Apa itu Rekayasa Sosial? | Serangan | Pencegahan


Dengan menghabiskan setengah dari hidup saya bekerja sebagai jurnalis keamanan cyber, rekayasa sosial telah menjadi inti dari pekerjaan saya. Sekarang saya mengerti! Anda semua pasti bertanya-tanya “rekayasa sosial dan keamanan cyber? Itu terdengar seperti hal pendukung pekerjaan sosial! Apa hubungannya dengan kejahatan cyber? ”

Ya, pernah ada serangan malware dengan mengklik pop-up licik saat berselancar online? Ya, itulah rekayasa sosial! Tidak banyak yang mendukung, ya?

Sebelum saya melanjutkan dengan apapun, izinkan saya menjelaskan tentang social engineering tersebut.

Apa itu Rekayasa Sosial?

Rekayasa sosial dikenal sebagai seni memanipulasi seseorang secara psikologis untuk memberikan informasi pribadi mereka. Seorang insinyur sosial bekerja untuk mengeksploitasi sifat dasar manusia dan memainkan insting korban.

Ini adalah metode peretasan yang paling populer di kalangan penjahat karena jauh lebih mudah untuk memanipulasi kelemahan seseorang daripada menyerang ke dalam sistem perangkat lunak.

Bagaimana mungkin Insinyur Sosial beroperasi pada Anda?

Dengan ini ditetapkan bahwa rekayasa sosial bekerja dengan bermain dengan naluri umum seseorang, makanan untuk dipikirkan di sini adalah bagaimana seorang insinyur sosial dapat mengatur serangan?

Ingat film terkenal “the sting”? The one on two con men (pria percaya diri) sedang mencari cara untuk menipu mafia multi-jutawan (Mark)?

Keduanya menyusun skema yang rumit di mana mereka menggunakan informasi umum yang mereka ketahui tentang mafia. Mereka selanjutnya menggunakan informasi ini untuk mendapatkan kepercayaannya melalui berbagai kejenakaan.

Film diputar untuk Mark mempercayai dua penipu, dan dua penipu akhirnya berakhir menipu dia.

Demikian pula, seperti yang digambarkan dalam film, ini persis bagaimana insinyur sosial bekerja melalui beberapa taktik untuk mengatur serangan. Pekerjaan pertama dan terpenting yang diperlukan adalah untuk meneliti dan mengumpulkan informasi tentang target.

Karena serangan ini biasanya ditargetkan pada perusahaan berskala besar, maka perencanaan dimulai dengan penelitian tentang struktur karyawan perusahaan, urusan internal, kerja perusahaan, mitra bisnis, pemegang saham, serta beberapa informasi lainnya..

Cara lain seorang insinyur sosial dapat menyusup ke sebuah perusahaan adalah dengan mempelajari dan mengamati karyawan-karyawan di tingkat dasar seperti penjaga keamanan atau resepsionis..

Peretas juga dapat mencarinya di media sosial dan mendapatkan semua informasi pribadi mereka serta mempelajari perilaku mereka secara online dan secara langsung.

Informasi ini kemudian digunakan untuk mencari tahu kekurangan dan kerentanan yang dapat digunakan untuk melakukan serangan.

Serangan-serangan ini dapat digunakan untuk mengetahui informasi kartu debit, detail rekening bank, dan informasi sensitif lainnya atau dapat digunakan untuk mendapatkan akses ke sistem dan jaringan yang aman.

6 Wajah dari Serangan Rekayasa Sosial

Serangan rekayasa sosial terjadi dalam berbagai cara dan dapat terjadi di mana pun ada interaksi manusia. Di sini saya telah menyebutkan enam jenis serangan rekayasa sosial untuk memudahkan Anda mengidentifikasi kemungkinan serangan:

1. Phishing

Phishing adalah metode yang paling umum digunakan dan untuk audiens target yang besar. Ini melibatkan pengiriman email dengan alamat email palsu atau yang cukup sah. Mungkin juga berisi apa yang tampak seperti sepotong informasi perusahaan yang otentik.

Email tersebut mungkin berisi tautan, dokumen, atau file yang mengandung malware yang menginfeksi perangkat segera setelah pengguna mengkliknya. Serangan phishing digunakan untuk mendapatkan informasi pengguna yang sensitif seperti informasi kartu kredit, nama pengguna, kata sandi, detail rekening bank, dll..

2. Tombak Phishing

Teknik ini melibatkan penargetan orang tertentu, atau perusahaan. Peretas kemudian membuat konsep email sesuai dengan karakteristik, deskripsi pekerjaan dan kontak korban sehingga serangan itu tampak megah..

Tombak phishing relatif teknis dan membutuhkan banyak pekerjaan dari orang yang perlu melakukan serangan ini. Terkadang mungkin perlu berminggu-minggu atau berbulan-bulan untuk menyelesaikannya dengan seksama. Serangan-serangan ini, jika dilakukan dengan terampil, sulit dideteksi dan seringkali berhasil.

Salah satu contoh phishing tombak adalah seorang hacker yang menyamar sebagai CEO suatu perusahaan. Dia bisa membuat surel agar tampak seperti surel dari CEO dan mengirimkannya ke kepala departemen keuangan menuntut transfer sejumlah uang ke rekening palsu.

Email dibuat dengan hati-hati untuk membuatnya tampak asli yang membutuhkan banyak waktu dan kerja keras.

3. Mengosongkan

Ini adalah versi vokal phishing. Pekerjaan di sini belum tentu online dan terjadi melalui email suara, VoIP (Voice over IP) atau telepon rumah atau ponsel.

Tujuannya di sini adalah sama sementara ada perbedaan dalam metode. Sama seperti phishing, ini digunakan untuk mengekstraksi informasi sensitif korban.

Skenario vishing dapat berlanjut dengan korban menerima pesan suara, menetapkan bahwa aktivitas mencurigakan telah terjadi di rekening kartu kredit, rekening bank, dll..

Korban disuruh memanggil nomor tertentu di mana ia diminta untuk memberikan lebih banyak informasi atas nama “verifikasi identitas” atau “memastikan penipuan itu tidak terjadi.”

Vishing sangat tidak bisa dilacak dan sering dilakukan pada nomor asing membuat penegakan hukum tidak berdaya.

4. Dalih

Serangkaian kebohongan yang dibuat dengan cermat digunakan untuk melakukan metode ini. Korban dibohongi dari penyerang untuk mendapatkan informasi pribadi.

Pretexter dimulai dengan mendapatkan kepercayaan dari korban dengan bertindak sebagai rekan kerja, pejabat bank, petugas polisi atau siapa pun yang berwenang yang seseorang dapat andalkan.

Pertanyaan-pertanyaan penting yang diperlukan untuk mengkonfirmasi identitas seseorang diajukan, yang mengarah pada korban yang memberikan sebagian besar data penting.

Melalui penipuan ini, penyerang berhasil memperoleh semua jenis informasi yang relevan seperti nomor jaminan sosial, detail rekening bank, alamat pribadi, detail keamanan, dll..

5. Umpan

Pernah pergi memancing? Ya sambil menangkap ikan, Anda melempar tali dengan cacing dan kemudian menunggu ikan datang. Itulah yang dimaksud dengan umpan.

Demikian pula di dunia maya yang memberi umpan seperti namanya menggunakan janji palsu untuk menarik minat seseorang. Setelah penjahat berhasil mengambil minat mereka, ia melanjutkan untuk memikat mereka dan menangkap mereka di web yang mencuri informasi pribadi mereka atau menginfeksi mereka dengan malware.

Biasanya penjahat menggunakan media fisik untuk menaburkan malware. Ini adalah bentuk umpan yang paling kasar. USB atau flash drive yang terinfeksi malware ditinggalkan, di tempat yang mencolok di mana korban terikat untuk menemukannya.

Mungkin di kamar mandi, lift, tempat parkir perusahaan korban, dll. Insinyur kerajinan umpan agar terlihat menarik dan otentik karena fungsi utamanya adalah untuk menarik korban.

Itu bisa memiliki label yang menyajikan daftar karyawan yang akan mendapatkan promosi atau daftar gaji perusahaan, dll. Korban karena penasaran mengambil umpan dan memasukkannya ke komputer. Begitu korban memasuki flash drive atau USB, itu mulai mengunduh dan menginstal malware dan dengan cara ini serangan umpan berhasil.

Cara lain memancing terjadi adalah metode online. Ini melibatkan korban mengklik iklan yang mudah diingat atau tautan sembulan yang mengarah ke infeksi malware atau pencurian informasi.

6. Scareware

Metode Scareware lagi melibatkan kebohongan. Korban terus menerus mendapatkan peringatan dari alarm palsu dan ancaman palsu. Ini menipu dia untuk berpikir bahwa komputer memiliki malware atau mengunduh konten ilegal.

Peretas kemudian memberi korban solusi yang secara tidak sengaja akan memperbaiki masalah yang salah. Namun, “solusi” yang ditawarkan kepada korban ini, pada kenyataannya, adalah malware yang dipasang oleh pengguna.

Serangan Scareware biasanya dalam bentuk pop-up yang sering Anda temukan online dengan teks-teks menakutkan seperti “perangkat Anda mungkin terinfeksi.” Munculan ini terus menawarkan untuk mengunduh alat yang, pada kenyataannya, sebuah malware dirilis untuk menginfeksi perangkat Anda.

Alat ini mungkin juga merupakan aplikasi yang tidak berguna, dan pengguna hanya mendapatkan promptnya sehingga ia mengunduh dan mendapat kesempatan untuk mencuri datanya..

Selain tautan pop-up, scareware juga menyebar tentang penggunaan email spam yang datang dengan peringatan palsu atau meminta pengguna untuk membeli layanan yang tidak berguna atau berbahaya.

5 Cara Mencegah Rekayasa Sosial

Serangan rekayasa sosial tersebar luas saat ini yang mengapa sangat penting untuk mencoba dan tetap aman dari mereka. Saya telah mengambil kebebasan untuk menyusun daftar cara yang dapat membantu Anda tetap aman dari serangan rekayasa sosial:

Gunakan antivirus / anti-malware yang diperbarui

Perangkat lunak antivirus dan anti-malware membantu melindungi perangkat Anda. Namun, sangat penting untuk selalu memperbarui perangkat lunak antivirus dan anti-malware Anda dengan pembaruan rutin.

Jika pengguna mengatur pembaruan perangkat lunak, itu memberikan perlindungan yang lebih baik. Anda juga harus memindai perangkat Anda secara berkala agar lebih terlindungi.

Jangan buka email dari sumber yang tidak dikenal

Gerbang paling sering ke serangan rekayasa sosial adalah email. Lebih baik tetap waspada dan menghindari email atau lampiran dari sumber yang belum ditemukan.

Spoofing email sangat umum. Inilah sebabnya mengapa lebih baik tidak menanggapi email yang tidak dikenal atau membuka lampiran yang dikirim darinya. Lebih baik untuk memeriksa silang pesan yang diterima dari sumber daya tersembunyi.

Selain itu, lebih baik untuk tetap waspada dan tidak membuka lampiran apa pun yang terlihat mencurigakan bagi Anda karena mengandung malware atau virus.

Tetap berpendidikan dan mendidik

Kita hidup di dunia yang serba cepat yang terus bergerak maju. Dengan kemajuan di setiap bidang, metode peretasan juga semakin sering diperbarui. Dengan pemikiran ini, lebih baik untuk tetap diperbarui dengan promosi.

Selain itu, karena serangan rekayasa sosial juga dapat menargetkan perusahaan, lebih baik untuk mendidik staf Anda. Ini dapat memungkinkan staf untuk tetap waspada dan perusahaan Anda tetap terlindungi.

Jaga privasi Anda

Hati-hati sebelum menanggapi permintaan kata sandi atau informasi pribadi lainnya. Lebih baik mencari kembali sumbernya sebelum membalas.

Sumber yang meminta kata sandi atau informasi pribadi lainnya seringkali merupakan penipuan. Oleh karena itu, lebih baik untuk menghindari dari mereka atau memeriksa sumber daya sebelum merespons.

Tetap waspada terhadap tawaran bantuan

Insinyur sosial mungkin sering berpose sebagai personel pendukung teknis untuk menginvasi perangkat Anda dengan malware atau mencuri informasi pribadi Anda. Kadang-kadang mereka dapat meminta bantuan Anda untuk informasi atau menawarkan bantuan.

Jika Anda tidak meminta bantuan, lebih baik tidak menanggapi permintaan tersebut. Aman juga untuk memeriksa ulang dari sumber tepercaya. Lakukan riset Anda sebelum mengirimkan informasi pribadi apa pun.

Sadar sekarang?

Sekarang Anda telah menerima informasi yang mencerahkan dari tips pencegahan, lebih baik untuk menghindari serangan ini. Anda sekarang bisa mulai dengan mengerjakan tip pencegahan agar tetap seaman mungkin! Privasi sangat penting dalam pekerjaan ini, dan Anda harus bekerja tentang cara melindunginya.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me