Apa itu rekayasa sosial dan bagaimana mereka dapat menipu Anda?

La rekayasa sosial Hal semacam itu tampaknya jauh dari kenyataan sampai suatu hari Anda menerima telepon dari "bank," email dari "kantor pajak," atau pesan di WhatsApp dari seseorang yang mengaku kerabat meminta uang. Anda tidak perlu menjadi ahli komputer untuk tertipu: yang dibutuhkan hanyalah mempercayai orang yang salah, membalas pesan dengan tergesa-gesa, atau mengklik tempat yang seharusnya tidak Anda klik.

Para penjahat siber telah mengetahui bahwa hal itu lebih mudah. meretas orang yang meretas sistemAlih-alih melawan firewall dan perangkat lunak antivirus, mereka menyerang di titik terlemah kita: emosi, kecerobohan, niat baik, atau ketidaktahuan. Itulah mengapa kita berbicara tentang “peretasan manusia"Dan itulah mengapa rekayasa sosial menjadi salah satu penyebab utama pelanggaran keamanan saat ini, baik bagi pengguna individu maupun perusahaan."

Sebenarnya apa itu rekayasa sosial?

Dalam keamanan siber, rekayasa sosial adalah istilah yang digunakan untuk menggambarkan proses... serangkaian teknik manipulasi psikologis yang digunakan penjahat untuk membuat seseorang melakukan sesuatu yang tidak akan mereka lakukan secara sadar: menyerahkan data rahasia, menjalankan file berbahaya, mengotorisasi transaksi perbankan, atau membuka pintu (digital atau fisik) ke jaringan perusahaan.

Alih-alih mengeksploitasi kelemahan teknis, serangan-serangan ini Mereka memanfaatkan kesalahan manusia.Rasa percaya diri yang berlebihan, rasa takut, tergesa-gesa, rasa ingin tahu, kurangnya pengetahuan, atau sekadar kelelahan. Penyerang menyamar sebagai seseorang yang dipercaya (rekan kerja, anggota keluarga, teknisi pendukung, karyawan bank, kurir, pejabat pemerintah, dll.) dan membangun cerita yang meyakinkan untuk menurunkan kewaspadaan korban.

Tujuan akhirnya bisa sangat beragam: pencurian identitas, penipuan keuangan, spionase, sabotase atau membuka pintu bagi serangan yang lebih kompleks, seperti instalasi ransomware di jaringan perusahaan. Satu pengguna yang memberikan kredensialnya dapat memicu insiden kritis bagi seluruh organisasi.

Oleh karena itu, rekayasa sosial sangat menarik bagi para penjahat: hal itu memungkinkan mereka Lewati banyak pertahanan teknis terbaik hanya dengan satu klik.Firewall yang bagus, enkripsi yang kuat, dan antivirus yang selalu diperbarui tidak akan banyak berguna jika seorang karyawan memberikan kata sandinya di situs web palsu atau mendiktekannya melalui telepon kepada penipu.

Cara kerja serangan rekayasa sosial

Di balik setiap penipuan yang dilakukan dengan baik, biasanya ada proses multi-tahap, meskipun dari luar tampak hanya berupa email, panggilan telepon, atau pesan tunggal. Secara umum, penyerang mengikuti pola tertentu. siklus serangan yang cukup sistematis yang beradaptasi sesuai dengan korban dan tujuannya.

Pertama-tama mereka melakukan suatu fase yang pengakuan atau persiapanMereka mengumpulkan informasi tentang korban atau kelompok tempat korban berafiliasi (perusahaan, lembaga, keluarga). Informasi ini mungkin berasal dari jaringan sosial, halaman perusahaan, kebocoran data lama, forum, berita, atau bahkan mengamati perilaku di tempat umum dan lingkungan digital.

Dengan informasi tersebut, mereka merancang dalih: mereka memilih peran apa yang akan mereka mainkan (teknisi pendukung, karyawan bank, pemasok, atasan, kolega, anggota keluarga yang sedang dalam kesulitan, dll.) dan jenis apa Ceritanya akan lebih meyakinkan. untuk orang tersebut dalam konteks tersebut. Kemudian mereka memilih saluran yang paling efektif: surat, telepon, SMS, pesan instan, media sosial, atau bahkan kunjungan langsung.

Kemudian tibalah fase kuncinya: infiltrasi dan eksploitasiPelaku memulai kontak dan membangun kepercayaan: mereka memberikan informasi yang telah mereka teliti, menyebutkan nama asli, menunjukkan pengetahuan tentang proses perusahaan, menggunakan logo dan bahasa perusahaan, atau meniru nada bicara seseorang yang akrab dengan perusahaan tersebut. Ketika mereka merasa korban merasa nyaman, khawatir, atau terburu-buru, mereka mengajukan permintaan: kredensial, kode, pembayaran segera, pengunduhan file, tanda tangan dokumen, akses fisik ke area tertentu, dan lain sebagainya.

Akhirnya, ketika dia telah mencapai apa yang dia cari, fase selanjutnya adalah... penghentianPelaku mengakhiri percakapan atau menghilang begitu saja, terkadang membuat korban percaya bahwa semuanya sah. Di lain waktu, mereka mempertahankan kontak selama berminggu-minggu atau berbulan-bulan untuk terus mengekstrak informasi sedikit demi sedikit (yang dikenal sebagai “pertanian"data").

Saluran umum yang digunakan oleh penjahat siber

Serangan rekayasa sosial dapat terjadi melalui hampir semua media yang melibatkan komunikasi manusia. Target yang paling sering adalah media yang kita gunakan sehari-hari, sehingga penipuan tersebut menjadi kurang terlihat karena... Ia menyamar di antara pesan-pesan yang sah..

Beberapa saluran yang paling umum digunakan adalah:

• Panggilan telepon (vishing): penyerang menelepon dengan berpura-pura sebagai bank, perusahaan jasa, dukungan teknis, Badan Pajak, atau anggota keluarga.
• Kunjungan ke tempat yang hadirSeseorang datang ke rumah atau kantor Anda sebagai teknisi, petugas pengiriman, pemasok, atau karyawan baru dan meminta akses ke area atau peralatan tertentu.
• Aplikasi pesan instanWhatsApp, Telegram, Signal, atau lainnya, tempat tautan, kode, atau permintaan uang dikirimkan.
• Email: Phishing klasik, dengan pesan yang tampak berasal dari perusahaan, administrasi, platform e-commerce, atau kontak sungguhan.
• jejaring sosial: profil palsu atau akun curian yang digunakan untuk melancarkan penipuan, meminta data, atau menyebarkan konten berbahaya.

Salurannya tidak penting: yang penting adalah penjahat itu mendapatkan satu kesempatan. interaksi langsung dengan korban dan membujuknya untuk bertindak impulsif, tanpa terlebih dahulu memeriksa dengan tenang apakah situasinya nyata.

Metode dan taktik psikologis yang paling umum

Kunci keberhasilan rekayasa sosial tidak hanya terletak pada teknologinya, tetapi juga pada... teknik persuasi dan tekanan emosional yang mencegah korban berpikir jernih. Sebagian besar serangan menggabungkan beberapa elemen ini.

Beberapa metode yang paling umum digunakan antara lain:

• Berpura-pura menjadi seseorang yang dekatAnggota keluarga, teman, rekan kerja, atau atasan. Terkadang mereka menggunakan akun curian atau informasi asli agar terdengar kredibel.
• Penawaran dan hadiah menarik: undian, promosi eksklusif, bonus, pengembalian pajak, atau hadiah "terbatas" sebagai imbalan atas pengisian formulir atau pengiriman data.
• Menyamar sebagai teknisi atau administrator sistemMereka memperkenalkan diri sebagai staf pendukung yang membutuhkan kata sandi, kode, atau akses jarak jauh Anda untuk "memperbaiki masalah."
• Formulir palsuSurvei, yang konon merupakan pembaruan data bank, perusahaan, atau jaminan sosial, padahal kenyataannya mengumpulkan informasi sensitif.
• Pembaruan perangkat lunak palsuSitus web yang menyarankan untuk mengunduh versi baru dari peramban, pemutar video, atau aplikasi terkenal, padahal sebenarnya mereka menyuruh Anda menginstal malware.

Taktik-taktik ini dilengkapi dengan penggunaan intensif dari emosi yang kuatRasa takut kehilangan uang, desakan untuk menyelesaikan masalah, kegembiraan memenangkan hadiah, atau rasa ingin tahu tentang konten yang menarik perhatian adalah alat dasar yang digunakan oleh penyerang untuk melumpuhkan pemikiran kritis.

Jenis-jenis utama serangan rekayasa sosial

Ada banyak bentuk rekayasa sosial, banyak di antaranya merupakan gabungan dari berbagai hal. Memahaminya membantu Anda mengenali pola dan curiga ketika sesuatu "tercium mencurigakan."

Penipuan EmailPelaku kejahatan mengirimkan email yang meniru tampilan bank, platform belanja, lembaga pemerintah, atau perusahaan terkenal. Email tersebut meminta Anda untuk mengklik tautan, mengunduh file, atau mengkonfirmasi informasi sensitif seperti kata sandi, nomor kartu kredit, detail pekerjaan, atau informasi kesehatan. Tautan tersebut mengarah ke situs web palsu atau mengunduh perangkat lunak berbahaya (malware).

Smishing (phishing melalui SMS atau pesan instan)Pesan-pesan tersebut datang melalui SMS atau aplikasi seperti WhatsApp. Biasanya singkat dan langsung, dengan nada yang mengkhawatirkan atau promosi, dan menyertakan tautan yang dipersingkat. Contoh tipikal: SMS dari perusahaan pengiriman paket yang meminta Anda membayar beberapa sen biaya untuk melepaskan kiriman yang seharusnya dikirim.

Vishing (penipuan suara)Serangan melalui panggilan telepon. Penyerang menyamar sebagai petugas bank, polisi, instansi pemerintah, dukungan teknis, atau anggota keluarga yang memiliki masalah mendesak. Mereka meminta kode, informasi pribadi, kunci akses, atau meminta Anda untuk menginstal aplikasi.

Tombak phishingIni adalah varian phishing yang sangat tertarget. Pelaku menyelidiki korban secara menyeluruh (misalnya, seorang eksekutif atau seseorang yang memiliki akses ke informasi sensitif di dalam perusahaan) dan menyiapkan pesan yang sangat kredibel dan personal untuk mencuri data atau mendorong pembayaran palsu.

Pencurian email atau akun media sosialSetelah mendapatkan kata sandi untuk akun email atau media sosial, penyerang menggunakan akun asli tersebut untuk menipu semua kontakMereka meminta uang, mengirimkan tautan berbahaya, atau meminta data dengan menyamar sebagai orang yang terpercaya.

Perangkat berbahayaUSB drive atau perangkat lain sering ditinggalkan di tempat umum atau kantor sehingga seseorang dapat menghubungkannya ke komputer mereka karena penasaran. Hal ini dapat menjalankan malware yang mencuri informasi atau membuka celah keamanan (backdoor) ke jaringan internal.

Kontes dan hadiah palsuEmail, pesan, atau situs web yang memberi tahu Anda bahwa Anda telah memenangkan hadiah atau dapat memperoleh manfaat luar biasa dengan mengisi formulir atau membayar sejumlah kecil uang. Tujuannya adalah mengekstrak data sebanyak mungkin pribadi dan perbankan.

Sustainability: serangan yang berlangsung dalam jangka waktu lama di mana pelaku membangun hubungan dengan korban (misalnya, dengan berpura-pura menjadi tenaga penjual, kontak profesional, atau orang yang menawarkan bantuan) dan, melalui berbagai interaksi, mengumpulkan informasi yang semakin sensitif.

Scareware atau perangkat lunak yang mengintimidasiJendela pop-up atau email muncul yang mengklaim perangkat Anda terinfeksi atau akun Anda telah diretas. Mereka mendesak Anda untuk mengunduh antivirus yang konon ampuh atau memasukkan kredensial Anda untuk "mendapatkan kembali akses," padahal sebenarnya mereka menginfeksi perangkat Anda atau mencuri data Anda.

Rekayasa sosial di dunia fisik

Rekayasa sosial tidak terbatas pada layar dan email. Banyak serangan terjadi di tempat lain. secara langsung, di kantor, portal komunitas, atau ruang publik.Teknologi hanyalah satu bagian; bagian lainnya adalah perilaku manusia sehari-hari.

Kasus yang umum adalah serangan akses fisikSeseorang memperkenalkan diri sebagai teknisi TI, auditor, pekerja pemeliharaan, pengantar barang, atau bahkan karyawan baru. Sekalipun ceritanya samar, mereka mengandalkan kesopanan sosial dan rasa urgensi untuk menghindari dimintai identitas. Setelah masuk, mereka dapat menghubungkan perangkat, menyalin informasi, atau bergerak di area yang seharusnya dibatasi.

Berkaitan dengan hal ini adalah mengekor atau “akses menumpang”: penyerang masuk di belakang karyawan, memanfaatkan fakta bahwa karyawan tersebut membuka pintu dengan kartu mereka. Mereka biasanya membawa kotak, laptop, atau barang apa pun yang membuat tangan mereka tampak penuh sehingga mereka tidak perlu menunjukkan identitas diri.

Metode ampuh lainnya adalah serangan timbal balik (quid pro quo)Mereka menawarkan sesuatu sebagai imbalan atas data Anda. Misalnya, teknisi palsu yang berjanji akan menyelesaikan masalah koneksi secara gratis jika Anda memberikan kata sandi Anda, atau perusahaan riset pasar yang memberikan voucher belanja kepada mereka yang menyelesaikan survei yang sangat invasif tentang data pribadi.

Kasus-kasus kreatif juga telah terlihat, seperti Phishing faks (email yang meminta Anda untuk mencetak formulir dan mengirimkannya melalui faks beserta kode akses) atau penyebaran CD yang terinfeksi melalui pos, dengan memanfaatkan data yang dicuri dari basis data pelanggan bank atau perusahaan terkenal.

Peran kecerdasan buatan dalam rekayasa sosial

Kecerdasan buatan telah membawa penipuan ini ke tingkat yang baru. tingkat kecanggihan yang jauh lebih tinggiKita tidak lagi berbicara tentang email yang ditulis dengan buruk dan panggilan yang canggung: sekarang penyerang dapat mengotomatiskan dan menyempurnakan penipuan hingga hampir tidak dapat dibedakan dari komunikasi yang sah.

Di satu sisi, AI memungkinkan kita untuk menciptakan phishing yang sangat personalDengan menganalisis media sosial, forum, dan sumber publik lainnya, algoritma dapat mengidentifikasi minat, kontak, jabatan, rutinitas, atau kejadian terkini korban. Informasi ini kemudian digunakan untuk menghasilkan email atau pesan yang disesuaikan dengan nada dan isi yang sangat sesuai dengan situasi sebenarnya.

Perkembangan mengkhawatirkan lainnya adalah... deepfakesVideo, audio, atau gambar dimanipulasi menggunakan AI agar tampak nyata. Saat ini dimungkinkan untuk menciptakan kembali suara seorang eksekutif, anggota keluarga, atau manajer bank dari rekaman publik atau rekaman curian, dan menggunakannya untuk memberi perintah melalui telepon atau mengirim pesan suara "otentik" yang meminta transfer, kode, atau data sensitif.

Mereka juga muncul chatbot berbahaya Mampu mempertahankan percakapan yang lancar dan meyakinkan, bot ini dapat diintegrasikan ke dalam situs web dukungan palsu, profil media sosial palsu, atau saluran pesan. Mereka menjawab pertanyaan, menyesuaikan gaya bicara mereka, dan membimbing korban untuk mendapatkan informasi atau tindakan yang diinginkan.

Yang lebih parah lagi, para penyerang menggunakan algoritma pembelajaran mesin untuk mempelajari cara kerja sistem deteksi penipuan dan pertahanan perusahaan. Dari upaya yang diblokir, mereka belajar untuk memodifikasi taktik, waktu, teks, dan pola perilaku mereka agar lebih mudah menghindari filter dan tidak terdeteksi.

Rekayasa sosial dan malware: kombinasi yang berbahaya.

Banyak serangan paling merusak menggabungkan rekayasa sosial dengan distribusi malwareTipuan awal dirancang untuk membuat korban mengunduh, menjalankan, atau membuka file yang terinfeksi, atau mengklik tautan yang mengarah ke situs web yang telah disusupi.

Secara historis, worm dan virus telah menyebar secara besar-besaran dengan memanfaatkan rasa ingin tahu, romantisme, atau ketakutan pengguna. Contoh klasiknya adalah... Cacing Surat CintaPada tahun 2000, worm ini merusak server email di seluruh dunia dengan email yang berisi lampiran berupa surat cinta palsu. Setelah dibuka, worm tersebut secara otomatis meneruskan dirinya sendiri ke semua kontak di buku alamat.

Kasus terkenal lainnya adalah Mydoom, yang menyamar sebagai pesan teknis dari server email, atau peduliVirus itu datang menyamar sebagai patch keamanan Microsoft. Banyak orang, yang percaya itu adalah pembaruan penting, menjalankan file tersebut dan terinfeksi.

Saluran distribusi tautan berbahaya sangat beragam: email, pesan instan, ruang obrolan, SMS, jaringan P2P di mana penyerang memberi nama file dengan judul yang sangat menarik (misalnya "pembuat kunci", "crack game" atau konten dewasa) sehingga pengguna akan mengunduhnya.

Dalam beberapa serangan, para pelaku bahkan bermain-main dengan rasa malu korban Jadi mereka tidak akan melaporkannya. Mereka menawarkan alat untuk mengakses layanan berbayar secara gratis, generator kartu kredit, atau metode untuk meningkatkan saldo akun online. Ketika pengguna menjalankan "trik" yang dimaksud dan terinfeksi Trojan, mereka cenderung tidak akan memberi tahu perusahaan atau pihak berwenang karena takut mengakui bahwa mereka mencari sesuatu yang ilegal.

Semua ini menunjukkan sejauh mana rekayasa sosial merupakan titik masuk ideal untuk malwareTanpa solusi keamanan yang andal pada komputer dan perangkat seluler, dan tanpa kebiasaan yang bijaksana, kemungkinan infeksi akan meningkat drastis.

Tanda-tanda untuk mendeteksi kemungkinan serangan

Pertahanan terbaik adalah belajar untuk mendeteksi sinyal alarm Sebelum Anda bereaksi. Penyerang mengharapkan Anda untuk merespons secara otomatis, jadi hal paling efektif yang dapat Anda lakukan adalah berhenti sejenak dan dengan tenang menilai situasi.

Beberapa pertanyaan bermanfaat yang dapat Anda ajukan kepada diri sendiri adalah:

• Apakah saya sedang mengalami emosi yang sangat intens? Jika Anda merasa takut, sangat gugup, euforia, atau terburu-buru, Anda lebih cenderung melakukan kesalahan. Kondisi itu sendiri merupakan tanda bahwa seseorang mungkin mencoba memanipulasi Anda.
• Apakah pengirimnya benar-benar orang yang mereka klaim? Periksalah alamat email, nomor telepon, dan profil dengan cermat. Terkadang mereka mengubah satu huruf dalam domain atau menduplikasi foto dan nama kontak yang sebenarnya.
• Bisakah orang ini membuktikan identitasnya? Jika itu berupa panggilan telepon atau kunjungan, mintalah mereka untuk memperkenalkan diri dan verifikasi melalui saluran lain (misalnya, dengan menghubungi nomor resmi entitas tersebut, bukan nomor yang mereka berikan kepada Anda).
• Apakah situs web tersebut memiliki fitur-fitur aneh? URL yang aneh, kesalahan ejaan, logo lama atau salah tempat, kesalahan desain… semua ini dapat mengindikasikan bahwa halaman tersebut adalah salinan palsu.
• Apakah tawaran itu terdengar terlalu bagus untuk menjadi kenyataan? Jika sesuatu tampak seperti penawaran yang sangat menguntungkan, biasanya ada jebakan di baliknya. Pikirkan apa yang sebenarnya didapatkan pihak lain dengan memberikan sesuatu yang bernilai seperti itu kepada Anda.
• Apakah tautan atau lampiran tersebut memiliki nama yang mencurigakan? Nama yang samar, aneh, atau tidak relevan sudah cukup menjadi alasan untuk tidak membukanya atau mengkliknya.

Seiring waktu, semacam "radar" akan berkembang, dan akan aktif ketika ada sesuatu yang tampak tidak beres. Naluri ini, yang didukung oleh pelatihan keamanan siber dasar, adalah salah satu hal yang penting. penghalang yang lebih efektif terhadap rekayasa sosial.

Cara melindungi diri dari rekayasa sosial dalam kehidupan sehari-hari

Tidak ada alat ajaib yang dapat memblokir semua serangan rekayasa sosial, karena tautan yang dieksploitasi adalah Anda, bukan sistemnya. Perlindungan melibatkan kombinasi praktik yang baik, akal sehat, dan langkah-langkah teknis tertentu yang meminimalkan dampak jika terjadi kesalahan.

Pada tingkat pribadi, sangat penting untuk mengikuti beberapa kebiasaan dasar:

• Jangan bagikan informasi pribadi dengan orang asing. Melalui telepon, email, pesan singkat, atau media sosial. Tidak ada bank atau lembaga pemerintah terkemuka yang akan meminta kata sandi atau PIN Anda melalui saluran tersebut.
• Konfigurasikan pengaturan privasi jaringan Anda dengan benar. Agar tidak semua orang dapat melihat tanggal lahir, alamat, tempat kerja, atau informasi keluarga Anda. Informasi tersebut kemudian digunakan untuk mempersonalisasi penipuan.
• Pelajari tentang jenis-jenis ancaman ini.Kampanye kesadaran, sumber daya resmi, dan pelatihan membantu mengenali pola-pola tersebut.
• Gunakan kata sandi yang kuat dan unik. untuk setiap layanan, dan andalkan pengelola kata sandi untuk menghindari kepanikan.
• Aktifkan otentikasi dua langkah (2FA) Sebisa mungkin. Bahkan jika seseorang mendapatkan kata sandi Anda, mereka tetap memerlukan faktor otentikasi kedua.

Sebaiknya Anda juga sangat selektif tentang apa yang Anda unggah: nama panggilan, sekolah, mobil pertama, atau kota tempat Anda lahir sering digunakan sebagai... pertanyaan keamanan atau bagian dari kata sandiJadi sebaiknya jawaban tersebut tidak terlihat oleh sembarang orang, atau bahkan jika Anda menggunakan jawaban palsu yang mudah diingat hanya untuk diri sendiri.

Praktik terbaik dalam jaringan, perangkat, dan akun.

Selain perilaku Anda, cara Anda mengkonfigurasi jaringan dan perangkat Anda juga berpengaruh. Ada beberapa langkah sederhana yang dapat Anda ambil untuk memperkuat perlindungan Anda terhadap serangan rekayasa sosial.

Sebagai jaringan yang Anda gunakan:

• Jangan biarkan sembarang orang terhubung ke Wi-Fi utama Anda; buat jaringan tamu untuk pengunjung.
• Gunakan satu VPN pada koneksi publik atau bersama untuk mengenkripsi lalu lintas Anda dan mempersulit penyadapan.
• Lindungi semua perangkat yang terhubung: router, sistem multimedia mobil, kamera, otomatisasi rumah, layanan cloud… Kerentanan apa pun di dalamnya dapat digunakan untuk mengumpulkan informasi tentang Anda.

Mengenai perangkat-perangkat tersebut:

• Instal a perangkat lunak keamanan komprehensif mampu mendeteksi malware, memblokir phishing, dan perilaku mencurigakan.
• Jangan tinggalkan perangkat Anda dalam keadaan tidak terkunci atau tanpa pengawasan di tempat umum atau di kantor.
• Pertahankan sistem operasi dan aplikasi diperbarui ke versi terbaruBanyak pembaruan memperbaiki kerentanan yang coba dieksploitasi oleh penyerang.
• Periksa secara berkala apakah email Anda muncul dalam kebocoran data yang diketahui dan ubah kata sandi jika perlu.

Di tingkat bisnis, semua ini diperkuat oleh kebijakan keamanan yang jelas, pelatihan karyawan berkelanjutan, dan latihan simulasi serangan phishing yang membantu melatih deteksi upaya penipuan tanpa risiko nyata.

Rekayasa sosial tidak memerlukan teknik canggih untuk berhasil; cukup dengan seseorang, pada hari yang buruk, Saya membalas pesan tanpa berpikir panjang.Namun, semakin kita menyadari risiko-risiko ini, semakin sulit bagi para penjahat siber dan semakin kecil peluang mereka untuk mengubah email atau panggilan sederhana menjadi masalah keamanan yang serius.