Social Engineering Adalah: Cara Kerja dan Cara Menghindarinya

definisi-pengertian-social-engineering

Social engineering merupakan salah satu teknik kejahatan siber yang menargetkan kelemahan seseorang untuk mendapatkan sesuatu yang penting dalam dirinya. Maksudnya bagaimana? Simak ulasan lengkap cara kerja dan cara mencegah serangan social engineering berikut ini.

Apa Itu Social Engineering

Social engineering adalah seni memanipulasi untuk meretas manusia secara langsung dengan memanfaatkan kelemahan (kelalaian / kecerobohan) yang ada pada dirinya sehingga ia secara tidak sadar memberikan informasi sensitif milik pribadi maupun perusahaan tempat ia bekerja kepada penyerang. Meretas yang dimaksud adalah seorang penyerang ingin mencuri data sensitif dari korban mulai dari akun sosial media, informasi detil bank, akses login administrator website, akses komputer dan selanjutnya akan dimanfaatkan untuk tindakan kejahatan dunia maya.

Meskipun ini taktik lama, teknik social engineering sampai saat ini masih banyak digunakan oleh kelompok peretas dengan alasan lebih mudah untuk menemukan cara kelemahan yang ada daripada meretas melalui situs web atau perangkat lunak yang dimiliki korban tersebut. Apalagi jika website yang diincar memiliki sistem keamanan yang tinggi dengan menggunakan Web Application Firewall (WAF), maka sangat sulit sekali menembusnya dan butuh waktu panjang untuk mengeksploitasinya.

Jika dijabarkan secara luas, serangan semacam ini mengincar apapun yang dinilai sebagai rahasia, baik itu dokumen penting perusahaan, data karyawan, dan informasi lain yang masih berkaitan dengan data sensitif.

Tujuan Serangan Social Engineering

Seperti pada halnya penipuan berbasis phising, serangan social engineering juga memiliki kesamaan dengannya namun perbedaan utamanya adalah jika phising mencuri informasi sensitif melalui website sedangkan social engineering lebih kepada merayu korban untuk masuk ke dalam jebakan peretas tersebut.

Skenario social engineering sebenarnya sederhana dan tujuan utamanya adalah mencuri informasi sensitif maupun dokumen rahasia. Lebih luasnya lagi, penggunaan teknik social engineering saat ini dipergunakan untuk meretas website dengan menargetkan kontak dukungan yang tersedia di halaman website tersebut.

Cara Kerja Social Engineering

Sebagian besar serangan social engineering mengandalkan komunikasi antara penyerang dan korban. Kamu tahu kan bagaimana cara kerja sales untuk meyakinkan pembeli membeli sebuah barang di toko tersebut? Begitulah ciri-ciri peretas yang meyakinkan korban untuk berbuat apa yang ia perintahkan. Pembukaan dialog juga menjadi nilai kunci bagi penyerang agar si korban tertarik untuk membaca, membalas dan mengikutinya hingga masuk ke dalam jebakan.

Meretas Website

Hal pertama yang dilakukan oleh peretas sebelum melakukan serangan social engineering adalah dengan cara mengumpulkan informasi sebanyak mungkin tentang profile korban atau perusahaan yang ia incar. Misalnya, jika si penyerang ingin melakukan aksi meretas website maka yang harus ia incar adalah bagian customer care. Trik utama dalam pembukaan dialog ialah ia berpura-pura menjadi pemilik website. Nah untuk mengetahui siapa dibalik pemilik website yang akan ia incar, maka penyerang melakukan pengumpulan data terkait website itu.

Pertama-tama penyerang akan melakukan pengumpulan informasi dari pemilik website melalui situs WHOIS. Hal yang menjadi fokus penyerang untuk meyakinkan karyawan customer care ialah detail informasi kontak, nama, alamat, nomor telepon, alamat email dan tanggal kadaluarsa domain dari website tersebut. Setelah itu, penyerang akan langsung membuka sesi dialog dengan pihak CS dengan alasan ingin mengganti nameserver dari website yang sudah ia incar. Jika si penyerang berhasil menaklukan CS, maka satu permintaan dari penyerang ialah mengganti nameserver dari website A ke website B, yang mana website B ini adalah milik dari si penyerang.

Infeksi Malware

Apakah sebelumnya kamu mengetahui bagaimana cara hacker menyebarkan malware berbahaya? Jika tidak, maka ini yang harus kamu ketahui.

Menurut informasi yang kami kumpulkan di internet, rata-rata orang yang terkena malware berasal dari lampiran email dengan isi pesan yang menarik perhatian. Misalnya, penyerang mengirimkan file dokumen yang dinamai sebagai "Transkrip_Nilai.doc" memang sepintas ini bukan file yang terlihat berbahaya akan tetapi isi daleman dari dokumen tersebut adalah malware berbahaya. Informasi mengenai malware berbasis dokumen word bisa kamu baca di artikel lain (Peneliti CheckPoint Temukan Malware Berbasis Dokumen Word).

Phising

Apakah serangan phising semakin ditinggalkan oleh penyerang? Tentu tidak, berbagai macam cara dilakukan untuk meyakinkan korban mengunjungi situs yang ia buat dan mencuri data-datanya. Biasanya phising juga digabungkan menggunakan teknik social engineering untuk mengelabui korban agar tidak merasa curiga. Misalnya, penyerang membuat situs phising bertemakan diamond gratis, maka ia merayu korban dengan iming-iming hanya masukkan akun game online lalu korban diyakinkan ia akan mendapatkan diamond gratis senilai ratusan ribu.

Cara Menghindari Social Engineering

Di masa pandemi seperti ini, banyak sekali kejadian aksi peretasan yang menargetkan individu maupun perusahaan besar dengan beragam teknik khususnya dengan social engineering. Sebelum penyerang melakukan aksi yang lebih berbahaya dan merugikan terhadap aset pribadi, berikut ini tips yang harus kamu lakukan untuk mencegah terjadinya serangan social engineering.

1. Jangan klik tautan tak dikenal di email

Tahapan pertama untuk melindungi diri dari peretas yang menggunakan teknik social engineering adalah jangan mencoba-coba mengklik tautan yang sebelumnya tidak pernah kamu kunjungi atau sama sekali tidak dikenal darimana pengirimnya. Pastikan pengirim email tersebut sudah terverifikasi kebenarannya.

2. Gunakan two-factor otentikasi

Pastikan akun sosial media yang kamu miliki sudah terverifikasi menggunakan two-factor authentication guna mencegah pembobolan akun. Jika kamu menerapkan hal ini, maka kemungkinan kecil sekali peretas dapat mengambil akun karena pada dasarnya fitur ini mencakup biometrik seperti pengenalan wajah, sidik jari, pesan SMS dan lain sebagainya.

3. Perkuat kata sandi

Jangan sesekali menggunakan password yang mudah ditebak apalagi menggunakan nama asli pada password karena ini mengundang peretas untuk mencoba melakukan aksi brute-force atau menebak password menggunakan jutaan wordlist dalam satu serangan. Buatlah serumit mungkin yang dikombinasikan dengan simbol, huruf besar, huruf kecil dan angka kemudian simpan di catatan ponsel agar tidak lupa.

4. Sembunyikan informasi pribadi

Yang ini sangatlah penting untuk dipahami bagi semua orang. Informasi pribadi wajib disembunyikan dari orang lain dan jangan sampai jatuh kepada orang lain apalagi ia bukan orang yang kita kenal karena bisa jadi data kita akan dimanfaatkan untuk hal-hal berbahaya. Informasi yang bisa kamu sembunyikan antara lain alamat email, nomor telepon, tanggal lahir, nama keluarga dan apapun yang berkaitan dengan kehidupan pribadi. Mengapa demikian? peretas juga bisa memanfaatkan informasi ini untuk melakukan serangan brute-force yang lebih mendalam dan mungkin saja keakuratannya bisa tercapai.

Akhir kata

Nah itulah informasi seputar social engineering yang harus kamu ketahui di zaman sekarang ini karena meskipun teknik ini sudah lama ditemukan nyatanya masih banyak yang masuk ke dalam jebakan penyerang. Pastikan semua komunikasi yang kamu bincangkan tidak ada seorang pun yang mencoba mengetahui informasi pribadi alangkah baiknya untuk berpikir jika ingin mengirimkan sesuatu yang dianggap penting bukan tanpa maksud ini hanya untuk melindung diri dari ancaman kejahatan.