Ada yang permah dengar istilah social engineering?
Atau mungkin sudah pernah dengar tapi nggak ngeh? Kalo aku sih yang
kedua. Ku kira istilah ini merujuk pada pengembangan masyarakat sosial. Hanya
karena ada kata “social” nya, haha. Ternyata bukan!
Arti yang ku kira selama ini dan arti yang sebenarnya
berbeda sangat jauh. Nah, apa sih sebenarnya maksud dari social engineering
itu? Dan kenapa bisa menguras rekening seperti yang tertulis pada judul?
Apa Sih Social Engineering Itu?
Social engineering
atau yang dalam bahasa Indonesia berarti rekayasa sosial adalah teknik
manipulasi oleh penyerang melalui dunia maya dengan bermodalkan permainan
psikologis untuk mendapatkan informasi pribadi atau hal-hal lain yang
menguntungkan si penyerang.
Penyerang tersebut biasanya mengelabui dan mempermainkan
target dengan kata-kata yang menyudutkan juga mendesak sehingga menimbulkan
rasa panik dan akhirnya target pun melakukan apapun yang dikatakan oleh penyerang.
Dengan manipulasi tersebut, penyerang berusaha
mendapatkan informasi pribadi seperti password, akses rekening atau
kartu kredit, bisa juga akses ke perusahaan.
Umumnya, tujuan utama dari penyerangan ini adalah uang.
Yang bilang uang bukan segalanya sini maju! Buktinya orang bisa melakukan
apapun untuk mendapatkan uang. Salah satunya dengan melakukan social
engineering ini.
Selain uang, motif lain dari tindakan ini adalah untuk memasang malware di jaringan perusahaan. Sehingga, penyerang bisa mengakses jaringan komputer perusahaan target. Kalo di drama-drama, biasanya yang kayak gini tuh punya dendam pribadi.
Jenis-jenis Social Engineering
Jika selama ini yang kita tau tindakan ini dilakukan via
telepon atau SMS saja, ternyata tidak. Via email pun ada. Aku pernah
mendapatkannya via email, aplikasi chatting, DM Instagram dan telepon.
Sampai-sampai punya trauma dengan telepon dari nomor tidak dikenal. Hadeeh.
Nah, yang via email ini kebetulan baru bebebrapa bulan
yang lalu. Emailnya terkait perpanjangan domain blog. Padahal baru beberapa
bulan perpanjangan. Alhamdulillah enggak kena. Hati-hati ya teman-teman,
khususnya para blogger yang tiap hari mainannya dengan domain.
Dari situ, kita bisa menyimpulkan bahwa tindakan
kejahatan cyber ini memiliki banyak jenis. Apa saja sihjenis-jenisnya? Cekidot!
1. Phishing
Phishing adalah jenis rekayasa
yang paling berbahaya. Serangan ini dilakukan via email, pesan atau situs web
dengan menciptakan urgensi. Melalui platform tersebut, penyerang akan mendorong
target untuk memberikan informasi pribadi ataupun mengakses malware.
2. Spear Phishing
Spear phishing
adalah versi ter-update dari teknik phishing. Jika target dari phishing
dipilih secara acak/random, maka target dari spear phishing ini
sudah dibidik. Misalnya si A atau perusahaan A. Tentunya, rencananya lebih
terstruktur.
3. Whaling
Teknik whaling kurang lebih sama dengan spear
phishing. Namun, dalam teknik whaling yang ditargetkan adalah orang-orang
eksekutif tingkat tinggi atau orang-orang yang memiliki akses informasi
sensitif. Tindakan ini dapat membahayakan keseimbangan suatu organisasi atau bisnis.
4. Tailgating
Tailgating adalah teknik social
engineering melalui kontak fisik alias tidak memanfaatkan perangkat
digital. Tujuannya biasanya untuk mendapat akses sebuah gedung atau ruangan.
5. Baiting
Baiting adalah teknik yang
memanfaatkan rasa keingintahuan dari target, yang nantinya akan diberi imbalan
setelah melakukan sesuatu yang diperintahkan oleh penyerang. Seperti mengunduh
lampiran dan diberi janji imbalan film gratis, padahal perangkat target
disisipi malware dari lampiran tersebut.
6. Pretexting
Selanjutnya adalah pretexting, yang mana
penyerang biasanya berpura-pura membutuhkan informasi dari target untuk sebuah
tugas penting. Untuk melancarkan aksinya, penyerang biasanya memakai identitas
palsu, misal memakai identitas perusahaan A.
Bagaimana Cara Kerja dari Social Engineering?
Umumnya, cara kerja dari penyerang sangat terstruktur
dan tentunya sudah direncanakan dengan matang. Urutan cara kerjanya adalah
sebagai berikut.
1. Perencanaan Strategi
Yang namanya tindakan menyerang pasti akan ada strategi
atau rencana yang disusun matang-matang terlebih dahulu. Biasanya, penyerang
akan mulai mengumpulkan informasi terkait target, seperti nama dan tempat
kerja.
2. Pendekatan dengan Target
Setelah informasi dikantongi, penyerang akan mulai
melakukan pendekatan dengan target. Bukan PDKT loh, ya. Penyerang akan mulai
membangun komunikasi dan mencoba membangun kepercayaan target.
3. Eksploitasi Korban
Setelah kepercayaan target terbentuk, penyerang akan
mulai menyerang titik lemah dengan cara mendesak target hingga panik. Disinilah
permainan psikologis dimulai.
4. Target Memangsa Umpan
Target sudah ‘kena mental’, saatnya penyerang
melancarkan aksinya dengan mengorek informasi yang diinginkan. Entah itu
memberi perintah untuk meng-klik link, memberikan kata sandi atau mengorek
informasi pribadi lainnya.
Dampak dari Social Engineering
Setiap tindak kejahatan pasti ada dampak negatif yang
akan ditimbulkan, termasuk social engineering ini. apa saja dampak
tersebut?
1. Kehilangan Data-data Pribadi
Target atau korban dari kejahatan ini bisa saja
kehilangan data pribadi dikarenakan penyerang mencuri data-data tersebut. Oleh
karena itu, ada beberapa data yang tidak boleh diungkapkan di publik ataupun
sosial media. Hayo, cek lagi sosmednya ada nggak data-data yang cukup pribadi.
Dilansir dari narasi.tv, data-data yang tidak boleh
diungkapkan di publik adalah.
- Panggilan masa kecil
- Nama ibu kandung
- Nomor telepon
- Alamat dan foto rumah
- Foto KTP/paspor/SIM
- Tiket pesawat/bus/kereta api
- Tanda tangan
- PIN/password
- Nomor kartu kredit
- Kode CVV atau 3 angka terakhir kartu debit
2. Jebolnya Sistem Keamanan
Dampak selanjutnya adalah jebolnya sistem keamanan. Jika
penyerang bisa berhasil mendapatkan akses, data pribadi atau informasi akan
dirusak atau diacak-acak yang nantinya dapat mengakibatkan kerugian, baik
secara finansial maupun reputasi.
3. Kerugian Finansial
Nah, dampak terakhir ini yang paling umum terjadi di
masyarakat, yaitu kerugian finansial. Jika penyerang berhasil mendapatkan informasi
finansial target, mereka akan menggunakannya untuk transaksi keuangan yang
tidak sah. Seperti mengakses rekening bank, atau menghabiskan limit kredit
target.
Cara Membentengi Diri dari Social Engineering
Ada beberapa hal yang bisa dilakukan untuk melindungi
diri dari tindak kejahatan ini, apa saja?
1. Edukasi
Pencegahan social engineering ini bisa dilakukan
dengan menambah pengetahuan tentang hal ini. Cara paling sederhana dan praktis
adalah mempelajarinya dari internet. Sudah ada banyak tulisan yang membahas
tentang hal ini.
2. Perkuat Password
Langkah kedua adalah dengan memperkuat password,
dengan cara membuatnya rumit. Bisa menambahkan hal-hal favorit atau yang tidak disukai.
Gunakan kata sandi yang berbeda di setiap akun yang dimiliki. Kalau bisa,
jangan catat password di hp atau komputer, tulis pada buku untuk
jaga-jaga jika suatu saat terjadi hal-hal yang tidak diinginkan. Nggak mungkin ‘kan
buku dibobol? Hehe.
3. Verifikasi Identitas
Ketiga adalah dengan memverifikasi identitas jika ada
orang yang meminta akses atau informasi pribadi. Check and recheck dulu
sebelum memberikannya.
4. Berhati-hati Terhadap Permintaan Akses/Informasi Pribadi
Jika ada permintaan verifikasi yang mencurigakan atau
tidak biasa, berhati-hatilah. Biasanya para penyerang memanfaatkan email dan
telepon dengan cara mendesak target.
5. Perketat Keamanan
Amankan komputer yang berisi informasi pribadi atau informasi
yang bersifat sensitif/rahasia. Pastikan juga dokumen/file tersebut berada di
tempat yang jauh dari jangkauan penyerang.
Penting Nggak Sih Pengetahuan Tentang Social Engineering Itu?
Setelah membaca penjelasan diatas, apa yang kalian
pikirkan tentang social engineering ini? Sebagai orang yang pernah hampir
terjebak beberapa kali, menurutku pengetahuan akan rekayasa sosial ini
sangatlah penting.
Sederhananya gini, kita udah cape-cape kerja dan nabung
sejumlah uang di rekening, tapi tiba-tiba habis hanya karena memberikan password
atau identitas pada penipu. Apa yang dirasakan? Kesel, marah atau pasrah?
Pasti nggak mau ‘kan hal-hal semacam itu terjadi? Untuk itu
pengetahuan tentang rekayasa sosial atau social engineering ini penting
sekali. Terutama untuk orang tua yang bisa dibilang belum terlalu ‘akrab’
dengan teknologi.
Seperti salah seorang guru sekolah ku. Pada suatu malam
saat aku begadang, ada chat grup masuk. Kebetulan aku masih satu grup WA dengan
beliau. Kok beliau mengirim file APK dengan file name “Undangan Pernikahan”. Panik
dong aku karena sudah tau file tersebut adalah file penipuan.
Sebisa mungkin aku menghubungi orang terdekat beliau untuk
memastikan hal tersebut. Ternyata sebelumnya beliau menerima chat serupa
dari orang lain, dan di install.
Dan seperti yang sudah bisa ditebak, hp nya kebobolan, guys.
Akun WhatsApp tersebut bukan lagi dibawah kendali guru ku. Tapi sudah diambil
alih oleh penyerang. Hal seperti ini terjadi dua kali pula! Penting banget ‘kan
pengetahuan mengenai social engineering ini?
Berbagai institusi/organisasi telah berusaha untuk
memberikan edukasi bahaya rekayasa siosial ini kepada masyarakat. Salah satunya
adalah Bank BRI yang merupakan salah satu bank BUMN Indonesia. Salah satu
contohnya bisa dilihat pada gambar dibawah ini.
 |
| Sumber: Instagram @bankbri_id |
Dulu, beberapa hari setelah membuka rekening BRI. Aku mendapatkan
pengalaman serupa. Persis seperti yang ada pada gambar diatas. Aku langsung menghubungi
teman ku yang juga punya rekening BRI, katanya itu penipuan. Untungnya temanku
dengan lantang gini “#BilangAjaGak pada penipu itu!”. Terimakasih banyak,
kawan!
Yuk, kita ikuti perjuangan Bank BRI menyebarkan
pengetahuan tentang social engineering ini. mulai dari orang-orang
terdekat dulu. Mari kita #MemberiMaknaIndonesia dengan mengedukasi dan memberantas
penjahat-penjahat ini.
Sumber: elitery.com, glints.com, terranovasecurity.com
Posting Komentar