ERA.id - Di masa serba digital ini social engineering menjadi hal yang patut diwaspadai berbagai pihak. Lantas apa itu social engineering? Mari simak pengertiannya sebagai berikut.
European Union Agency for Cybersecurity, menjelaskan social engineering mengacu pada semua teknik yang ditujukan untuk berhubungan dengan target operasi. Tujuan mereka adalah mengungkapkan informasi spesifik atau melakukan tindakan tertentu untuk aktivitas ilegal.
Apa Itu Social Engineering?
Meskipun modus penipuan banyak macamnya namun kini telah berkembang secara signifikan dengan teknologi informasi (TI). Dalam konteks baru ini, teknik rekayasa sosial di bidang TI dapat dilihat dari dua sudut pandang yang berbeda.
Rekayasa baik dengan menggunakan manipulasi psikologis bertujuan untuk mendapatkan akses lebih lanjut ke sistem IT, dan tujuan sebenarnya adalah scammer dengan menyamar sebagai klien penting melalui panggilan telepon.
Penipu juga dapat menggunakan teknologi TI sebagai pendukung teknik manipulasi psikologis untuk mencapai tujuan di luar bidang TI, misalnya mendapatkan kredensial perbankan melalui serangan phishing untuk kemudian mencuri uang target.
Meningkatnya penggunaan TI secara alami telah menyebabkan peningkatan penggunaan teknik-teknik tersebut. Dengan demikian, sebagian besar serangan dunia maya saat ini mencakup beberapa bentuk rekayasa sosial.
Teknik rekayasa sosial
Artikel ini akan membahas beberapa teknik yang paling umum yaitu pretexting, baiting, quid pro quo dan tailgating. Serangan phishing juga mengandalkan rekayasa sosial yang telah dibahas dalam entri sebelumnya yaitu Phishing/Spear phishing.
-
Berpura-pura
Teknik ini menggunakan dalih - pembenaran palsu untuk tindakan tertentu - tujuannya untuk mendapatkan kepercayaan dan mengelabui korban.
Contoh: penyerang mengaku bekerja untuk dukungan TI dan meminta kata sandi target untuk tujuan pemeliharaan.
Solusi: Identifikasi yang tepat dan proses otentikasi, kebijakan dan pelatihan harus dilakukan untuk menghindari serangan tersebut.
-
Umpan
Umpan melibatkan peran untuk memikat korban agar melakukan tugas tertentu dengan memberikan akses mudah ke sesuatu yang diinginkan korban.
Contoh: USB flash drive yang terinfeksi keylogger dan berlabel "My private pics" tertinggal di depan pintu korban.
Solusi: Kebijakan keamanan seperti celah udara dan pemblokiran perangkat lunak dan perangkat keras yang tidak sah akan menggagalkan sebagian besar upaya, meskipun staf juga harus diingatkan untuk tidak mempercayai sumber yang tidak dikenal.
-
Kompensasi
Quid Pro Quo, "sesuatu untuk sesuatu" dalam bahasa Latin, melibatkan permintaan informasi dengan imbalan kompensasi.
Contoh: penyerang menanyakan kata sandi korban yang mengaku sebagai peneliti yang sedang melakukan percobaan, dengan imbalan uang.
Solusi: Serangan quid pro quo relatif mudah dideteksi mengingat nilai informasi yang asimetris dibandingkan dengan kompensasi, yang berlawanan antara penyerang dan korban. Dalam kasus-kasus ini, penanggulangan terbaik tetaplah integritas dan kemampuan korban untuk mengidentifikasi, mengabaikan, dan melaporkan.
-
Tailgating
Tailgating adalah tindakan mengikuti orang yang berwenang ke area atau sistem terlarang.
Contoh: penyerang, berpakaian seperti karyawan, membawa sebuah kotak besar dan meyakinkan korban, yang merupakan karyawan resmi agar masuk pada saat yang sama. Tujuannya adalah untuk membuka pintu pusat data menggunakan kartu RFID milik korban.
Solusi: Akses ke area non publik harus dikontrol dengan kebijakan akses dan/atau penggunaan teknologi kontrol akses, semakin sensitif area semakin ketat kombinasinya. Kewajiban untuk memakai lencana, kehadiran penjaga dan pintu anti-tailgating yang sebenarnya seperti mantrap dengan kontrol akses RFID harus cukup untuk mencegah sebagian besar penyerang.
Tips Antisipasi Serangan Social Engineering
Setiap organisasi harus mengidentifikasi aset kritisnya dan menerapkan kebijakan dan protokol keamanan yang sesuai. Bila perlu, ini harus diperkuat melalui penggunaan teknologi.
Namun demikian, penanggulangan tunggal yang paling efisien untuk serangan rekayasa sosial tetap masuk akal. Dalam hal ini, ERA merekomendasikan hal-hal berikut:
● kampanye kesadaran yang sering melalui poster, presentasi, email, catatan informasi
● pelatihan staf
● tes penetrasi untuk menentukan kerentanan organisasi terhadap serangan rekayasa sosial dan melaporkan dan menindaklanjuti hasilnya.
Selain apa itu social engineering, ikuti artikel-artikel menarik lainnya juga ya. Kalo kamu ingin tahu informasi menarik lainnya, jangan ketinggalan pantau terus kabar terupdate dari ERA dan follow semua akun sosial medianya! Bikin Paham, Bikin Nyaman…