Social Engineering adalah seni memanipulasi orang sehingga mereka memberikan informasi rahasia. Jenis informasi yang dicari penjahat ini dapat bervariasi, namun bila individu yang menjadi target, mereka biasanya mencoba menipu Anda agar memberi mereka kata kunci atau informasi bank, atau mengakses komputer korban untuk menginstal malware dengan diam-diam, yang akan memberi mereka akses ke password dan informasi bank serta memberi mereka kontrol atas komputer korban.
Jenis Serangan Social Engineering
Ada berbagai macam tipe serangan social engineering yang sering digunakan untuk mengelabui korban, berikut adalah jenis tipuan tersebut:
-
Baiting atau umpan adalah saat pelaku meninggalkan perangkat fisik yang terinfeksi malware, seperti flash drive USB di tempat yang pasti ditemukan. Penemu kemudian mengambil perangkat dan memasukkannya ke komputernya, dan tanpa sengaja menginstal malware.
-
Phishing: Phishing adalah saat penjahat digital mengirim email palsu yang disamarkan sebagai email yang sah, yang seringkali dianggap berasal dari sumber terpercaya. Pesan tersebut dimaksudkan untuk mengelabui penerima agar berbagi informasi pribadi atau keuangan atau mengklik link yang menginstal malware.
-
Spear phishing: Spear phishing seperti phishing, namun disesuaikan untuk individu atau organisasi tertentu.
-
Pretexting adalah ketika satu pihak berbohong kepada orang lain untuk mendapatkan akses ke data istimewa. Misalnya, tipuan pretexting bisa melibatkan pelaku yang berpura-pura membutuhkan data pribadi atau keuangan untuk mengkonfirmasi identitas penerima.
-
Scareware melibatkan trik untuk menipu korban agar mengira komputernya terinfeksi malware atau secara tidak sengaja mengunduh konten ilegal. Pelaku kemudian menawarkan solusi kepada korban untuk memperbaiki masalah palsu tersebut; Pada kenyataannya, korban hanya tertipu untuk mengunduh dan menginstal malware pelaku.
Phishing
Teknik phishing ini merupakan taktik penipuan yang paling sering digunakan sekarang ini. Beberapa penipuan Phishing digunakan untuk mendapatkan informasi personal seseorang seperti nama, alamat dan nomor keamanan sosial.
Kalau di Indonesia, nomor KTP, Kartu Keluarga kini pun jadi rawan karena sudah terintegrasinya data-data tersebut. Jadi, kalau bisa dan tidak terlalu penting, jangan memberikan nomor-nomor tersebut.
Selain itu, bisa juga dengan cara mengatasnamakan situs resmi seperti PayPal, Facebook atau situs lain yang mengharuskan seseorang untuk memasukkan email dan password, padahal sebenarnya situs tersebut adalah buatan si hacker.
Dengan cara ini hacker mendapatkan semua data yang diperlukan untuk mengambil alih akun seseorang.
Gunakan SEO untuk Menipu Pengguna Web
Apakah Anda memiliki printer atau scanner lama yang membutuhkan driver? Hati-hati, karena hanya dengan bermodal uang dalam jumlah kecil, pelaku bisa menggunakan taktik pemasaran untuk menglihkan lalu lintas mesin pencari ke driver palsu yang menginfeksi komputer Anda. Misalnya, berdasarkan penelusuran pencarian driver, tanpa disadari bisa membawa ke situs web yang terlihat seperti ofisial atau resmi, namun ternyata berfungsi sebagai penginfeksi malware. Mereka tidak perlu mengeluarkan banyak uang untuk membangun situs web dan membeli istilah pencarian Internet utama untuk menarik korban yang tidak menaruh curiga.
Situs Phishing Bisa Jadi HTTPS
Seperti menjadi kebijaksanaan konvensional bahwa SSl pada situs HTTPS merupakan jaminan keamanan pada sebuah situs. Namun, sayangnya penjahat siber memanfaatkan ini untuk menipu pengguna komputer, mereka tahu mendapatkan sertifikat SSL yang valid tidak mudah, tetapi dengan adanya letsencrypt.org yang memberikan sertifikat SSL gratis.
Pengguna tidak dapat menganggap situs aman hanya karena HTTPS. Untuk laman perbankan penting dan halaman log lainnya, mereka harus mencari bar hijau yang berarti situs tersebut tidak hanya menggunakan HTTPS, namun menggunakan sertifikat SSL Validasi Extended (EV-SSL), yang orang jahat tidak dapat memperolehnya secara gratis .
Situs Tipuan Penuh dengan Malware
Orang-orang menjelajah web dengan bebas dan tidak selalu memperhatikanbahwa peretas bisa mendaftarkan nama domain dari situs yang sah seperti PayPal atau eBay dan membuat mereka terlihat hampir 99 persen mirip dengan aslinya. Penipu pintar menyembunyikan malware di laman ini dan juga menyembunyikan karakter bahasa asing yang tidak mudah terlihat dengan mata telanjang kecuali.
Executable Tersamar
Sebenarnya teknik ini sudah sering digunakan di dunia maya, dan tidak asing untuk sebagian orang. Lain ceritanya jika pengguna komputer baru atau mereka yang jarang mengikuti perkembangan dunia siber mereka akan mudah tertipu dengan trik ini. Apa yang terjadi adalah file akan terlihat seperti ini: gambar.exe.jpg, pada dasarnya adalah file jpg biasa. Namun kenyataannya, dengan menggunakan Unicode, sebuah sistem terjemahan internasional, file tersebut sebenarnya adalah sebuah executable bernama validate.jpg.exe. Pengguna kemudian tanpa sadar meluncurkan malware, menginfeksi komputernya sendiri.
Pretexting
Taktik pretexting ini adalah teknik yang digunakan hacker dengan cara berbicara layaknya para ahli. Hacker yang kita ketahui sangat mahir dalam hal teknis, tapi ketika hacker menggunakan social engineering, maka hacker bisa berbicara sangat lancar seperti seorang ahli.
Gaya bicaranya seperti tele marketing yang sering melakukan penjualan via telepon. Tapi, yang ini memiliki niat tidak baik. Jadi, Anda harus lebih hati-hati lagi ketika bicara. Atau bisa juga menggunakan gaya lain yang disesuaikan dengan keinginan si hacker melakukan penipuan dan sangat menyakinkan sekali cara bicara nya.
Baiting
Baiting adalah teknik yang hampir sama seperti Phishing, yaitu memberikan pancingan berupa hadiah barang atau hal-hal yang menarik korban untuk membuka situs yang dibuat hacker.
Baiting kebanyakan menawarkan korbannya musik gratis atau unduhan film, termasuk film porno, dengan kecepatan yang lebih cepat. Setelah mengklik situs tersebut, korban harus memasukkan email dan password mereka.
Cara Pencegahan
Taktik social engineering ini bisa dengan mudah dilakukan oleh hacker, dan tidak sulit juga bagi kita yang mungkin jadi korban mencegah penipuan tersebut.
Berikut adalah beberapa cara agar kita bisa mencegah serangan social engineering.
- Jangan membuka email berisi tautan dari sumber yang tidak terpercaya.
- Jangan menerima tawaran dari orang yang tidak di kenal, apapun keuntungan yang akan diterima.
- Kunci laptop, kapanpun ketika akan meninggalkan laptop walaupun hanya sebentar.
- Gunakan software anti-virus (AV). Meskipun AV tidak bisa mengamankanmu dari segala serangan, tapi setidaknya AV bisa menambal beberapa celah.
- Selalu update software dengan versi terbaru.
- Jangan Share Password atau PIN pada siapa pun.
- Buat password atau PIN yang tidak mudah ditebak orang.
- Kurangi penggunaan Public WiFi.
