih kata,mengatur intonasi nafas, dan gestur tubuhnya sehingga akan dipercaya oleh korban sampai ke bawah sadarnya.

 

Melalui Sex Sells, cara ini adalah dengan memanfaatkan ketertarikan dengan lawan jenis atau sejenis. Peretas yang merasa disukai akan dengan mudah mengambil akun dengan dalih meminjam akun atau perangkat elektronik yang mengakses akun.

 

Secara langsung atau tidak langsung pelaku akan mendapatkan akun tersebut. Tinggal bagaimana memerasnya terus menerus sebagai bukti Tindakan yang korban dilakukan.

 

Cara Mencegah Social Engineering

Social engineering dapat menimpa siapapun, termasuk Anda. Tetapi, Anda bisa mencegah social engineering dengan menerapkan beberapa cara berikut:

 

Waspada Saat Membagikan Data Pribadi, umumnya target serangan social engineering karena data pribadi seseorang sangatlah berharga. Jika sampai ke tangan peretas bisa saja disalahgunakan untuk hal yang negatif. Misalnya, jual-beli data, penipuan, hingga melakukan pinjaman online menggunakan nama Anda.

 

Untuk itu, Anda perlu membatasi berbagi data pribadi di dunia maya. Tipsnya, hanya berikan data pribadi pada platform atau website yang terpercaya dan pastikan bukan website abal-abal.

 

Gunakan Multi Factor Authentication, sering kali peretas untuk memanipulasi Anda agar memberikan akses ke akun pribadi. Nah, saat peretas sudah mengantongi password Anda, maka akan sangat mudah membobol akun Anda, bukan?

 

Untuk mencegah hal tersebut, jangan hanya gunakan password untuk melindungi akun Anda. Anda perlu menggunakan multi factor authentication sebagai lapisan keamanan untuk proses akses akun Anda.

Dengan multi factor authentication, masih ada informasi berupa pertanyaan unik, kode OTP, token pin, hingga verifikasi biometrik sidik jari atau face ID detector yang perlu diberikan untuk bisa masuk ke akun tersebut. Jadi, akun Anda bisa aman dari akses yang tidak diinginkan.

 

Gunakan Password Manager, Cara dengan menggunakan satu password yang sama untuk beberapa akun yang berbeda sangatlah berbahaya. Hal itu karena jika password tersebut bocor, Anda bisa kehilangan beberapa akun sekaligus.

 

Namun, untuk menyimpan seluruh password Anda, hindari mencatat manual di buku atau dokumen, ya. Bisa saja catatan tersebut hilang dan diakses oleh orang lain. Jika kesulitan untuk menyimpan setiap password, Anda dapat menggunakan bantuan password manager. Tools ini berbentuk ekstension pada browser maupun aplikasi yang bisa disimpan pada perangkat Anda.

 

Ibarat brankas, password Anda akan disimpan dalam satu tempat dengan keamanan super tinggi yaitu Advanced Encryption Standard (AES) 456 bit.

 

Jadi, Anda hanya perlu mengingat satu password master yang digunakan pada password manager. Sehingga, password Anda yang lainnya pun dapat tersimpan aman.

 

Selalu Waspada Ketika Mendownload File, Mendownload file jadi salah satu hal yang paling sering orang lakukan di internet. Baik file berupa dokumen, aplikasi, musik, video, dan lainnya.

 

Sedangkan, social engineering sering kali menggunakan file untuk menyebarkan malware, virus, atau sistem yang bisa meretas sebuah perangkat. Jadi, Anda harus berhati-hati dan hindari asal download di internet.

 

Jika Anda ingin mendownload sebuah file di sebuah website, pastikan situs tersebut resmi dan memiliki perlindungan SSL (sertifikat keamanan yang enkripsi data). Sama halnya di email, jika Anda menemukan lampiran yang mencurigakan, sebaiknya jangan di download. Hindari pula mengklik link atau tautan jika Anda tidak membutuhkannya.

 

Pasang Antivirus dan Antimalware, Social engineering memang memanfaatkan kelengahan Anda untuk mengambil data-data penting. Tetapi, jika akun dan perangkat Anda memiliki keamanan yang cukup baik, maka bisa meminimalisir dampak yang ditimbulkan.

 

AV-TEST mencatatkan setidaknya terdapat 1307.90 juta malware pada tahun 2021. Nah, untuk melindungi perangkat Anda bahaya cyber crime tersebut, Anda wajib memasang antivirus dan antimalware.

 

Verifikasi Identitas Pengirim Email, Metode menyerang Email merupakan salah satu media yang paling sering digunakan dalam serangan social engineering. Biasanya, peretas menggunakan email tiruan yang seakan resmi dan valid, untuk memanipulasi Anda agar melakukan sesuatu. Misalnya, mengirimkan file penting, melakukan transaksi, dan lainnya.

 

Nah, jika mendapatkan email semacam itu dari orang yang Anda kenal, sebaiknya konfirmasi langsung kepada yang bersangkutan. Begitu pula jika email dikirim dari perusahaan atau instansi tertentu. Jangan sungkan untuk telepon ke nomor resmi dan tanyakan apakah email tersebut valid atau tidak.

 

Gunakan Filter Spam Email, Untuk melindungi email Anda dari serangan social engineering, atur proteksi akun email Anda dengan mengaktifkan filter spam tingkat tinggi.

 

Email spam adalah pesan yang masuk secara tidak diundang ke email Anda. Dengan mengaktifkan fitur email spam, maka email yang terindikasi spam akan secara otomatis masuk ke folder khusus.

 

Social engineering adalah bentuk kejahatan online yang bisa saja memanipulasi Anda sehingga memberikan data pribadi yang diinginkan. Untuk itu, Anda perlu lebih waspada sehingga dapat melindungi perangkat, akun, dan seluruh data Anda ketika berselancar di dunia internet.

 

Semoga tulisan ini menginspirasikan kita semua bahwa internet tidaklah aman sepenuhnya dan kita harus belajar mengamankannya sebaik mungkin.