Social engineering merupakan salah satu tindak kejahatan yang di lakukan dengan memanfaatkan interaksi dengan manusia. Teknik ini menggunakan manipulasi psikologis untuk menipu korban agar melakukan ”kesalahan” dari sisi keamanan dan pada akhirnya memberikan suatu informasi.

Metoda yang di gunakan oleh para “Penjahat” untuk mendapat informasi penting tentunya, karena mereka memahami benar bahwa human atau user menjadi rantai terlemah pada sistem keamanan jaringan. Yups … lemah !!!

Meskipun institusi tersebut telah membangun sistem keamanan yang baik, namun jika dioperasikan oleh pengguna (user) yang tidak kompeten, gegabah sistem tetap bisa dengan mudah diserang oleh “hacker jahat”. Bukan menakut-nakuti, menuju 2024 Social engineering semakin canggih dan lebih modifikatif.

Untuk saat ini kebanyakan di lakukan melalui media telepon atau Internet.  Memang harus kita akui media internet dan telepon sudah menjadi konsumsi kesaharian bagi kita si penggguna teknologi.

Karena semua sistem komputer melibatkan interaksi manusia, maka celah keamanan ini bersifat universal, tidak tergantung kepada platform perangkat lunak ataupun juga perangkat lainnya.

Sebagai contoh kelemahan pada sisi pengguna adalah penggunaan kata sandi yang mudah di bajak dan di tebak, lupa log-out, sampai-sampai lupa makan. Hal tersebut yang dapat menyebabkan peretas dapat dengan mudah memanfaatkan celah keamanan untuk mencuri atau merusak data-data penting.

Jika di dalam perusahaan biasanya di lakukan oleh pasukan sakit hati.

Dyarinotes rangkum dari berbagai sumber beberapa teknik Social Engineering Attack dalam kenyataannya dapat merugikan kita semua. waspadalah.

Membangun Website Warez

Website warez merupakan website yang berisi aplikasi-aplikasi full version atau pro yang harusnya dilindungi dengan key atau serial number tapi oleh peretas telah
dihilangkan sehingga aplikasi yang versi standar bisa seperti versi pro.

Mengapa website ini berbahaya? Karena peratas bisa menanamkan program jahat di dalam keygen atau aplikasi yang ada di website warez.

Setiap pengguna komputer tentu menginginkan aplikasi yang full version, karena tak ingin mengeluarkan uang maka solusinya adanya menggunakan aplikasi bajakan tersebut.

Peretas tentu saja tidak menyediakan aplikasi tersebut secara gratis, ia akan menanamkan program seperti trojan, spyware, adware, dan lain-lainnya. Sehingga harga untuk meretas aplikasi full version dan mengelola website manjadi terbayarkan.

Maka teman-teman berhati-hati ketika mendownload melalui web ini, dan hendaknya memasang anti virus di komputernya.

Baiting

Metode ini memanfaatkan rasa ingin tahu dari korban termasuk anda tentunya. Si Penjahat “Hacker Jahat” dapat membujuk korban agar membuka tautan berbahaya dengan iming-iming menawarkan kita atau pengguna untuk mengunduh musik atau film gratis atau bajakan.

Mereka juga bisa membuat iklan software gratis yang mengarahkan korban ke situs jahat dan mendorong korban untuk mengunduh aplikasi yang sudah terinfeksi malware.

Reverse Social Engineering

Reverse social engineering attack adalah cara untuk mendapatkan hak akses ke suatu sistem dengan cara meyakinkan korban bahwa jika korban punya masalah tertentu sekarang atau dimasa depan penyerang/hacker punya solusi dan siap membantu menyelesaikan masalah.

Pada teknik ini hacker akan berusaha melakukan pengrusakan terhadap infrastruktur network yang ada sehingga kinerja sistem akan terganggu dan tidak berjalan sebagaimana mestinya, secara otomatis pemilik sistem akan berusaha mencari informasi untuk memperbaiki hal ini. Dan ini berbahaya !!!

Kemudian hacker akan menawarkan bantuan, seolah-olah berasal dari perusahaan security yang di percaya atau bisa dilakukan dengan memberikan kartu nama
sebelum serangan di mulai agar ketika hacker mengacaukan sistem si korban akan menghubungi si hacker yang sebelum nya memberikan kartu nama /iklan dalam
bentuk email.

Setelah korban melihat iklan dan mengontak teknisi untuk perbaikan sistem (yang sebenarnya adalah si hacker itu sendiri) alih-alih membantu malah si hacker sudah mendapat akses penuh ke sistem dan bisa melakukan hal yang berbahaya seperti menanam backdoor, trojan, atau spyware ke sistem, mengambil data rahasia dan
lain-lain.

Tailgating

Tailgating atau Piggiback attack adalah teknik social engineering dengan cara mendapatkan hak akses dengan menumpang dengan seseorang yang memiliki hak
akses atau otoritas agar mendapat hak akses yang sama dengan orang yang memiliki otoritas tersebut.

Contohnya adalah ketika ingin mendapatkan akses ke suatu gedung kita menguntit di belakagnya, atau meminta tolong di bukaan sistem dengan alasan lupa atau dengan cara
berbarengan masuk dengan seseorang yang sudah membuka sistem.

Techie Talk

Techie Talk disebut juga berbicara layaknya seorang ahli. Hacker sangat mahir dalam hal teknis tentang sistem yang digunakan, jadi ketika hacker melakukan aksi social engineering maka si hacker dapat berbicara lancar seperti ahli tentang komputer untuk mendapatkan kepercayaan dari target.

Hacker dapat berpura-pura menjadi bagian helpdesk atau IT Support dan memberitahukan kepada admin bahwa sistem telah diretas, oleh karena itu perlu mengubah password dan konfigurasi sistem, sang admin akan percaya karena bagian terebut memang job desknya seperti itu.

Quid Pro Quo

Secara harfiah, Quid Pro Quo berarti “sesuatu untuk sesuatu“. Konsep ini menjanjikan korban keuntungan yang sama yang akan mereka dapatkan dari informasi yang mereka berikan.

Taktik unik ini paling umum di lakukan oleh hacker yang berpura-pura menjadi orang layanan IT dan menelpon sebanyak mungkin orang dari perusahaan yang dapat mereka temukan.

Hacker ini akan menawarkan bantuan kepada korbannya dengan menjanjikan perbaikan sistem IT yang lebih cepat dengan catatan perusahaan harus menonaktifkan
program AV mereka untuk melakukan perbaikan tersebut.

Lebih parahnya, hacker dengan taktik ini bisa jadi memiliki kemampuan yang lebih baik dari pada orang layanan IT sungguhan.

Vishing Attack (Voice or VoIP Phishing Attack)

Phishing menjadi jenis serangan paling umum dalam social engineering. Hacker akan menggunakan email yang berisi pesan palsu dan link berbahaya untuk memancing korban agar memberikan informasi penting.

Agar korban percaya, hacker akan menulis pesan semirip mungkin dengan perusahaan resmi. Pesan juga akan ditulis dengan bahasa yang mampu menimbulkan rasa urgensi sehingga korban akan membuka link berbahaya dan memberikan data sensitif seperti user id, password, atau data penting lainnya.

Jika Anda menemukan email yang mencurigakan sebaiknya hindari untuk membuka attachment atau link di dalamnya karena hacker juga bisa mengirim malware melalui email tersebut.

Vishing attack adalah jenis social engineering juga menggunakan media telephone untuk mendapatkan informasi dari target. Hacker berpura-pura menjadi karyawan suatu bank kemudian memberitahu kepada nasabah bahwa kartu kreditnya ada masalah dan harus melakukan validasi data, dari proses ini hacker akan memperoleh data dari target.

Hacker bisa juga menggunakan cara seperti menang undian, diskon dan lain-lain. Target akan di beri instruksi ke ATM dan senagaja memilih bahasa inggris, tentu ini akan memudahkan pelaku dengan harapan target tidak bisa bahasa inggris.

Scamming juga bagian dari Phising Attack adalah sebuah teknik untuk mendapatkan informasi baik data diri, akun pribadi, maupun data lainnya menggunakan homepage, email palsu yang seolah-olah seperti dan dari website atau email resmi.

Contoh scamming seperti url email untuk mengganti password suatu akun website, url website yang sangat mirip dengan website aslinya.

Tailgating

Beberapa orang mengenal istilah Tailgating ini dengan Piggyback. Taktik ini di lakukan dengan cara menguntit seseorang yang memiliki otentikasi, seperti karyawan perusahaan untuk masuk ke area yang tidak bisa di akses orang asing.

Biasanya, pelaku tailgating, akan meniru kurir pengirim barang dan menunggu di luar gedung.

Ketika seorang karyawan yang memiliki akses untuk masuk ke dalam area tersebut membuka pintu masuk, pelaku akan mengikutinya dengan menahan pintu itu lalu masuk ke dalam gedung.

Pretexting

Dalam metode pretexting, hacker akan membuat skenario palsu untuk mencuri data pribadi korban. Serangan ini bisa di lakukan melalui telpon atau email.

Hacker akan berpura-pura menjadi petugas bank, petugas lembaga negara, rekan kerja, atau bahkan staff IT perusahaan yang sedang membutuhkan info dari korban untuk tugas
urgent.

Keberhasilan pretexting ini tergantung dari kemampuan hacker dalam membangun kepercayaan dengan korban.

Whalling attack

Whalling attack merupakan jenis serangan phishing yang mengincar korban dengan jabatan yang lebih tinggi atau memiliki peran penting di perusahaan.

Teknik ini mengadopsi teknik yang sama dengan email phishing, yang membedakan adalah target yang di serang. Email di buat menyerupai email bisnis penting yang di kirim oleh otoritas resmi.

Untuk melakukan metode ini, hacker membutuhkan lebih banyak penelitian dan perencanaan daripada metode phishing biasa.

Mereka harus mencari banyak informasi terkait profil perusahaan atau target, agar email lebih mudah di percaya oleh user yang akan di serang.

Social (Engineer) Networking

Teknik Social (Engineer) Networking memanfaatkan media sodial seperti facebook, twitter, instagram dan lain sebagainya untuk mengambil data pribadi dari target.

Melalui posting-posting yang di lakukan oleh target maka hacker bisa mengumpulan berbagai informasi yang sangat sensitif seperti tempat tanggal lahir, hobi, tempat tinggal, relasi ataupun kartu ID anda.

Selain itu dengan melakukan engagement pelaku juga bisa mendapat kepercayaan dengan melakukan komen dan like dari posting yang telah di lakukan oleh target.

Dengan ada kepercayaan maka pelaku bisa dengan mudah melancarkan aksi kejahatan. Jadi bagi pembaca Dyarinotes waspadalah.

Neuro Linguistic Programming (NLP)

Neuro Linguistik Programming (NLP) menggunakan program pikiran sehingga bisa dengan muda memanipulasi pikiran target. Social engineer akan berhati-hati dalam memilih nada suara (do, re, mi), memilih kata, mengatur intonasi helaan nafas, dan gestur tubuhnya sehingga akan di percaya oleh korban sampai ke bawah sadarnya.

Sex Sells

Sex Sells adalah suatu bentuk sosial engineering dengan memanfaatkan ketertarikan dengan lawan jenis atau sejenis. Peretas yang merasa di sukai akan dengan mudah mengambil akun dengan dalih meminjam akun atau perangkat elektronik yang mengakses akun.

Dengan demikian secara langsung atau tidak langsung pelaku akan mendapatkan akun tersebut. Aksi ini sering kita saksikan di film-film di mana suatu organisasi akan mengutus wanita cantik atau pria tampan untuk memikat target.

Sehingga setelah target menyukai dari wanita atau pria utusan tadi maka semua informasi akan mudah di dapat.

Cara Menghindari Social Engineering

Berikut beberapa teknik pencegahan di dapat dari rangkuman dyarinotes yang bisa kamu lakukan dan bagikan untuk menghindari kejahatan Social Engineering terutama di saat banyak sekali kejahatan yang tidak bisa di ungkap dan terungkap saat ini.

1. Memastikan URL yang di akses adalah URL resmi;
2. Lock laptop kapan pun meninggalkannya walaupun sebentar;
   Tidak mendownload cheat/ game;
3. Jangan membuka situs dewasa karena menyebabkan ketagihan dan melemahkan kewaspadaan;
4. Tidak membuka email berisi tautan dari sumber yang tidak terpercaya;
5. Mengerti kebijakan perusahaan mengenai siapa saja yang bisa keluar masuk ke dalam gedung perusahaan;
6. Jangan tidur saat kerja terutama bagi yang suka ngiler;
7. Menggunakan protokol waste management atau pembuangan sampah untuk menghandle sampah dan barang tidak terpakai dari organisasi;
8. Tidak mendownload aplikasi sembarangan;
9. Jangan menerima tawaran dari orang yang tidak kamu kenal, apapun keuntungan yang akan kamu terima;
10. Memberikan training keamanan digital kepada pegawai untuk meningkatkan kesadaran keamanan komputer;
11. Menggunakan software anti-virus yang ada anti trojan, anti rootkit, dan selalu di update;
12. Menggunakan kebijakan keamanan teknologi informasi untuk menentukan level keamanan data. Di mana dan bagaimana data di simpan, serta mengapa di simpan dan
    lain sebagainya harus diperhatikan.

Notes

Social engineering sejatinya adalah tindak kejahatan yang di lakukan dengan memanfaatkan ketidakwaspadaan pengguna. Jadi intinya adalah ketahui apa yang anda lakukan atau lakukan yang anda ketahui.

Salam DyariNotesCom