Dewasa ini Social Engineering menjadi salah satu alat berbahaya yang digunakan peretas untuk beraksi.
Anti-virus dan Firewall tidak akan bisa menolong jika kita telah ditipu untuk memasuki sebuah tautan jahat yang anda kira itu aman.
Di bawah ini adalah beberapa hal yang perlu kita ketahui agar tetap aman.
Pengertian Social Engineering
Social Engineering adalah sebuah cara menyerang untuk masuk kedalam jaringan, sistem, atau lokasi dengan menggunakan psikologi manusia atau pendekatan psikologi daripada menggunakan metode peretasan pada umumnya. Peretas akan mendekati atau menipu seseorang untuk memasuki kedalam sebuah sistem yang dia buat seolah-olah orang tersebut memasuki sistem yang aman.
Social Engineering menjadi cara baru untuk melakukan peretasan karena lebih mudah untuk mempermainkan perhatian seorang pengguna daripada menemukan celah dalam suatu jaringan atau sistem.
Cara yang dapat diandalkan adalah dengan memahami cara untuk mengidentifikasi berbagai jenis serangan dalam Social Engineering.
Jenis Serangan Social Enginerring
Phising
Phising adalah taktik Social Engineeruing yang populer digunakan untuk menyerang.
Phising adalah taktik yang dilakukan peretas dengan membuat sebuah tiruan website, artikel, atau komunitas online yang populer atau seolah-olah itu aman tetapi sebenarnya tidak. Saat pengguna memasukan beberapa informasi penting seperti username, password, atau email karena merasa aman disitulah peretas mendapatkan informasi itu.
Biasanya, korban dari phising adalah mereka yang tidak memiliki pemahaman yang baik dalam berinternet atau seseorang yang baru menggunakan social media. Hal yang dapat dilakukan untuk menghindari phising adalah dengan memastikan kembali bahwa link yang kita kunjungi adalah link resmi dan autentik. Situs yang biasa ditiru oleh para peretas phising adalah media sosial, situs bank, dan situs layanan online.
Baiting
Baiting digunakan dalam dunia maya maupun dunia nyata.
Baiting dilakukan dengan cara meninggalkan sebuah device yang telah diberikan malware, spyware, atau software berbahaya lainnya yang nantinya dengan hal-hal tersebut peretas dapat mengumpulkan dan mencuri informasi target.
Device yang paling sering dijadikan umpan adalah Flash USB Drive atau Flashdisk. Umpan tersebut ditinggalkan di tempat umum seperi stasiun, bandara, toilet umum, perpustakaan, dan lain lain dengan harapan akan menarik rasa ingin tahu seseorang atau target.
Ketika orang tersebut menghubungkan device itu dengan komputer mereka, otomatis malware yang ada didalamnya langsung menyerang komputer tersebut. Kemudian malware tersebut akan mengirimkan data-data penting ke peretas.
Selain dalam bentuk fisik seperti Flashdisk, baiting juga dilakukan secara online atau digital dengan modus iklan menarik yang dapat mempengaruhi pengguna untuk meng-klik iklan tersebut dan otomatis malware akan terunduh.
Dalam beberapa kasus, malware atau spyware disamarkan sebagai software popular atau update software.
Spear Phising
Spear Phising dibuat untuk menyerang seseorang atau organisasi agar tampak lebih otentik dan sah.
Spear Phising biasanya menggunakan informasi pribadi seseorang atau detail informasi seseorang untuk mendapat kepercayaan dari pengguna sebelum mencuri informasi, memasang malware, atau mengirimkan keylogger ke perangkat mereka.
Pengguna yang terjebak dalam spear phising akan merasa bahwa semua yang ia lakukan adalah aman atau merasa bahwa serangan itu adalah upaya tulus untuk berbagi konten atau informasi.
Spear Phising banyak digunakan daripada phising biasa seiring bertambahnya kesadaran pengguna untuk memastikan dan memverifikasi situs yang mereka jelajahi. Dengan Spear Phising semakin sulit untuk membedakan mana situs berbahaya dan mana yang aman.
Tailgating
Tailgating adalah taktik yang dilakukan murni secara fisik dan dilakukan dengan berinteraksi langsung dengan target di dunia nyata agar bekerja.
Peretas akan mengikuti target ke tempat yang memiliki koneksi Wi-Fi dan meretas target melalui koneksi Wi-Fi tersebut saat target terhubung. Tailgating juga dilakukan dengan cara meminta langsung informasi-informasi penting tersebut ke target dengan alasan-alasan yang meyakinkan.
Tetap waspada saat mengakses internet atau Wi-Fi dimana saja di tempat umum adalah cara untuk mengurangi resiko terkena Tailgaitng. Selain itu dengan kita juga harus menjaga koneksi internet tetap terenkripsi dan terlindungi untuk mencegah peretas mengakses data kita.
Scareware
Scareware menjadi taktik yang dapat dibilang sukses dalam mencuri informasi penting atau data keuangan target.
Biasanya disajikan sebagai popups atau program yang memberikan ancaman atau peringatan kepada pengguna agar mereka memberikan informasi penting mereka. Target akan diancam dan diminta untuk memberikan informasi-informasi penting mereka sebelum peretas melakukan tindakan lain.
Scareware juga bisa dilakukan secara online dengan membuat sebuah konten berbayar menjadi gratis guna menarik perhatian pengguna. Dalam banyak kasus, scareware digunakan untuk mendorong pengguna untuk mengunduh software berbahaya karena ancaman spyware atau malware yang telah menginveksi komputer mereka.
Pretexting
Pretexting dilakukan untuk mendapat informasi penting target dengan cara mengaku-ngaku sebagai polisi, pejabat, pihak bank, bahkan rekan bisnis.
Peretas menarget seorang individu yang tidak akan curiga dengannya dan akan merasa terancam atau takut dengan pembalasan apabila dia tidak memberi informasi yang diminta. Modus ini dilakukan melalui telepon, email, atau media sosial lain.
Quid Pro Quo
Quid Pro Quo dilakukan peretas untuk meminta informasi penting target dengan iming-iming imbalan yang besar yang akan diberikan dikemudian hari.
Serangan ini dilakukan melalui telepon, media sosial, atau email yang telah diretas atau ditiru. Target akan diiming-imingi uang, pejalanan gratis, atau hadiah lain sebagai imbalan karena mereka telah melakukan login, verifikasi kredensial, atau memberi informasi lainnya seperti akun bank atau jaminan sosial.
3 Fase dari Social Engineering
Research Phase
Fase pertama dari segala macam taktik Social Engineering adalah research atau penelitian. Selama fase ini, peretas akan mencari tahu segala informasi tentang target. Cara paling mudah yang dilakukan peretas adalah mencari tahu lewat social media yang target miliki. Ketika peretas mengetahui informasi-informasi target, peretas akan menyusun cara paling efektif untuk dilakukan.
Contact Phase
Setelah fase penelitian selesai, Peretas akan beralih ke Contact Phase atau fase kontak. Pada fase ini peretas akan menggunakan informasi yang telah diteliti untuk mencari kelemahan target dan atau mendapat kepercayaan target. Termasuk berpura-pura menjadi orang kepercayaan target. Setelah target mempercayai peretas, dia akan langsung memanfaatkan moment tersebut.
Attack Phase
Attack Phase atau fase penyerangan sangat bergantung pada dua fase sebelumnya. Ketika peretas masuk ke fase ini berartu peretas telah mendapat informasi dan akses yang diperlukan untuk kita atau perusahaan kita.
Pada fase ini, peretas akan mendapat informasi yang mereka inginkan. Bahkan tidak hanya itu, peretas juga bisa saja membuat celah pada sistem yang ada atau menyalin kredensial target yang nantinya dapat digunakan untuk serangan selanjutnya.
Memahami Serangan Social Engineering
Social Engineering bukanlah hal yang baru. Namun, itu menjadi salah satu cara peretas beraksi.
Dengan pemahaman yang jelas mengenai Social Engineering, tetaplah kendalikan aktivitas online kita sambil terus waspada dan melakukan proteksi pada komputer kita.
Artikelnya sangat bermanfaat
ReplyDelete