top of page
Search

Mengenal Social Engineering, Jenisnya dan Tips Pencegahan

Writer: Faisal AldiansyahFaisal Aldiansyah
Feb 135 min read

Headline social engineering dan Tips Pencegahannya

Apa itu Social Engineering

Social engineering adalah seni untuk memengaruhi, manipulasi psikologis atau menipu korban untuk mendapatkan kendali atas sistem komputer atau akun yang Anda miliki. Hacker menggunakan telepon, email, atau kontak langsung untuk mendapatkan akses ilegal. Beberapa contohnya diantaranya adalah phishing, spear phishing, dan CEO Fraud.


Sulit untuk mengidentifikasi pelaku, karena mereka justru menyamar seolah-olah menjadi orang yang kita kenal, entah itu keluarga, rekan kantor, teman dekat, dan lain sebagainya. Serangan social engineering ini memiliki tujuan untuk mencari informasi data pribadi dari mulai email hingga kata sandinya.


Mengutip data dari website KnowBe4, 98% serangan rely dengan social engineering, hal ini menandakan bahwa memang sebetulnya manusia lah yang menjadi target utama dari hacker, bukan endpoint maupun device yang Anda gunakan sehari.


Jenis - Jenis Social Engineering

Ancaman ini memiliki beberapa jenis untuk mengungkap informasi korban, diantaranya yaitu:


Pretexting

Beberapa contoh social engineering tipe Pretexting melalui email
Contoh social engineering jenis Pretexting. Sumber: cmu.id

Jenis yang pertama adalah pretexting atau berpura-pura, simplenya, pelaku membuat skenario fiktif yang dirancang untuk membujuk korban agar membagikan informasi pribadi. Skenarionya biasanya pelaku menyamar sebagai orang berwenang seperti polisi atau pihak bank yang memang digunakan oleh korban. Pelaku social engineering ini mungkin memiliki sebagian informasi korban seperti nomor akun bank, KTP, paspor, dan lainnya.


Diversion Theft

Diversion theft adalah jenis penipuan yang biasanya dilakukan oleh penjahat profesional, yang menargetkan biasanya perusahaan pengiriman atau transportasi. Tujuan utamanya untuk mengalihkan salah satu pengiriman barang dari lokasi yang seharusnya ke lokasi yang berbeda, dengan cara menipu perusahaan pengiriman.

Contoh diversion theft yang dilakukan oleh oknum yang berpura-pura menjadi pihak pengiriman barang
Contoh nyata diversion theft. Sumber: bonsernews.com

Contohnya, seperti gambar screenshot dibawah, korban mendapatkan informasi bahwa pihak J&T sedang mengalami kendala dan meminta agar mengganti jasa pengirimannya.


Ini merupakan salah satu taktik diversion theft yang akan memengaruhi korban agar terpengaruh dan langsung mengklik link tersebut yang dimana itu merupakan link scam.


Phishing

Phishing adalah penipuan yang dilakukan oleh penjahat siber dengan cara menggunakan email palsu yang tampak berasal dari organisasi atau orang yang terpercaya. Mereka sering menggunakan identitas dari bank, situs jejaring sosial, admin IT, atau situs web lelang terkenal. Tujuan dari phishing adalah untuk menipu penerima email agar memberikan informasi pribadi atau login mereka.


Sebagai contoh, penipu bisa menyamar sebagai pihak yang terpercaya, seperti bank besar atau layanan online terkenal. Mereka akan membuat email yang terlihat sangat sah dan meyakinkan.

Contoh serangan phishing yang mengatasnamakan Bank Mandiri dalam upaya social engineering untuk mencuri data pribadi.
Contoh serangan phishing yang mengatasnamakan Bank Mandiri menggunakan teknik social engineering untuk mencuri data pribadi. X @livinpoin

Contohnya, seperti yang terlihat pada gambar diatas, di mana ada contoh kasus phishing yang dilakukan oleh oknum yang mengatasnamakan diri mereka dari pihak Bank Mandiri. Email tersebut menyamar sebagai pemberitahuan resmi dari Bank Mandiri yang menginformasikan tentang pembaruan sistem online dan meminta penerima untuk memperbarui akun mereka.


Dengan menggunakan logo resmi dan bahasa yang terlihat meyakinkan, penipu berusaha untuk menipu korban agar memberikan informasi sensitif mereka.


Begitu pula dengan bank-bank besar lainnya seperti BCA, atau platform media sosial dan layanan belanja online terkenal seperti Facebook, Instagram, Tokopedia, dan Shopee. Mereka menggunakan logo resmi dan bahasa yang hampir identik dengan komunikasi resmi, untuk memperdaya korban agar melakukan tindakan yang dapat merugikan korban.


Spear Phishing

Spear phishing adalah bentuk penipuan yang sangat terarah yang dilakukan oleh penjahat siber. Berbeda dengan phishing biasa, serangan ini dilakukan dengan cara yang lebih spesifik, yaitu dengan menyasar individu atau organisasi tertentu. Penyerang akan melakukan riset mendalam untuk mengetahui informasi pribadi atau detail tentang target, sehingga dapat membuat email yang tampak sangat meyakinkan.


Sebagai contoh, penyerang dapat menyamar sebagai rekan kerja, atasan, atau pihak yang dikenal oleh target. Mereka akan mengirim email yang dirancang dengan sangat hati-hati, menggunakan nama dan informasi yang relevan dengan target untuk memancing tindakan tertentu. Biasanya, email ini akan meminta target untuk mengklik tautan atau memberikan informasi sensitif seperti kata sandi, nomor kartu kredit, atau data pribadi lainnya.

Proses serangan spear phishing yang mengarah pada pencurian data sensitif melalui email yang sangat terarah.
Ilustrasi spear phishing Sumber: Norton.com

Contohnya seperti pada gambar diatas, yang menggambarkan proses spear phishing, di mana penjahat siber pertama-tama mengidentifikasi data yang dibutuhkan, melakukan riset untuk menyamar sebagai pihak yang dipercaya, dan akhirnya meyakinkan korban untuk membagikan informasi pribadi yang digunakan untuk tujuan jahat.


Water Holing

Watering Hole Attack atau water holing adalah serangan di mana penyerang menginfeksi situs yang sering dikunjungi target.

Ilustrasi cara kerja serangan watering hole yang menginfeksi situs dan menyebarkan malware ke sistem korban.
Ilustrasi Cara Kerja Watering Hole Attack. Sumber: Cymulate.com

Ketika korban mengunjungi situs yang telah dikompromikan, kode berbahaya akan diunduh ke sistem mereka. Setelah itu, malware akan dijatuhkan ke perangkat korban, memungkinkan penyerang untuk memulai aktivitas berbahaya. Malware ini dapat menyebar ke sistem lain, memperluas dampak serangan.


Baiting

Baiting adalah taktik di mana penyerang menggoda korban dengan menawarkan sesuatu yang menarik agar mereka mengambil tindakan.

Seseorang yang mengambil dompet yang ditemukan di tempat umum, sebagai ilustrasi dari taktik baiting.
 Ilustrasi taktik baiting

Di Indonesia, ini bisa dilakukan dengan cara menawarkan file atau aplikasi populer yang banyak dicari, seperti unduhan gratis aplikasi premium atau game, atau dengan meninggalkan perangkat USB yang berlabel menarik, seperti "Promo Diskon Belanja" di tempat umum. Begitu korban mengunduh file atau menggunakan perangkat tersebut, komputer mereka akan terinfeksi, memberikan penyerang akses untuk menguasai jaringan atau mencuri data pribadi.


8 Tips Agar Perusahaan Anda Terhindar dari Social Engineering


  1. Matikan Segala Aktivitas Device

    Jika terjadi infeksi ransomware, segera matikan mesin yang terinfeksi dan lakukan pemulihan sistem dari cadangan (re-imaging) secara bersih (bare metal). Segera hentikan aktivitas mesin yang terinfeksi dan lakukan pemulihan sistem secara menyeluruh dari cadangan atau instalasi baru untuk memastikan tidak ada malware yang tersisa.


  1. Gunakan Penyaringan URL yang Mengumpuni

    Gunakan Secure Email Gateway dan Web Gateways yang mencakup penyaringan URL dan pastikan konfigurasi yang tepat. Pastikan sistem ini diatur dengan benar untuk memblokir ancaman dari email dan situs web berbahaya.


  2. Selalu Perbarui Device atau Endpoint

    Pastikan endpoint Anda selalu diperbarui, baik sistem operasi maupun aplikasi pihak ketigaPeriksa dan perbarui perangkat lunak secara rutin.


  3. Lindungi Pemegang Data Sensitif

    Identifikasi pengguna yang menangani informasi sensitif dan terapkan otentikasi multi-faktor bagi mereka. Pengguna yang menangani data penting harus dilindungi dengan langkah keamanan tambahan, seperti verifikasi dua faktor, atau Anda dapat coba menggunakan solusi Cybereason Endpoint Detection and Response (EDR) untuk mencegah, memeriksa, dan mengamankan perangkat kerja Anda.


  4. Tinjau Prosedur Perusahaan

    Tinjau kebijakan dan prosedur keamanan internal Anda, terutama yang berkaitan dengan transaksi keuangan untuk mencegah CEO Fraud. Pastikan prosedur internal yang mengatur transaksi keuangan telah dilindungi dengan kontrol yang ketat.


  5. Pastikan Firewall Bersih Dari Trafic Mencurigakan

    Periksa konfigurasi firewall Anda dan pastikan tidak ada lalu lintas jaringan kriminal yang bisa mengakses server Command & Control (C&C). Firewall harus disetel untuk mencegah komunikasi dengan server yang digunakan oleh penyerang.


  6. Manfaatkan Security Awareness Training

    Manfaatkan pelatihan kesadaran keamanan modern dan lengkap, seperti KnowBe4 Security Awareness Training yang mencakup uji coba rekayasa sosial secara berkala menggunakan berbagai saluran, bukan hanya emailLatih karyawan Anda secara berkala dengan uji rekayasa sosial yang melibatkan berbagai bentuk komunikasi untuk meningkatkan kewaspadaan mereka.


  7. Terus Lakukan Backup

    Pastikan Anda memiliki cadangan data yang sangat aman (backup). Sistem cadangan yang kuat adalah garis pertahanan terakhir yang penting untuk memastikan Anda dapat pulih dengan cepat setelah serangan.


Kesimpulan

Social engineering adalah ancaman serius yang dapat menargetkan siapa saja dengan menggunakan manipulasi psikologis untuk mendapatkan akses ilegal ke data atau sistem. Jenis serangan seperti phishing, spear phishing, dan baiting semakin canggih, sehingga penting untuk melindungi diri dengan langkah-langkah keamanan yang tepat.


Pelatihan kesadaran keamanan yang berkelanjutan, pengaturan firewall yang benar, dan penggunaan otentikasi multi-faktor adalah langkah-langkah utama untuk menghindari serangan ini. Untuk melindungi perusahaan Anda lebih lanjut, pelatihan KnowBe4 Security Awareness Training adalah solusinya. Hubungi kami di marketing@netmarks.co.id untuk dapatkan konsultasi bersama ahli cyber security Netmarks Indonesia.




Refrensi:

Tags:

 

Comentarios

bottom of page