social engineering adalah seni mengeksploitasi psikologi manusia, bukan teknik peretasan teknis, untuk mendapatkan akses ke bangunan, sistem, atau data. Latih diri Anda untuk melihat tanda-tandanya.
Apa Itu Social Engineering?
social engineering, dalam konteks keamanan siber, adalah proses menipu orang agar membocorkan informasi pribadi yang dapat berguna dalam serangan siber.
Ada banyak jenis serangan social engineering. Beberapa bentuk manipulasi psikologis adalah email atau pesan teks yang meyakinkan yang terinfeksi tautan yang mengarah ke situs web berbahaya. Lainnya melibatkan lebih banyak upaya, seperti panggilan telepon dari penjahat dunia maya yang berpura-pura menjadi dukungan teknis yang meminta informasi rahasia.
Serangan social engineering sangat populer karena membantu penjahat dunia maya menghindari upaya sulit untuk menemukan dan mengeksploitasi kerentanan keamanan untuk mengakses jaringan. Sebaliknya, karyawan yang dimanipulasi pada dasarnya menyerahkan aktor ancaman kunci ke jaringan
Sejarah dan Evolusi Teknik Social Engineering.
Awal Mula
Istilah “social engineering” pertama kali digunakan oleh industrialis Belanda JC Van Marken pada tahun 1894. Van Marken menekankan perlunya spesialis untuk mengatasi tantangan manusia di samping tantangan teknis.
Pada tahun 1911, Edward L. Earp menulis sebuah buku berjudul “Social Engineer,” mendorong orang untuk mendekati hubungan sosial dengan ketekunan yang sama seperti yang mereka lakukan pada mesin.
Perkembangan Abad ke-20:
Selama akhir abad ke-19 dan awal abad ke-20, para ahli muncul yang berusaha membentuk masyarakat, menyebarkan nilai-nilai, dan meningkatkan efisiensi. Mereka pada dasarnya adalah “social engineering” dalam upaya mereka. Pada tahun 1875, profesor Jerman Wilhelm Wundt meletakkan dasar bagi psikologi, tanpa sadar mempengaruhi dunia dengan cara yang mungkin tidak dia bayangkan.
Ketenaran Digital:
social engineering menjadi terkenal dalam dua dekade terakhir, terutama karena penjahat dunia maya mengadopsi tekniknya. Saat ini, social engineering memanipulasi target untuk mengungkapkan informasi pribadi, mendapatkan uang, atau mendapatkan akses ke data sensitif.
Bagaimana Social Engineering Bekerja?
social engineering biasanya mulai dengan mengumpulkan informasi tentang target mereka. Ini dapat dilakukan melalui pengumpulan intelijen sumber terbuka, yang melibatkan menjelajahi media sosial, situs web, dan catatan publik untuk mempelajari kebiasaan, minat, koneksi, dan rutinitas target. Dalam konteks perusahaan, penyerang juga dapat meneliti organisasi target untuk mengidentifikasi potensi kerentanan atau titik masuk.
Salah satu bentuk manipulasi psikologis yang paling umum dan efektif adalah phishing. Email phishing dibuat agar terlihat sah, sering kali meniru entitas terpercaya seperti bank, situs e-commerce, atau bahkan kolega. Email ini berisi tautan atau lampiran berbahaya yang, ketika di klik, dapat menginstal malware di perangkat korban atau mengarahkan mereka ke situs web palsu tempat mereka diminta memasukkan informasi sensitif seperti nama pengguna dan kata sandi. Rincian teknis dalam serangan phishing melibatkan pembuatan template email yang meyakinkan dan seringkali pendaftaran nama domain yang tampak meyakinkan.
Aspek teknis social engineering sering berkisar pada penciptaan persona yang meyakinkan, menyusun skenario yang dapat dipercaya, mengembangkan keterampilan komunikasi yang efektif, dan menggunakan berbagai alat dan taktik untuk penipuan. Misalnya, penyerang dapat menggunakan alamat email palsu, nama domain, dan ID penelepon untuk membuat komunikasi mereka tampak asli. Mereka juga dapat menggunakan malware, kit social engineering, dan trik psikologis untuk meningkatkan efektivitas serangan mereka.
Teknik-teknik umum yang digunakan dalam Social Engineering
Phishing
Penyerang menggunakan email, pesan, atau situs web palsu yang meniru sumber yang sah untuk menipu penerima agar memberikan informasi pribadi, seperti kredensial login, detail kartu kredit, atau bahkan nomor Jaminan Sosial.
Pretexting
Pretexting adalah proses berbohong untuk mendapatkan akses ke data pribadi atau informasi istimewa lainnya. Misalnya, penipu mungkin menyamar sebagai vendor pihak ketiga, mengatakan bahwa mereka perlu mengetahui nama lengkap dan jabatan Anda untuk memverifikasi identitas Anda.
Baiting
Menawarkan sesuatu yang menarik, seperti unduhan gratis atau kupon, yang, ketika diakses, menginstal perangkat lunak berbahaya pada perangkat korban atau memikat mereka untuk mengungkapkan informasi sensitif.
Quid Pro Quo
Quid pro quo adalah jenis serangan social engineering yang mengeksploitasi kecenderungan manusia untuk membalas gerakan yang baik.
Misalnya, penyerang dapat memberikan dukungan teknis gratis melalui panggilan telepon ke korban dan kemudian meminta mereka mematikan antivirus mereka untuk mendukung pembaruan sistem yang akan datang. Korban kemudian ditekan untuk berkewajiban membalas bantuan murah hati yang diberikan kepada mereka.
Jika korban sangat akomodatif, penjahat dunia maya akan terus menggunakannya untuk memajukan serangan dunia maya. Mengikuti dari contoh di atas, setelah mematikan semua perangkat lunak antivirus, korban kemudian dapat diminta untuk menginstal trojan masking sebagai “pembaruan perangkat lunak”, yang menyebabkan seluruh jaringan jatuh di bawah kendali penjahat dunia maya.
Dampak Serangan Social Engineering
Dampak terhadap individu.
- Kehilangan Data Pribadi dan Keuangan: Penyerang dapat memperoleh informasi sensitif, seperti nomor kartu kredit atau data pribadi. Korban berisiko kehilangan uang atau mengalami pencurian identitas.
- Rusaknya Reputasi: Jika data pribadi bocor, reputasi individu bisa tercemar. Informasi yang disalahgunakan dapat merusak citra dan kepercayaan diri.
- Stres dan Kecemasan: Ancaman dan manipulasi dari serangan social engineering dapat menyebabkan stres dan kecemasan pada korban.
- Kerugian Finansial: Kehilangan uang atau aset karena penipuan atau pencurian akibat serangan ini.
Dampak terhadap perusahaan dan organisasi.
- Kerugian Finansial: Akses ke informasi keuangan bisa menyebabkan kerugian besar bagi perusahaan. Selain itu, biaya pemulihan data setelah serangan juga dapat mengurangi pasokan uang perusahaan.
- Gangguan Operasional: Serangan social engineering dapat mengganggu operasi bisnis sehari-hari. Karyawan yang menjadi korban manipulasi psikologis mungkin tidak dapat bekerja efisien, menghambat produktivitas.
- Rusaknya Reputasi Brand: Kepercayaan pelanggan bisa rusak akibat insiden keamanan. Reputasi brand perusahaan dapat tercemar jika data pribadi bocor atau terjadi insiden serius.
Cara Mencegah dan Melindungi Diri dari Social Engineering
Edukasi dan kesadaran karyawan.
Pastikan Anda memiliki program pelatihan kesadaran keamanan komprehensif yang diperbarui secara berkala untuk mengatasi ancaman phishing umum dan ancaman siber baru yang ditargetkan. Ingat, ini bukan hanya tentang mengklik tautan.
Penggunaan teknologi dan perangkat lunak keamanan.
Menjaga perangkat lunak dan sistem tetap up to date sangat penting, karena social engineering sering mengeksploitasi kerentanan yang diketahui. Pembaruan rutin dan manajemen patch mengurangi potensi. Organisasi menilai praktik keamanan vendor dan mitra pihak ketiga untuk memastikan mereka tidak memperkenalkan kerentanan yang dapat dieksploitasi oleh penyerang.
Prosedur dan kebijakan keamanan di perusahaan.
Tambahkan kontrol ekstra, jika perlu. Ingatlah bahwa pemisahan tugas dan perlindungan lainnya dapat dikompromikan di beberapa titik oleh ancaman orang dalam, sehingga tinjauan risiko mungkin perlu dianalisis ulang mengingat meningkatnya ancaman.
Tertarik Untuk Menggunakan VPS dengan teknologi terbaik dari Nevacloud?
Kasus penggunaan social engineering di dunia nyata menekankan dampaknya yang luas pada individu dan bisnis. Untuk mengatasi ancaman yang terus berkembang ini, perusahaan menumbuhkan budaya kesadaran keamanan, menerapkan langkah-langkah keamanan berlapis-lapis, dan terus menyesuaikan strategi mereka untuk mengurangi risiko yang ditimbulkan oleh social engineering. Pertempuran melawan social engineering menuntut kombinasi teknologi, pendidikan, dan kewaspadaan untuk secara efektif melindungi data sensitif dan menjaga kepercayaan di dunia digital.Terlepas dari itu, jika anda sedang mencari VPS dengan teknologi terbaik, anda dapat menggunakan VPS dari Nevacloud. Tunggu apalagi? kunjungi website Nevacloud dan temukan beragam penawaran menariknya!