Mengenal Social Engineering, Metode Non-Teknis para Peretas
Apabila ada seseorang yang berhasil masuk ke dalam gedung kantor dengan cara membunyikan alarm kebakaran, menciptakan kekacauan, kemudian ia memanfaatkan waktu tersebut untuk mengambil data-data rahasia perusahaan tersebut dengan menggunakan flashdisk. Menurut kamu, jenis serangan apakah itu?
Hal-hal yang melibatkan serangan siber, tidak selalu berasal dari internet dan tidak selalu teknis. Social engineering adalah jenis serangan yang berbeda dari yang lain, karena serangan ini bukan mengeksploitasi sistem, melainkan manusianya. Berdasarkan statistik dari purplesec (https://purplesec.us/resources/cyber-security-statistics/), 98% serangan siber bergantung kepada social engineering dan 43% karyawan IT pernah menjadi target dari social engineering pada tahun lalu.
Siapakah target dari serangan ini?
Tentu saja adalah kamu, rekan-rekan kerjamu, dan bos kamu. Semua orang dapat dieksploitasi dengan menggunakan serangan ini.
Namun, jika bertanya siapakah orang-orang yang menggunakan social engineering beserta alasannya. Jawabannya bahkan tidak selalu berada di dalam dunia siber, kita bisa mulai dari melihat disekitar kita. Seorang sales biasa menggunakan social engineering untuk meningkatkan penjualan, pebisnis menggunakan social engineering untuk memperlebar jaringan bisnisnya, terkadang diri pribadi pun secara tidak sadar juga menggunakan social engineering untuk mencapai tujuan-tujuan tertentu, misalkan membuat alasan-alasan palsu untuk datang terlambat, sehingga bos bisa memakluminya.
Dalam konteks cyber security, dampak dari social engineering bisa berbahaya, mendapatkan data karyawan, masuk ke lokasi-lokasi terlarang, dan bahkan mengambil alih akun orang lain. Contohnya cracker yang melakukan impersonasi menjadi bosmu kemudian meminta kamu untuk mengunggah KTP beserta data-data pribadi kamu.
Ada beberapa prinsip yang menyebabkan efektifnya jenis serangan ini.
Familiarity/Liking (Keakraban/Disukai)
Seseorang cenderung menyukai orang lain yang berkarisma, ramah, dan senang membantu. Walaupun baru saja kenal, seseorang dapat dengan mudah mendapatkan respon yang ia inginkan dari orang lain. Misalkan ketika ingin menanyakan kontak pemilik rumah kepada satpam, peretas dapat mengaku sebagai tetangga dan bersifat ramah.
Prinsip serangan ini memiliki resiko kecil karena target cenderung tidak curiga. Meskipun terjadi penolakan, peretas tersebut bisa berganti target untuk mendapatkan respon yang diinginkan.
Consensus/Social Proof (Konsensus dan Bukti Sosial)
Prinsip ini mengkesploitasi sifat dasar manusia, yang bahkan tanpa perlu ada permintaan secara langsung. Salah satunya adalah insting untuk membantu. Contohnya apabila terdapat satpam yang membukakan pintu kantor kepada orang yang membawa banyak tumpukan kardus di tangannya supaya bisa masuk ke ruang kantor. Ternyata orang tersebut adalah peretas yang ingin mendapatkan akses ke komputer-komputer pekerja secara langsung.
Contoh lainnya adalah insting manusia untuk percaya kepada orang lain. Misalkan seorang penipu membuat akun instagram palsu dari sebuah toko dan menampilkan banyak review positif. Tingkat kepercayaan terhadap toko tersebut beserta review palsu yang ditampilkan dapat membantu penipu dalam mendapatkan konsumen.
Authority and Intimidation (Otoritas dan Intimidasi)
Seseorang pasti merasa kesulitan untuk menolak permintaan dari atasan. Contohnya adalah peretas yang berpura-pura menjadi atasan dan meminta dokumen seluruh karyawan di kantor melalui pesan email atau menelpon ke seorang pegawai kantor tersebut. Kejadian lainnya yang sering terjadi adalah ketika seorang penipu mengaku sebagai polisi untuk memeras targetnya.
Teknik ini sangat berisiko bagi yang melakukannya, karena melibatkan impersonasi. Pelakunya bisa saja dilaporkan.
Scarcity and Urgency (Langka dan Mendesak)
Teknik ini sering sekali dijumpai ketika seorang sales menawarkan promo singkat atau barang-barang limited edition dan si pembeli harus menyelesaikan pembayarannya hari ini.
Tujuan dari prinsip scarcity and urgency adalah memberikan tekanan agar seseorang segera bertindak. Prinsip ini dapat mengganggu proses pengambilan keputusan seseorang, sehingga lebih mementingkan bertindak cepat daripada realistis dan terarah. Pernahkah kamu termakan iklan lalu merasa menyesal setelah membeli barang?
Dalam konteks cyber security, seorang penipu bisa menggunakan teknik ini untuk mendapatkan username dan password seseorang. Misalkan seorang anak SMA mendapat diskon 98% produk PS5 melalui email, dengan syarat klaim diskon harus dilakukan maksimal 2 jam. Ketika link diskon diikuti, ternyata orang tersebut diminta memasukkan username dan password instagramnya.
Sebagai penutup, awareness atau pengetahuan masyarakat terhadap social engineering ini sangat penting. Ada maksud baik dibalik penyelenggaraan kampanye-kampaye cyber security awareness . Selalu waspada, dan jangan remehkan teknik-teknik social engineering beserta dampaknya.
