Apa itu Rekayasa Sosial? 11 Contoh yang Harus Diperhatikan
Daftar Isi
Apa sih sebenarnya Rekayasa Sosial itu?
Rekayasa sosial mengacu pada tindakan memanipulasi orang untuk mengekstrak informasi rahasia mereka. Jenis informasi yang dicari penjahat mungkin berbeda-beda. Biasanya, orang-orang tersebut ditargetkan untuk detail bank atau kata sandi akun mereka. Penjahat juga mencoba mengakses komputer korban sehingga mereka menginstal perangkat lunak berbahaya. Perangkat lunak ini kemudian membantu mereka mengekstrak informasi apa pun yang mungkin mereka perlukan.
Penjahat menggunakan taktik rekayasa sosial karena seringkali mudah untuk mengeksploitasi seseorang dengan mendapatkan kepercayaan mereka dan meyakinkan mereka untuk memberikan informasi pribadi mereka. Ini adalah cara yang lebih nyaman daripada langsung meretas komputer seseorang tanpa sepengetahuan mereka.
Contoh Rekayasa Sosial
Anda akan dapat melindungi diri Anda lebih baik dengan mengetahui berbagai cara rekayasa sosial dilakukan.
1. Berpura-pura
Pretexting digunakan ketika penjahat ingin mengakses informasi sensitif dari korban untuk melakukan tugas penting. Penyerang mencoba mendapatkan informasi melalui beberapa kebohongan yang dibuat dengan hati-hati.
Penjahat memulai dengan membangun kepercayaan dengan korban. Ini dapat dilakukan dengan menyamar sebagai teman, kolega, pejabat bank, polisi, atau pihak berwenang lainnya yang mungkin meminta informasi sensitif tersebut. Penyerang mengajukan serangkaian pertanyaan kepada mereka dengan dalih mengkonfirmasi identitas mereka dan mengumpulkan data pribadi dalam proses ini.
Metode ini digunakan untuk mengekstrak semua jenis detail pribadi dan resmi dari seseorang. Informasi tersebut dapat mencakup alamat pribadi, nomor jaminan sosial, nomor telepon, catatan telepon, detail bank, tanggal liburan staf, informasi keamanan terkait bisnis, dan sebagainya.
2. Pencurian Pengalihan
Ini adalah jenis penipuan yang umumnya ditujukan kepada perusahaan kurir dan transportasi. Penjahat mencoba mengelabui perusahaan target dengan membuat mereka memberikan paket pengiriman mereka ke lokasi pengiriman yang berbeda dari yang semula dimaksudkan. Teknik ini digunakan untuk mencuri barang berharga yang dikirim melalui pos.
Penipuan ini dapat dilakukan secara offline dan online. Personel yang membawa paket dapat didekati dan diyakinkan untuk menurunkan pengiriman di lokasi yang berbeda. Penyerang mungkin juga mendapatkan akses ke sistem pengiriman online. Mereka kemudian dapat mencegat jadwal pengiriman dan mengubahnya.
3. Phising
Phishing adalah salah satu bentuk rekayasa sosial yang paling populer. Penipuan phishing melibatkan email dan pesan teks yang dapat menimbulkan rasa ingin tahu, ketakutan, atau urgensi pada korban. Teks atau email menghasut mereka untuk mengklik tautan yang akan mengarah ke situs web berbahaya atau lampiran yang akan menginstal malware di perangkat mereka.
Misalnya, pengguna layanan online mungkin menerima email yang mengklaim bahwa telah terjadi perubahan kebijakan yang mengharuskan mereka segera mengubah kata sandi. Surat tersebut akan berisi tautan ke situs web ilegal yang identik dengan situs web asli. Pengguna kemudian akan memasukkan kredensial akun mereka ke situs web itu, menganggapnya sebagai yang sah. Saat mengirimkan detail mereka, informasi tersebut akan dapat diakses oleh penjahat.
4. Phishing Tombak
Ini adalah jenis penipuan phishing yang lebih ditargetkan pada individu atau organisasi tertentu. Penyerang menyesuaikan pesan mereka berdasarkan posisi pekerjaan, karakteristik, dan kontrak yang terkait dengan korban, sehingga pesan tersebut tampak lebih asli. Spear phishing membutuhkan lebih banyak upaya dari pihak penjahat dan mungkin memakan waktu lebih lama daripada phishing biasa. Namun, mereka lebih sulit untuk diidentifikasi dan memiliki tingkat keberhasilan yang lebih baik.
Misalnya, penyerang yang mencoba spear phishing pada suatu organisasi akan mengirim email ke karyawan yang menyamar sebagai konsultan TI perusahaan. Email akan dibingkai dengan cara yang persis sama dengan cara konsultan melakukannya. Tampaknya cukup otentik untuk menipu penerima. Email tersebut akan meminta karyawan untuk mengubah kata sandi mereka dengan memberi mereka tautan ke halaman web jahat yang akan merekam informasi mereka dan mengirimkannya ke penyerang.
5. Lubang Air
Penipuan water-holing ini memanfaatkan situs terpercaya yang sering dikunjungi banyak orang. Penjahat akan mengumpulkan informasi mengenai sekelompok orang yang ditargetkan untuk menentukan situs web mana yang sering mereka kunjungi. Situs web ini kemudian akan diuji kerentanannya. Seiring waktu, satu atau lebih anggota grup ini akan terinfeksi. Penyerang kemudian akan dapat mengakses sistem aman dari pengguna yang terinfeksi ini.
Nama tersebut berasal dari analogi bagaimana hewan meminum air dengan berkumpul di tempat kepercayaannya ketika haus. Mereka tidak berpikir dua kali untuk mengambil tindakan pencegahan. Predator menyadari hal ini, jadi mereka menunggu di dekatnya, siap menyerang mereka saat kewaspadaan mereka turun. Water-holing dalam lanskap digital dapat digunakan untuk melakukan beberapa serangan paling dahsyat pada sekelompok pengguna yang rentan pada saat yang bersamaan.
6. Umpan
Terbukti dari namanya, mengumpan melibatkan penggunaan janji palsu untuk memicu keingintahuan atau keserakahan korban. Korban dipancing ke dalam perangkap digital yang akan membantu penjahat mencuri detail pribadi mereka atau memasang malware ke dalam sistem mereka.
Pengumpan dapat dilakukan melalui media online dan offline. Sebagai contoh offline, penjahat mungkin meninggalkan umpan berupa flash drive yang telah terinfeksi malware di lokasi yang mencolok. Ini mungkin lift, kamar mandi, tempat parkir, dll., dari perusahaan target. Flash drive akan memiliki tampilan asli, yang akan membuat korban mengambilnya dan memasukkannya ke komputer kantor atau rumah mereka. Flash drive kemudian akan secara otomatis mengekspor malware ke dalam sistem.
Bentuk umpan online dapat berupa iklan yang menarik dan menggoda yang akan mendorong korban untuk mengkliknya. Tautan tersebut dapat mengunduh program jahat, yang kemudian akan menginfeksi komputer mereka dengan malware.
7. Quid Pro Quo
Serangan quid pro quo berarti serangan “sesuatu untuk sesuatu”. Ini adalah variasi dari teknik umpan. Alih-alih memancing korban dengan janji keuntungan, serangan quid pro quo menjanjikan layanan jika tindakan tertentu telah dilakukan. Penyerang menawarkan keuntungan palsu kepada korban dengan imbalan akses atau informasi.
Bentuk paling umum dari serangan ini adalah ketika penjahat menyamar sebagai staf TI sebuah perusahaan. Penjahat kemudian menghubungi karyawan perusahaan dan menawarkan perangkat lunak baru atau peningkatan sistem. Karyawan tersebut kemudian akan diminta untuk menonaktifkan perangkat lunak anti-virus mereka atau menginstal perangkat lunak berbahaya jika mereka menginginkan peningkatan.
8. Mengejar
Serangan tailgating juga disebut piggybacking. Ini melibatkan penjahat yang mencari entri di dalam lokasi terbatas yang tidak memiliki langkah-langkah otentikasi yang tepat. Penjahat dapat memperoleh akses dengan berjalan di belakang orang lain yang telah diizinkan memasuki area tersebut.
Sebagai contoh, penjahat dapat menyamar sebagai sopir pengiriman yang tangannya penuh dengan paket. Dia menunggu karyawan yang berwenang untuk memasuki pintu. Petugas pengiriman penipu kemudian meminta karyawan tersebut untuk menahan pintu untuknya, sehingga membiarkan dia mengakses tanpa izin apa pun.
9. Perangkap madu
Trik ini melibatkan penjahat yang berpura-pura menjadi orang yang menarik secara online. Orang tersebut berteman dengan target mereka dan memalsukan hubungan online dengan mereka. Penjahat kemudian memanfaatkan hubungan ini untuk mengekstrak detail pribadi korbannya, meminjam uang dari mereka, atau membuat mereka memasang malware ke komputer mereka.
Nama 'honeytrap' berasal dari taktik mata-mata lama di mana wanita digunakan untuk menargetkan pria.
10. Nakal
Perangkat lunak nakal mungkin muncul dalam bentuk anti-malware nakal, pemindai nakal, menakut-nakuti nakal, anti-spyware, dan sebagainya. Jenis malware komputer ini menyesatkan pengguna untuk membayar perangkat lunak simulasi atau palsu yang berjanji akan menghapus malware. Perangkat lunak keamanan nakal telah menjadi perhatian yang berkembang dalam beberapa tahun terakhir. Pengguna yang tidak curiga mungkin dengan mudah menjadi mangsa perangkat lunak semacam itu, yang tersedia dalam jumlah banyak.
11. Malware
Tujuan dari serangan malware adalah membuat korban menginstal malware ke dalam sistem mereka. Penyerang memanipulasi emosi manusia untuk membuat korban mengizinkan malware masuk ke komputer mereka. Teknik ini melibatkan penggunaan pesan instan, pesan teks, media sosial, email, dll., untuk mengirim pesan phishing. Pesan-pesan ini mengelabui korban agar mengklik tautan yang akan membuka situs web yang berisi malware.
Taktik menakut-nakuti sering digunakan untuk pesan. Mereka mungkin mengatakan bahwa ada yang salah dengan akun Anda dan Anda harus segera mengklik tautan yang disediakan untuk masuk ke akun Anda. Tautan tersebut kemudian akan membuat Anda mengunduh file tempat malware akan dipasang di komputer Anda.
Tetap Waspada, Tetap Aman
Menjaga diri Anda tetap terinformasi adalah langkah pertama untuk melindungi diri Anda dari serangan rekayasa sosial. Kiat dasarnya adalah mengabaikan pesan apa pun yang meminta kata sandi atau informasi keuangan Anda. Anda dapat menggunakan filter spam yang disertakan dengan layanan email Anda untuk menandai email tersebut. Mendapatkan perangkat lunak anti-virus tepercaya juga akan membantu mengamankan sistem Anda lebih lanjut.
