Social engineering adalah teknik manipulasi yang memanfaatkan kesalahan manusia untuk mendapatkan akses pada informasi pribadi atau data-data berharga. Social engineering sering disebut sebagai “human hacking” karena mengeksploitasi kelemahan psikologis dan emosional manusia daripada celah teknis atau digital.
.
Social engineering merupakan salah satu ancaman terbesar bagi keamanan informasi saat ini. Menurut laporan State of Cybersecurity 2022 dari ISACA, social engineering adalah penyebab utama kompromi jaringan saat ini1 Selain itu, menurut laporan Cost of a Data Breach 2022 dari IBM, serangan social engineering (seperti phishing dan business email compromise) termasuk yang paling mahal.
Social engineering merupakan salah satu ancaman terbesar bagi keamanan informasi saat ini. Menurut laporan State of Cybersecurity 2022 dari ISACA, social engineering adalah penyebab utama kompromi jaringan saat ini1 Selain itu, menurut laporan Cost of a Data Breach 2022 dari IBM, serangan social engineering (seperti phishing dan business email compromise) termasuk yang paling mahal.
Jenis-Jenis Serangan Social Engineering
Ada berbagai jenis dan teknik serangan social engineering yang digunakan oleh para penjahat cyber untuk menipu korban mereka. Beberapa di antaranya adalah:
- Pretexting: Pretexting adalah tindakan menciptakan dan menggunakan skenario palsu (pretext) untuk berinteraksi dengan korban dengan cara yang meningkatkan kemungkinan korban akan memberikan informasi atau melakukan tindakan yang tidak akan mereka lakukan dalam keadaan normal. Misalnya, seorang penipu menelepon korban dengan mengaku sebagai pegawai bank dan meminta informasi rekening atau kartu kredit dengan alasan verifikasi atau pembaruan data.
- Water holing: Water holing adalah strategi social engineering yang ditargetkan yang memanfaatkan kepercayaan pengguna terhadap situs web yang mereka kunjungi secara rutin. Korban merasa aman untuk melakukan hal-hal yang tidak akan mereka lakukan dalam situasi lain. Misalnya, seorang pengguna yang waspada mungkin sengaja menghindari mengklik tautan dalam email yang tidak diminta, tetapi pengguna yang sama tidak akan ragu untuk mengikuti tautan di situs web yang sering mereka kunjungi. Jadi, penyerang menyiapkan perangkap untuk mangsa yang tidak waspada di tempat minum favorit mereka. Strategi ini telah berhasil digunakan untuk mendapatkan akses ke beberapa sistem yang (konon) sangat aman.
- Phishing: Phishing adalah teknik social engineering yang paling umum dan paling dikenal. Phishing adalah upaya untuk mendapatkan informasi sensitif atau data pribadi, seperti nama pengguna, kata sandi, nomor kartu kredit, atau rincian bank, dengan mengirim email atau pesan yang tampak sah, tetapi sebenarnya berasal dari penyerang. Email atau pesan phishing biasanya mengandung tautan atau lampiran yang berbahaya yang dapat menginfeksi perangkat korban dengan malware atau mengarahkan korban ke situs web palsu yang meniru situs web asli.
- Baiting: Baiting adalah teknik social engineering yang mengeksploitasi rasa ingin tahu atau keserakahan korban. Baiting melibatkan menawarkan sesuatu yang menarik atau berharga kepada korban sebagai umpan untuk memancing mereka melakukan sesuatu yang berisiko, seperti mengunduh file, mengklik tautan, atau memasukkan informasi pribadi. Umpan bisa berupa barang fisik, seperti flash drive yang ditinggalkan di tempat umum, atau digital, seperti iklan atau email yang menjanjikan hadiah atau keuntungan.
- Impersonation: Impersonation adalah teknik social engineering yang melibatkan meniru orang atau organisasi yang dipercaya atau dihormati oleh korban, seperti teman, rekan kerja, atasan, pelanggan, mitra bisnis, atau otoritas. Tujuannya adalah untuk meyakinkan korban bahwa penyerang adalah orang atau organisasi yang sah dan memiliki otoritas atau alasan yang valid untuk meminta informasi atau tindakan tertentu dari korban. Impersonation bisa dilakukan melalui telepon, email, media sosial, atau komunikasi langsung.
.
Cara Mencegah Serangan Social Engineering
Serangan social engineering dapat menyebabkan kerugian besar bagi individu maupun organisasi, baik secara finansial, reputasi, maupun kepercayaan. Oleh karena itu, penting untuk mengetahui cara mencegah dan menghindari serangan social engineering. Berikut adalah beberapa tips yang dapat membantu Anda melindungi diri dan data Anda dari social engineering:
- Jadilah skeptis dan kritis: Jangan mudah percaya atau mengikuti apa yang dikatakan atau diminta oleh orang lain, terutama jika Anda tidak mengenal mereka atau jika mereka menghubungi Anda secara tiba-tiba. Selalu periksa identitas dan kredibilitas mereka sebelum memberikan informasi atau melakukan tindakan apa pun. Jika Anda ragu, mintalah bukti atau konfirmasi dari sumber lain yang dapat Anda percayai.
- Jangan terburu-buru atau terintimidasi: Penyerang social engineering sering menggunakan rasa takut, ancaman, rasa bersalah, atau rasa tergesa-gesa untuk memaksa korban melakukan apa yang mereka inginkan. Jangan biarkan emosi Anda menguasai Anda dan jangan terburu-buru membuat keputusan. Ambil waktu untuk berpikir dan mengevaluasi situasi dengan tenang dan rasional. Jika Anda merasa tidak nyaman atau curiga, segera hentikan komunikasi dan laporkan insiden tersebut kepada pihak yang berwenang.
- Perhatikan detail dan tanda-tanda peringatan: Serangan social engineering sering mengandung kesalahan atau ketidaksesuaian yang dapat menjadi petunjuk bahwa sesuatu tidak beres. Misalnya, alamat email, nomor telepon, atau situs web yang tidak cocok dengan orang atau organisasi yang diklaim; ejaan, tata bahasa, atau format yang buruk; tautan atau lampiran yang mencurigakan; atau permintaan yang tidak masuk akal atau tidak relevan. Jangan abaikan detail dan tanda-tanda peringatan ini dan selalu verifikasi informasi sebelum Anda mempercayainya atau bertindak berdasarkannya.
- Gunakan teknologi dan alat keamanan: Meskipun social engineering menargetkan manusia, bukan sistem, Anda tetap dapat menggunakan teknologi dan alat keamanan untuk membantu Anda mencegah dan mendeteksi serangan social engineering. Misalnya, Anda dapat menggunakan perangkat lunak antivirus, firewall, dan enkripsi untuk melindungi perangkat dan data Anda dari malware atau penyadapan. Anda juga dapat menggunakan otentikasi dua faktor, sandi yang kuat dan berbeda, dan manajer sandi untuk melindungi akun dan layanan online Anda dari pencurian identitas atau akses yang tidak sah. Selain itu, Anda dapat menggunakan alat seperti IBM Security QRadar untuk mengidentifikasi dan menyelidiki perilaku aneh atau anomali yang dapat menunjukkan adanya serangan social engineering.
Kesimpulan
Social engineering adalah teknik manipulasi yang memanfaatkan kesalahan manusia untuk mendapatkan akses pada informasi pribadi atau data-data berharga. Social engineering merupakan salah satu ancaman terbesar bagi keamanan informasi saat ini dan dapat menyebabkan kerugian besar bagi individu maupun organisasi. Untuk mencegah dan menghindari serangan social engineering, Anda perlu jadilah skeptis dan kritis, jangan terburu-buru atau terintimidasi, perhatikan detail dan tanda-tanda peringatan, dan gunakan teknologi dan alat keamanan. Dengan demikian, Anda dapat melindungi diri dan data Anda dari social engineering.
gambar
