Definisi Social Engineering (Rekayasa Sosial)

Social Engineering (Rekayasa Sosial) adalah teknik manipulasi yang mengeksploitasi kesalahan manusia untuk mendapatkan informasi pribadi, akses, atau barang berharga. Dalam kejahatan dunia maya, penipuan "peretasan manusia" ini cenderung memikat pengguna yang tidak menaruh curiga untuk mengungkap data, menyebarkan infeksi malware, atau memberikan akses ke sistem yang dibatasi. Serangan dapat terjadi secara online, secara langsung, dan melalui interaksi lainnya.



Penipuan yang didasarkan pada manipulasi psikologis dibangun berdasarkan cara orang berpikir dan bertindak. Dengan demikian, serangan manipulasi psikologis sangat berguna untuk memanipulasi perilaku pengguna. Setelah penyerang memahami apa yang memotivasi tindakan pengguna, mereka dapat menipu dan memanipulasi pengguna secara efektif.

Selain itu, peretas mencoba mengeksploitasi (memanfaatkan) kurangnya pengetahuan pengguna. Berkat kecepatan teknologi, banyak konsumen dan karyawan yang tidak menyadari ancaman tertentu seperti unduhan. Pengguna juga mungkin tidak menyadari nilai penuh dari data pribadi, seperti nomor telepon mereka. Akibatnya, banyak pengguna (Netizen) tidak yakin bagaimana cara terbaik untuk melindungi diri mereka sendiri dan informasi mereka.

Secara umum, penyerang manipulasi psikologis memiliki satu dari dua tujuan:

1. Sabotase: 

Mengganggu atau merusak data yang menyebabkan bahaya atau ketidaknyamanan.

2. Pencurian: Mendapatkan barang berharga seperti informasi, akses, atau uang.

Definisi manipulasi psikologis ini dapat dikembangkan lebih jauh dengan mengetahui secara tepat cara kerjanya.

Bagaimana Cara Kerja  Social Engineering (Rekayasa Sosial)?

Sebagian besar serangan manipulasi psikologis mengandalkan komunikasi aktual antara penyerang dan korban. Penyerang cenderung memotivasi pengguna untuk berkompromi, daripada menggunakan metode kekerasan untuk membobol data Anda.

Siklus serangan memberi para penjahat ini proses yang andal untuk menipu Anda. Langkah-langkah untuk siklus serangan manipulasi psikologis biasanya sebagai berikut:

1. Mereka sudah mempersiapkan untuk mengumpulkan informasi latar belakang tentang Anda atau informasi yang lebih besar tempat Anda bekerja.

2. Menyusup dengan menjalin hubungan atau memulai interaksi, dimulai dengan membangun kepercayaan.

3. Eksploitasi korban setelah kepercayaan dan kelemahan terbentuk untuk memajukan serangan.

4. Memutuskan hubungan setelah pengguna melakukan tindakan yang diinginkan.

Proses ini dapat berlangsung dalam satu email atau selama berbulan-bulan dalam serangkaian obrolan media sosial. Bahkan bisa berupa interaksi tatap muka. Namun pada akhirnya akan diakhiri dengan tindakan yang Anda lakukan, seperti membagikan informasi Anda atau mengekspos diri Anda ke perangkat lunak jahat.

Penting untuk berhati-hati terhadap manipulasi psikologis sebagai cara untuk membingungkan. Banyak karyawan dan konsumen tidak menyadari bahwa hanya beberapa informasi saja yang dapat memberikan peretas akses ke banyak jaringan dan akun.

Dengan menyamar sebagai pengguna sah menjadi personel dukungan TI, mereka mengambil detail pribadi Anda - seperti nama, tanggal lahir, atau alamat. Dari sana, mudah untuk mengatur ulang kata sandi dan mendapatkan akses yang hampir tidak terbatas. Mereka dapat mencuri uang, menyebarkan malware rekayasa sosial, dan banyak lagi.

Sifat Serangan Rekayasa Sosial

Serangan manipulasi psikologis berpusat pada penggunaan persuasi (membujuk supaya melakukan apa yang dikehendakinya). Saat dihadapkan pada taktik ini, Anda lebih cenderung mengambil tindakan yang sebaliknya jangan anda lakukan, artinya menuruti kehendak penjahat yang seharusnya anda tidak turuti.

Di antara kebanyakan serangan, Anda akan disesatkan ke dalam perilaku berikut:

Emosi yang meningkat: Artinya, pelaku kejahatan ini membuat emosi anda tegang. Saat emosi tegang anda mungkin mengambil tindakan irasional atau berisiko. (ini masuk akal jika saat seseorang berada dalam keadaan emosional atau dalam tegangan tinggi). Semua emosi berikut digunakan dalam ukuran yang sama untuk meyakinkan Anda. Mereka membangun rasa, Takut, Kegembiraan, Keingintahuan, Marah, Kesalahan, Kesedihan kepada anda.

Urgensi: Kondisi deadline adalah salah satu andalannya. Anda mungkin termotivasi untuk berkompromi dengan kedok masalah serius yang membutuhkan perhatian segera. Alternatifnya, Anda mungkin dihadapkan pada hadiah atau hadiah yang mungkin hilang jika Anda tidak bertindak cepat. Salah satu pendekatan mengesampingkan kemampuan berpikir kritis Anda.

Kepercayaan: Kepercayaan sangat berharga dan penting untuk serangan manipulasi psikologis. Karena penyerang pada akhirnya berbohong kepada Anda, kepercayaan diri memainkan peran penting di sini. Mereka telah melakukan cukup banyak penelitian tentang anda untuk menyusun narasi yang mudah dipercaya dan tidak menimbulkan kecurigaan.

Ada beberapa pengecualian untuk ciri-ciri ini. Dalam beberapa kasus, penyerang menggunakan metode manipulasi psikologis yang lebih sederhana untuk mendapatkan akses jaringan atau komputer. Misalnya, seorang peretas mungkin sering mengunjungi food court umum sebuah gedung perkantoran besar dan pengguna "Shoulder Surfing" arti nya begini "Shoulder Surfing = adalah jenis teknik rekayasa sosial yang digunakan untuk mendapatkan informasi seperti nomor identifikasi pribadi (PIN), kata sandi dan data rahasia lainnya dengan melihat dari balik bahu korban, baik dari penekanan tombol pada perangkat atau informasi sensitif yang diucapkan dan didengar, di Indonesia dikenal istilah sebagai menguping" ini sangat rentan bagi mereka yang bekerja menggunakan tablet atau laptop. Jika ini terjadi ada yang mengintip anda memasukkan kode kemungkinan besar akun anda diretas tanpa susah payah pelaku mengakses nomor hp atau email anda. 

Sekarang setelah Anda memahami konsep yang mendasarinya, Anda mungkin bertanya-tanya "apa itu serangan manipulasi psikologis dan bagaimana saya bisa menemukannya?"

Jenis Serangan Rekayasa Sosial

Hampir setiap jenis serangan keamanan siber mengandung beberapa jenis manipulasi psikologis. Misalnya, email klasik dan penipuan virus sarat dengan nuansa sosial.

Manipulasi psikologis dapat memengaruhi Anda secara digital melalui serangan seluler selain perangkat desktop. Namun, Anda dapat dengan mudah dihadapkan dengan ancaman secara langsung. Serangan ini bisa tumpang tindih dan melapisi satu sama lain untuk membuat penipuan.

Berikut beberapa metode umum yang digunakan oleh penyerang manipulasi psikologis:

Serangan Phishing

Penyerang phishing berpura-pura menjadi lembaga atau individu tepercaya dalam upaya membujuk Anda untuk mengungkap data pribadi dan barang berharga lainnya.

Serangan yang menggunakan phishing ditargetkan dengan salah satu dari dua cara berikut:

Spam phishing, atau phishing massal, adalah serangan meluas yang ditujukan kepada banyak pengguna. Serangan ini tidak dipersonalisasi dan mencoba menangkap orang yang tidak menaruh curiga.

Spear phishing dan dengan ekstensi, perburuan korban yang lebih besar, digunakan untuk mengumpulkan info yang dipersonalisasi untuk menargetkan pengguna tertentu. Serangan perburuan ini secara khusus ditujukan pada target bernilai tinggi seperti selebriti, manajemen tingkat atas, dan pejabat tinggi pemerintah.

Baik itu komunikasi langsung atau melalui formulir situs palsu, apa pun yang Anda bagikan langsung masuk ke kantong penipu. Anda bahkan mungkin tertipu hingga mengunduh perangkat lunak perusak yang berisi serangan phishing tahap berikutnya. Masing-masing metode yang digunakan dalam phishing memiliki mode pengiriman yang unik, termasuk namun tidak terbatas pada:

Panggilan telepon phishing suara (vishing) mungkin merupakan sistem pesan otomatis yang merekam semua masukan Anda. Terkadang, orang yang hidup mungkin berbicara dengan Anda untuk meningkatkan kepercayaan dan urgensi.

Teks atau pesan aplikasi seluler phishing SMS (smishing) mungkin menyertakan tautan web atau permintaan untuk menindaklanjuti melalui email atau nomor telepon palsu.

Email phishing adalah cara phishing yang paling tradisional, menggunakan email yang mendesak Anda untuk membalas atau menindaklanjuti dengan cara lain. Tautan web, nomor telepon, atau lampiran malware dapat digunakan.

Phishing pemancing terjadi di media sosial, tempat penyerang meniru tim layanan pelanggan perusahaan tepercaya. Mereka mencegat komunikasi Anda dengan merek untuk membajak dan mengalihkan percakapan Anda ke pesan pribadi, di mana mereka kemudian melanjutkan serangan.

Upaya phishing mesin pencari untuk menempatkan tautan ke situs web palsu di bagian atas hasil pencarian. Ini mungkin iklan berbayar atau menggunakan metode pengoptimalan yang sah untuk memanipulasi peringkat pencarian.

Tautan URL phishing menggoda Anda untuk melakukan perjalanan ke situs web phishing. Tautan ini biasanya dikirim melalui email, teks, pesan media sosial, dan iklan online. Serangan menyembunyikan tautan dalam teks atau tombol hyperlink, menggunakan alat pemendek tautan, atau URL yang dieja dengan menipu.

Phishing dalam sesi muncul sebagai gangguan terhadap penjelajahan web biasa Anda. Misalnya, Anda mungkin melihat seperti pop-up login palsu untuk halaman yang sedang Anda kunjungi.

Serangan Umpan

Umpan menyalahgunakan keingintahuan alami Anda untuk membujuk Anda agar mengekspos diri Anda kepada penyerang. Biasanya, potensi untuk sesuatu yang gratis atau eksklusif adalah manipulasi yang digunakan untuk mengeksploitasi Anda. Serangan tersebut biasanya melibatkan Anda dengan malware.

Metode memancing korban penipuan yang populer meliputi:

Drive USB ditinggalkan di ruang publik, seperti perpustakaan dan tempat parkir, kemudian anda  mengambilan dan mencoloknya ke laptop, disaat itu anda sudah memberi akses kepada pelaku kejahatan Social Enginering. Lampiran email termasuk detail tentang penawaran gratis, atau perangkat lunak gratis yang menipu.

Serangan Pelanggaran Fisik

Pelanggaran fisik melibatkan penyerang yang muncul secara langsung, menyamar sebagai seseorang yang sah untuk mendapatkan akses ke area atau informasi yang tidak sah. Lihat kasus berikut ini :

Trik ini sampai dipraktekkan ke kehidupan nyata. Contoh kasus  Social Engineering (Rekayasa Sosial) di kehidupan nyata: 

Sebulan lalu saya mengantar Isteri ke sebuah gerai ATM Kantor cabang Bank langganan kami di Cinere untuk mengambil Uang. Setiba di tempat tujuan, ia turun terlebih dahulu sementara saya memarkir Mobil.

Ketika saya menyusulnya masuk kedalam gerai ATM, saya lihat isteri saya tengah bercakap dengan dua orang lelaki yg tidak kami kenal. Saya menghampiri mereka diam-diam sembari mendengarkan Percakapannya.

Jadi begini bu," ujar salah Seorang diantaranya. "Saya mau transfer Uang ke saudara, namun ATM saya Ketinggalan. Saya cuma minta tolong ibu untuk mentransfer dua juta ke nomor rekening ini dan Uangnya saya ganti sekarang juga, ini sudah saya pegang."

"Wah maaf saya tidak bisa membantu Anda," sahut isteri saya.

"Kenapa bu?," tanya salah seorang diantara mereka dgn nada suara meninggi. "Ibu tidak percaya kepada kami?"

"Ya, saya tidak percaya kepada kalian," sahut saya tegas sembari mendekati Isteri. Kedua orang itu menoleh.

"Bapak siapa? Tak usah campur tangan urusan Orang Pak."

"Dia Isteri saya. Kalian mau apa? Saya tidak percaya kepada kalian dan kalau tetap memaksa, akan saya suruh Orang ramai diluar sana menangkapmu."

Mereka berdua tampak keder, kemudian bergegas keluar & menyengklak Motornya tanpa menoleh lagi.

Hari Selasa kemarin untuk suatu Urusan, saya musti terbang ke Balikpapan. Seperti biasa saya selalu berangkat beberapa jam sebelumnya ke Bandara, untuk menghindari Kemacetan.

Saat saya hendak Check in, Orang yang sedang proses Check in didepan saya tampak agak kebingungan dgn Barang Bawaannya. Cukup banyak sehingga melampaui Batas yang diperkenankan. Ia kemudian menoleh ke arah saya & berkata meminta Bantuan.

"Pak, saya lihat bawaan bapak sedikit," katanya sembari menatap saya. "Bisakah saya menitipkan Kopor saya kepada Bapak?"

Saya langsung menggeleng.

"Maaf Pak, saya tidak bersedia," jawab saya tegas.

"Kenapa pak? Bapak tidak mempercayai saya?"

"Bagaimana saya percaya Bapak, kenal saja tidak. Pun jika ternyata Bagasi bapak itu berisi Barang Berbahaya, nantinya di Manifest terdaftar atas Nama saya. Sayalah yang akan berurusan dengan Polisi, bukan Anda."

"Terus saya harus bagaimana?"

"Itu Masalah Anda, bukan Urusan saya. Lagipula masih ada Solusinya kok, bayar saja Kelebihannya."

Saya lihat Counter Check in sebelah kosong, Petugasnya mengangguk kepada saya. Segera saya bergeser kesana, mengurus Check in dan beranjak masuk ke Lounge. Ada juga seorang ibu ingin ke toilet dan menitip kan anak nya kepada kita atau bayi. Jangan kita menerima karena beliau akan membuat alibi bahwa kita telah menculik anak nya dan sudah dg scenario dg bbrp orang.

Ibu kok gak mau nolong sebentaar saja sy mau ke toilet masa bayi di bawa2, apa ibu tega kpd saya? Nah ketika kita gelagapan tdk mau gak enak dll. 

Atau ada yang minta tolong membelikan minum atau butuh uang receh jangan mudah memberi jika tidak kenal, nanti yang minta akan memberikan kita secarik kertas berisi narkoba dan kita di grebek tiba-tiba jika tidak menuruti. Maka kita akan diperas dengan sejumlah uang sangat besar.

Itulah " Social Engineering " yang semula diterapkan oleh penjahat didunia Cyber (Dunia Maya) dan diterapkan juga dikehidupan nyata, dengan memanfaatkan kelemahan "ketidakenakan, ketidaknyaman hati" korbannya.

Sebuah Teknik untuk Memanipulasi dan Mengarahkan Perilaku Seseorang atau Sekelompok Orang dengan Menggunakan Kekuatan Hipnotik Bahasa, Rasa Rikuh Pekewuh serta Preferensi Pribadi Seseorang Terhadap Suatu Isu.

Oleh karena itu jangan heran jika dari Tukang Sampah hingga Orang Berpendidikan sangat Tinggi, bisa Terpengaruh karenanya.

Solusinya ???

Kata kata seperti ini : "Bapak gak percaya dengan saya ?"  Biasanya kita jadi Sungkan karena takut menghina mereka, lalu kita jawab : "Bukan begitu tapi......." Nah disaat itu, kita Menempatkan Diri Kita Dibawah Mereka.

Harusnya langsung saja menjawab :

"IYA...SAYA TIDAK PERCAYA KALIAN..." Persis Dalam Cerita Diatas. PENJAHAT Jadi Tahu Kita Bukan Calon Korban Yang Lemah.

Itu di tempat umum. Serangan seperti ini paling sering terjadi di lingkungan perusahaan, seperti pemerintah, bisnis, atau organisasi lain. Penyerang mungkin berpura-pura menjadi perwakilan dari vendor yang dikenal dan terpercaya untuk perusahaan. 

Mereka membuat identitas mereka tidak jelas tetapi cukup dapat dipercaya untuk menghindari pertanyaan.

Pretexting Attacks

Pretexting menggunakan identitas yang menipu sebagai "dalih" untuk membangun kepercayaan, seperti secara langsung meniru identitas vendor atau karyawan fasilitas. Pendekatan ini mengharuskan penyerang untuk berinteraksi dengan Anda secara lebih proaktif. Eksploitasi mengikuti setelah mereka meyakinkan Anda bahwa mereka sah.

Akses Serangan Tailgating 

Tailgating, atau piggybacking, adalah tindakan membuntuti anggota staf yang berwenang ke area dengan akses terbatas. Penyerang mungkin bermain dalam kesopanan sosial untuk membuat Anda menahan pintu untuk mereka atau meyakinkan Anda bahwa mereka juga berwenang untuk berada di area tersebut. Pretexting juga dapat berperan di sini.

Serangan Quid Pro Quo

Quid pro quo adalah istilah yang secara kasar berarti "bantuan untuk kebaikan," yang dalam konteks phishing berarti pertukaran informasi pribadi Anda dengan beberapa hadiah atau kompensasi lainnya. Hadiah atau tawaran untuk mengambil bagian dalam studi penelitian mungkin membuat Anda terkena jenis serangan ini.

Eksploitasi berasal dari rencana pelaku kejahatan yang membuat Anda bersemangat untuk sesuatu yang berharga atau sesuatu yang gratis. Namun, penyerang hanya mengambil data anda yang diperlukan tanpa memberi imbalan untuk Anda.

Serangan Spoofing DNS dan Manipulasi Cache

Spoofing DNS memanipulasi browser dan server web Anda untuk melakukan perjalanan ke situs web berbahaya saat Anda memasukkan URL yang sah. Setelah terinfeksi eksploit ini, pengalihan akan dilanjutkan kecuali data perutean yang tidak akurat dihapus dari sistem yang terlibat.

Serangan keracunan cache DNS secara khusus menginfeksi perangkat Anda dengan instruksi perutean untuk URL yang sah atau beberapa URL untuk terhubung ke situs web palsu.

Serangan Scareware

Scareware adalah bentuk malware yang digunakan untuk menakut-nakuti Anda agar mengambil tindakan. Malware tipuan ini menggunakan peringatan mengkhawatirkan yang melaporkan infeksi malware palsu atau mengklaim salah satu akun Anda telah disusupi.

Akibatnya, scareware mendorong Anda untuk membeli perangkat lunak keamanan siber palsu, atau membocorkan detail pribadi seperti kredensial akun Anda.

Serangan Lubang Penyiraman

Serangan watering hole menginfeksi halaman web populer dengan malware untuk memengaruhi banyak pengguna dalam satu waktu. Diperlukan perencanaan yang cermat dari pihak penyerang untuk menemukan kelemahan di situs tertentu. Mereka mencari kerentanan yang ada yang tidak diketahui dan ditambal - kelemahan seperti itu dianggap eksploitasi zero-day.

Di lain waktu, mereka mungkin menemukan bahwa situs belum memperbarui infrastruktur mereka untuk menyelesaikan masalah yang diketahui. Pemilik situs web dapat memilih tunda pembaruan perangkat lunak untuk menjaga versi perangkat lunak yang mereka ketahui stabil. Mereka akan beralih setelah versi yang lebih baru memiliki rekam jejak stabilitas sistem yang terbukti. Peretas menyalahgunakan perilaku ini untuk menargetkan kerentanan yang baru saja ditambal.

Metode Rekayasa Sosial yang Tidak Biasa

Dalam beberapa kasus, penjahat dunia maya telah menggunakan metode kompleks untuk menyelesaikan serangan dunia maya mereka, termasuk:

Phishing berbasis faks: Ketika salah satu pelanggan bank menerima email palsu yang mengaku dari bank - meminta pelanggan untuk mengonfirmasi kode akses mereka - metode konfirmasi tidak melalui email / rute Internet biasa. Sebagai gantinya, pelanggan diminta untuk mencetak formulir di email, lalu mengisi detail mereka dan mengirimkan formulir melalui faks ke nomor telepon penjahat dunia maya.

Distribusi malware surat tradisional: Di Jepang, penjahat dunia maya menggunakan layanan pengiriman ke rumah untuk mendistribusikan CD yang terinfeksi spyware Trojan. Disket tersebut dikirim ke klien bank Jepang. Alamat klien sebelumnya telah dicuri dari database bank.

Contoh Serangan Rekayasa Sosial

Serangan malware membutuhkan fokus khusus, karena sering terjadi dan memiliki efek yang berkepanjangan.

Saat pembuat malware menggunakan teknik rekayasa sosial, mereka dapat memikat pengguna yang tidak waspada untuk meluncurkan file yang terinfeksi atau membuka tautan ke situs web yang terinfeksi. Banyak worm email dan jenis malware lainnya menggunakan metode ini. Tanpa rangkaian perangkat lunak keamanan yang komprehensif untuk perangkat seluler dan desktop Anda, Anda kemungkinan besar akan terkena infeksi.

Serangan Cacing (Worm Attacks)

Penjahat dunia maya akan bertujuan untuk menarik perhatian pengguna ke tautan atau file yang terinfeksi - lalu membuat pengguna mengekliknya.

Contoh dari jenis serangan ini meliputi:

Worm LoveLetter yang membebani banyak server email perusahaan pada tahun 2000. Para korban menerima email yang mengundang mereka untuk membuka surat cinta yang terlampir. Ketika mereka membuka file terlampir, worm tersebut menyalin dirinya sendiri ke semua kontak di buku alamat korban. Worm ini masih dianggap sebagai salah satu yang paling merusak, dalam hal kerusakan finansial yang ditimbulkannya.

Worm email Mydoom - yang muncul di Internet pada Januari 2004 - menggunakan teks yang meniru pesan teknis yang dikeluarkan oleh server surat.

Worm Swen berpura-pura sebagai pesan yang telah dikirim dari Microsoft. Ia mengklaim bahwa lampiran tersebut adalah tambalan yang akan menghapus kerentanan Windows. Tidaklah mengherankan jika banyak orang menanggapi klaim tersebut dengan serius dan mencoba memasang patch keamanan palsu - meskipun sebenarnya itu adalah worm.

Saluran Pengiriman Tautan Malware

Tautan ke situs yang terinfeksi dapat dikirim melalui email, ICQ dan sistem IM lainnya - atau bahkan melalui ruang obrolan Internet IRC. Virus seluler sering kali dikirim melalui pesan SMS.

Metode pengiriman apa pun yang digunakan, pesan biasanya akan berisi kata-kata yang menarik atau menarik yang mendorong pengguna yang tidak menaruh curiga untuk mengklik tautan tersebut. Metode menembus sistem ini dapat memungkinkan malware melewati filter antivirus server email.

Serangan Jaringan Peer-to-Peer (P2P)

Jaringan P2P juga digunakan untuk mendistribusikan malware. Worm atau virus Trojan akan muncul di jaringan P2P tetapi akan diberi nama dengan cara yang cenderung menarik perhatian dan membuat pengguna mengunduh dan meluncurkan file. Sebagai contoh:

AIM & AOL Password Hacker.exe

Microsoft CD Key Generator.exe

PornStar3D.exe

Play Station emulator crack.exe

Mempermalukan Pengguna yang Terinfeksi karena Melaporkan Serangan. Dalam beberapa kasus, pembuat dan distributor malware mengambil langkah-langkah yang mengurangi kemungkinan korban melaporkan infeksi:

Korban dapat menanggapi tawaran palsu utilitas gratis atau panduan yang menjanjikan manfaat ilegal seperti:

Akses internet atau komunikasi seluler gratis.

Kesempatan untuk mengunduh generator nomor kartu kredit.

Sebuah metode untuk meningkatkan saldo rekening online korban.

Dalam kasus ini, ketika unduhan ternyata adalah virus Trojan, korban akan menghindari pengungkapan niat ilegal mereka sendiri. Oleh karena itu, korban kemungkinan tidak akan melaporkan infeksi tersebut ke lembaga penegak hukum mana pun.

Sebagai contoh dari teknik ini, virus Trojan pernah dikirim ke alamat email yang diambil dari situs perekrutan. Orang-orang yang telah terdaftar di situs menerima tawaran pekerjaan palsu, tetapi penawaran tersebut menyertakan virus Trojan. Serangan tersebut terutama menargetkan alamat email perusahaan. Para penjahat dunia maya tahu bahwa staf yang menerima Trojan tidak akan mau memberi tahu majikan mereka bahwa mereka telah terinfeksi saat mereka mencari pekerjaan alternatif.

Cara Mengenali Serangan Rekayasa Sosial

Membela manipulasi psikologis mengharuskan Anda mempraktikkan kesadaran diri. Selalu memperlambat dan berpikir sebelum melakukan sesuatu atau menanggapi.

Penyerang mengharapkan Anda untuk mengambil tindakan sebelum mempertimbangkan risikonya, yang berarti Anda harus melakukan yang sebaliknya. Untuk membantu Anda, berikut beberapa pertanyaan untuk ditanyakan pada diri Anda jika Anda mencurigai adanya serangan:

Apakah emosi saya meningkat? Jika Anda sangat ingin tahu, takut, atau bersemangat, Anda cenderung tidak mengevaluasi konsekuensi dari tindakan Anda. Faktanya, Anda mungkin tidak akan mempertimbangkan keabsahan situasi yang disajikan kepada Anda. Anggap ini sebagai bendera merah jika keadaan emosi Anda meningkat atau jadikan petanda bahwa ada udang dibalik batu, atau ada penyakit dibalik manisnya gula.

Apakah pesan ini datang dari pengirim yang sah? Periksa alamat email dan profil media sosial dengan hati-hati saat menerima pesan yang dicurigai. Mungkin ada karakter yang meniru yang lain, seperti "torn@example.com" bukan "tom@example.com" lihat karakter "rn" dan "m". Profil media sosial palsu yang menduplikasi foto teman Anda dan detail lainnya juga umum.

Apakah teman saya benar-benar mengirimkan pesan ini kepada saya? Selalu baik untuk menanyakan kepada pengirim apakah mereka adalah pengirim sebenarnya dari pesan yang dipermasalahkan. Apakah itu rekan kerja atau orang lain dalam hidup Anda, tanyakan kepada mereka secara langsung atau melalui panggilan telepon jika memungkinkan. Mereka mungkin diretas dan tidak tahu, atau seseorang mungkin menyamar sebagai akun mereka. Intinya konfirmasi selalu jika ada pesan yang mencurigakan dari teman atau kerabat anda.

Apakah situs web yang saya buka memiliki detail yang aneh? Penyimpangan dalam URL, kualitas gambar yang buruk, logo perusahaan yang lama atau salah, dan kesalahan ketik halaman web semuanya dapat menjadi tanda peringatan dari situs web palsu. Jika Anda memasuki situs web palsu, pastikan untuk segera keluar.

Apakah tawaran ini terdengar terlalu bagus untuk menjadi kenyataan? Dalam kasus hadiah atau metode penargetan lainnya, penawaran adalah motivasi yang kuat untuk mendorong serangan manipulasi psikologis ke depan. Anda harus mempertimbangkan mengapa seseorang menawarkan sesuatu yang berharga kepada Anda dengan sedikit keuntungan di pihak mereka. Berhati-hatilah setiap saat karena bahkan data dasar seperti alamat email Anda dapat diambil dan dijual ke pengiklan yang tidak menyenangkan.

Lampiran atau tautan mencurigakan? Jika tautan atau nama file tampak tidak jelas atau aneh dalam sebuah pesan, pertimbangkan kembali keaslian seluruh komunikasi. Juga, pertimbangkan jika pesan itu sendiri dikirim dalam konteks yang aneh, waktu, atau mengibarkan bendera merah lainnya.

Bisakah orang ini membuktikan identitasnya? Jika Anda tidak bisa membuat orang ini memverifikasi identitasnya dengan organisasi, yang mereka klaim sebagai bagian dari, jangan izinkan mereka mengakses yang mereka minta. Ini berlaku baik secara langsung maupun online, karena pelanggaran fisik mengharuskan Anda mengabaikan identitas penyerang.

Bagaimana Mencegah Serangan Rekayasa Sosial

Selain mendeteksi serangan, Anda juga dapat bersikap proaktif tentang privasi dan keamanan Anda. Mengetahui cara mencegah serangan manipulasi psikologis sangat penting bagi semua pengguna seluler dan komputer.

Berikut beberapa cara penting untuk melindungi dari semua jenis serangan dunia maya:

Kebiasaan Komunikasi Aman dan Manajemen Akun

Komunikasi online adalah tempat yang sangat rentan bagi Anda. Media sosial, email, pesan teks adalah target umum, tetapi Anda juga ingin memperhitungkan interaksi secara langsung.

Jangan pernah mengklik tautan di email atau pesan apa pun. Anda tentu ingin selalu mengetik URL secara manual ke bilah alamat Anda, siapa pun pengirimnya. Namun, ambil langkah ekstra untuk menyelidiki untuk menemukan versi resmi URL yang dipermasalahkan. Jangan pernah terlibat dengan URL apa pun yang belum Anda verifikasi sebagai resmi atau sah.

Gunakan otentikasi multi-faktor. Akun online jauh lebih aman bila menggunakan lebih dari sekedar kata sandi untuk melindunginya. Otentikasi multi-faktor menambahkan lapisan ekstra untuk memverifikasi identitas Anda setelah login akun. "Faktor" ini dapat mencakup biometrik seperti sidik jari atau pengenalan wajah, atau kode sandi sementara yang dikirim melalui pesan teks.

Gunakan kata sandi yang kuat (dan pengelola kata sandi). Setiap sandi Anda harus unik dan kompleks. Bertujuan untuk menggunakan tipe karakter yang beragam, termasuk huruf besar, angka, dan simbol. Juga, Anda mungkin ingin memilih kata sandi yang lebih panjang bila memungkinkan. Untuk membantu Anda mengelola semua kata sandi khusus, Anda mungkin ingin menggunakan pengelola kata sandi untuk menyimpan dan mengingatnya dengan aman.

Hindari berbagi nama sekolah, hewan peliharaan, tempat lahir, atau data pribadi Anda lainnya. Anda mungkin tanpa sadar mengungkap jawaban atas pertanyaan keamanan Anda atau bagian dari kata sandi Anda. Jika Anda menyiapkan pertanyaan keamanan agar mudah diingat tetapi tidak akurat, Anda akan mempersulit penjahat untuk membobol akun Anda. Jika mobil pertama Anda adalah "Toyota", menulis kebohongan seperti "mobil badut" justru bisa membuat para peretas tidak tahu apa-apa.

Berhati-hatilah saat membangun persahabatan hanya online. Meskipun internet bisa menjadi cara yang bagus untuk terhubung dengan orang-orang di seluruh dunia, ini adalah metode umum untuk serangan manipulasi psikologis. Perhatikan tanda-tanda dan bendera merah yang menunjukkan manipulasi atau penyalahgunaan kepercayaan yang jelas.

Kebiasaan Penggunaan Jaringan yang Aman

Jaringan online yang disusupi dapat menjadi titik kerentanan lain yang dimanfaatkan untuk penelitian latar belakang. Untuk mencegah data Anda digunakan terhadap Anda, lakukan tindakan perlindungan untuk jaringan apa pun yang Anda sambungkan.

Jangan biarkan orang asing terhubung ke jaringan Wi-Fi utama Anda. Di rumah atau di tempat kerja, akses ke koneksi Wi-Fi tamu harus tersedia. Ini memungkinkan koneksi utama Anda yang dienkripsi dan diamankan dengan kata sandi untuk tetap aman dan bebas intersepsi. Jika seseorang memutuskan untuk "menguping" informasi, mereka tidak akan dapat mengakses aktivitas yang Anda dan orang lain ingin rahasiakan.

Gunakan VPN. Jika seseorang di jaringan utama Anda - berkabel, nirkabel, atau bahkan seluler - menemukan cara untuk mencegat lalu lintas, jaringan pribadi virtual (VPN) dapat mencegah mereka masuk. VPN adalah layanan yang memberi Anda "terowongan" pribadi terenkripsi pada koneksi internet apa pun yang Anda gunakan. Koneksi Anda tidak hanya dijaga dari pandangan yang tidak diinginkan, tetapi data Anda dianonimkan sehingga tidak dapat dilacak kembali kepada Anda melalui cookie atau cara lain.

Amankan semua perangkat dan layanan yang terhubung ke jaringan. Banyak orang yang mengetahui praktik keamanan internet untuk perangkat seluler dan komputer tradisional. Namun, mengamankan jaringan Anda sendiri, selain semua perangkat pintar dan layanan cloud Anda sama pentingnya. Pastikan untuk melindungi perangkat yang sering diabaikan seperti sistem infotainment mobil dan router jaringan rumah. Pelanggaran data pada perangkat ini dapat memicu personalisasi untuk penipuan manipulasi psikologis.

Kebiasaan Penggunaan Perangkat yang Aman

Menjaga perangkat Anda sendiri sama pentingnya dengan semua perilaku digital Anda yang lain. Lindungi ponsel Anda, tablet, dan perangkat komputer lainnya dengan tip di bawah ini:

Gunakan perangkat lunak keamanan internet yang komprehensif. Jika taktik sosial berhasil, infeksi malware adalah hasil yang umum. Untuk memerangi rootkit, Trojans, dan bot lainnya, sangat penting untuk menggunakan solusi keamanan internet berkualitas tinggi yang dapat menghilangkan infeksi dan membantu melacak sumbernya.

Jangan pernah meninggalkan perangkat Anda tidak aman di depan umum. Selalu kunci komputer dan perangkat seluler Anda, terutama di tempat kerja. Saat menggunakan perangkat Anda di ruang publik seperti bandara dan kedai kopi, simpanlah selalu milik Anda.

Selalu perbarui semua perangkat lunak Anda setelah tersedia. Pembaruan segera memberikan perbaikan keamanan penting pada perangkat lunak Anda. Saat Anda melewatkan atau menunda pembaruan pada sistem operasi atau aplikasi Anda, Anda membiarkan lubang keamanan yang diketahui terbuka untuk ditargetkan oleh peretas. Karena mereka tahu ini adalah perilaku banyak pengguna komputer dan seluler, Anda menjadi target utama serangan malware yang direkayasa secara sosial.

Periksa pelanggaran data yang diketahui dari akun online Anda. Layanan seperti Kaspersky Security Cloud secara aktif memantau pelanggaran data baru dan yang sudah ada untuk alamat email Anda. Jika akun Anda termasuk dalam data yang disusupi, Anda akan menerima pemberitahuan bersama dengan saran tentang cara mengambil tindakan.

Perlindungan terhadap manipulasi psikologis dimulai dengan pendidikan. Jika semua pengguna menyadari ancaman tersebut, keamanan kami sebagai masyarakat kolektif akan meningkat. Pastikan untuk meningkatkan kesadaran akan risiko ini dengan berbagi apa yang telah Anda pelajari dengan rekan kerja, keluarga, dan teman Anda.

Artikel ini ditranslate dengan Google Translater dari Situs Kaspersky dengan judul 

What is Social Engineering?



0 Response to "Definisi Social Engineering (Rekayasa Sosial)"

Post a comment

Share

Kategori Artikel

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel