Mengenal Serangan Rekayasa Sosial (Social Engineering)
Saat ini internet sudah menjadi bagian dari kehidupan sehari hari dan juga sudah menjadi kebutuhan primer bagi masyarakat pada umumnya. Internet hampir digunakan dalam segala hal baik untuk perkantoran, usaha, pendidikan dan juga bersosial di jagat maya. Jaringan Komputer yang tiada batas ini yang menjadi penghubung pengguna komputer satu dengan pengguna komputer lainnya serta dapat berhubungan dengan komputer di sebuah wilayah ke wilayah di penjuru dunia.
Melalui perangkat gadget seperti smartphone, laptop, tablet yang terhubung ke dunia internet sehingga dapat dengan mudah mengakses informasi berita, akses media sosial, melakukan transaksi perbankan, transaksi ecommerce dan juga kemudahan dalam melakukan transaksi elektronik lainnya. Milyaran orang dapat terhubung satu sama lain yang terhubung ke seluruh dunia dapat berkomunikasi dengan siapa saja termasuk penjahat.
Ini bagaikan mata rantai yang kekuatannya tergantung kepada mata rantai yang paling lemah. Karena semuanya terhubung maka kekuatan internet bergantung pada yang paling lemah, yaitu dari sisi manusia. Manusia sebagai pengguna sistem menggunakan komputer/gadget, jika manusia dapat menipu manusia maka tidak ada artinya kekuatan dari software maupun hardware. Salah satu bentuk modus kejahatan dunia digital saat ini adalah dengan social engineering.
Social engineering atau dikenal dengan rakayasa sosial merupakan bentuk kejahatan yang dilakukan dengan mengeksploitasi psikologi manusia. Makna luasnya adalah menggunakan pendekatan sosial atau kemanusiaan untuk mencapai tujuan tertentu. Dalam kejahatan digital, teknik rekayasa sosial dipakai penjahat untuk menipu korban.
Banyak ditemuin akun media sosial diambil alih orang lain seperti akun facebook, instagram, whatsapp, telegram dan lain sebagainya. Aplikasi yang tadinya dapat diakses dan dapat digunakan saat ini tidak dapat diakses lagi. Username dan password yang dimasukkan sudah tidak sesuai lagi, hal ini terjadi karena akses akun telah beralih kepada orang lain. Untuk dapat meretas atau mencuri informasi, dengan teknik social enginering tidak diperlukan keahlian coding atau keahlian yang tinggi dalam bidang komputer. Berbagai teknik yang digunakan untuk mendapatkan informasi yang nanti dipakai untuk bypass sistem, dengan cara mengekploitasi kelemahan manusia. Dengan cara menipu manusia untuk mencuri informasi penting atau niat jahat dari cyber attacker yang mengambil secara ilegal mengambil informasi asset dengan cara memanfaatkan hubungan sosial dengan orang lain.
Penyerang akan memanfaatkan elemen terlemah yaitu sisi manusianya dalam kontek bersosialisasi dengan manusia lain. Kekuatan dan kelemahan manusia dilihat dari pemanfaatan IT dikarenakan beberapa faktor seperti mereka tidak aware terhadap keamanan, terlalu percaya pada orang lain atau tidak mau berhubungan dengan hal bersifat teknis. Beberapa contoh social enginering Social enginering biasanya dimulai dengan penawaran bantuan. Bantuan tersebut misalnya menawarkan jasa layanan untuk instalasi atau aplikasi di perangkat handphone atau juga laptop. Karena ketidak tahuan korban, biasanya akan merasa senang dengan pemberian bantuan tersebut “saya lihat ini masih versi lama, saya bantu upgrade ya bu, ini kata sandi nya apa bu ?”. Karena sudah percaya, maka tanpa sadar atau dengan sadar memberikan informasi yang penting tersebut ke orang lain. Faktor kepercayaan inilah yang menjadi kelemahan, korban baik disadarin ataupun tidak disadarin telah memberikan suatu data yang sangat penting kepada pelaku.
Modus kejahatan rekayasa sosial ini adalah mengelabui korban dengan mengirimkan link, melalui whatsapp, email, atau sms yang berisi aplikasi program berbahaya (malware). Link tersebut apabila diklik akan mengarahkan korban ke website palsu yang dikembangkan mereka dan memancing korban untuk memberikan informasi pribadi Yang lebih berbahaya adalah ketika link yang diberikan tersebut di eksekusi dengan cara mengklik link yang diberikan. Pada saat itu aplikasi program berbahaya tersebut terinstal di perangkat korban.
Semenjak itu itu seluruh aktifitas yang ada perangkat tersebut dapat diketahui oleh penjahat tersebut. Social Enginering juga sering sekali dilakukan melalui panggilan telepon dan berpura pura menjadi pihak tertentu yang menawarkan bantuan, hadiah atau hal lainnya. Tujuan dengan panggilan telepon ini untuk mengelabui korban sehingga sukarela memberikan informasi data pribadi misalnya kode otp atau nama ibu kandung dan sebagainya. Tindakan yang berpura pura mengatasnamakan pihak tertentu ini sering sekali tidak disadarin oleh target calon korban. Seorang ibu ingin mentransfer uang ke anaknya melalui fasilitas ATM. Namun ia bingung, karena ketidaktahuan dalam penggunaan mesin ATM. Momen itu dilihat oleh petugas atau pelaku yang berpura pura menawarkan bantuan ke si ibu. Ketika memasukkan pin, si ibu bisa saja sebutin pin nya atau aktifiitas memasukkan pin tersebut dapat dilihat oleh pelaku. Alhasil si ibu mengetahui beberapa hari ternyata rekeningnya sudah tidak bersisa lagi. Contoh lain ketika pelanggan konsumen dalam mengakses wifi.
Pada saat akses wifi terjadi kesalahan (error) walaupun sudah memasukkan username dan password yang benar namun tidak juga berhasil. Yang dilakukan oleh konsumen tersebut adalah memanggil petugas terkait permasalahan eror ini. Perangkat gadget biasanya diberikan kepetugas untuk dilakukan pengaturan sehingga dapat kembali akses internet. Pada saat perangkat di pegang oleh pelaku, dengan sengaja memasukkan aplikasi malware sehingga perangkat tersebut dapat dikendalikan oleh sang pelayan tadi. Error tersebut hanya kamuflase agar konsumen meminta bantuan ke petugas sehingga perangkatnya dapat terkoneksi ke internet. Contoh lain, pada saat melakukan transaksi pembayaran menggunakan kartu kredit di swalayan atau kafe kafe.
Kasir bisa saja memfoto nomor kartu secara bolak balik dan menyalah gunakan kartu tersebut. Pencegahan Social Engineering Upaya agar terhindar dari serangan sosial engineering membutuhkan kewaspadaan dan adanya minset bahwa sistem yang kita operasikan berada pada kondisi rawan dan dipenuhi ancaman keamanan informasi. Oleh karenanya perlu adanya kesadaran pentingnya keamanan dan perlu menyadari bahwa rekayasa sosial dan teknik teknik yang mereka gunakan. Beberapa upaya dalam melindungin penipuan berbasis social engineering diantaranya: - Tidak melakukan klik pada link yang tidak dikenal atau mencurigakan - Hindari percakapan orang yang tidak dikenal - Hindari download aplikasi atau dokumen yang tidak dikenal. - Tidak memberikan informasi rahasia seperti password, pin, kode otp kepada siapapun. - Batasi penggunaan wifi publik seperti dikafe, bandara, atau tempat tempat umum terutama pada saat transaksi elektronik. - Lakukan perubahan password atau pin secara berkala dan jangan disamakan password atau pin untuk semua kartu atau layanan yang digunakan.
Variasi social engineering terlalu banyak dari waktu ke waktu sehingga tidak diketahui apa jenisnya. Hal ini menjadi sulit karena semua hal yang terkait dengan manusia, bisa dimanfaatkan sebagai social engineering. Sosial engineering susah untuk dilawan karena yang diserang adalah manusia. Untuk dapat menghindarinya adalah dengan mengetahui polanya, menjadi lebih waspada dan memahami bagaimana cara mitigasinya.
Oleh: Akhyar Lubis, S.Kom, M.Kom
Melalui perangkat gadget seperti smartphone, laptop, tablet yang terhubung ke dunia internet sehingga dapat dengan mudah mengakses informasi berita, akses media sosial, melakukan transaksi perbankan, transaksi ecommerce dan juga kemudahan dalam melakukan transaksi elektronik lainnya. Milyaran orang dapat terhubung satu sama lain yang terhubung ke seluruh dunia dapat berkomunikasi dengan siapa saja termasuk penjahat.
Ini bagaikan mata rantai yang kekuatannya tergantung kepada mata rantai yang paling lemah. Karena semuanya terhubung maka kekuatan internet bergantung pada yang paling lemah, yaitu dari sisi manusia. Manusia sebagai pengguna sistem menggunakan komputer/gadget, jika manusia dapat menipu manusia maka tidak ada artinya kekuatan dari software maupun hardware. Salah satu bentuk modus kejahatan dunia digital saat ini adalah dengan social engineering.
Social engineering atau dikenal dengan rakayasa sosial merupakan bentuk kejahatan yang dilakukan dengan mengeksploitasi psikologi manusia. Makna luasnya adalah menggunakan pendekatan sosial atau kemanusiaan untuk mencapai tujuan tertentu. Dalam kejahatan digital, teknik rekayasa sosial dipakai penjahat untuk menipu korban.
Banyak ditemuin akun media sosial diambil alih orang lain seperti akun facebook, instagram, whatsapp, telegram dan lain sebagainya. Aplikasi yang tadinya dapat diakses dan dapat digunakan saat ini tidak dapat diakses lagi. Username dan password yang dimasukkan sudah tidak sesuai lagi, hal ini terjadi karena akses akun telah beralih kepada orang lain. Untuk dapat meretas atau mencuri informasi, dengan teknik social enginering tidak diperlukan keahlian coding atau keahlian yang tinggi dalam bidang komputer. Berbagai teknik yang digunakan untuk mendapatkan informasi yang nanti dipakai untuk bypass sistem, dengan cara mengekploitasi kelemahan manusia. Dengan cara menipu manusia untuk mencuri informasi penting atau niat jahat dari cyber attacker yang mengambil secara ilegal mengambil informasi asset dengan cara memanfaatkan hubungan sosial dengan orang lain.
Penyerang akan memanfaatkan elemen terlemah yaitu sisi manusianya dalam kontek bersosialisasi dengan manusia lain. Kekuatan dan kelemahan manusia dilihat dari pemanfaatan IT dikarenakan beberapa faktor seperti mereka tidak aware terhadap keamanan, terlalu percaya pada orang lain atau tidak mau berhubungan dengan hal bersifat teknis. Beberapa contoh social enginering Social enginering biasanya dimulai dengan penawaran bantuan. Bantuan tersebut misalnya menawarkan jasa layanan untuk instalasi atau aplikasi di perangkat handphone atau juga laptop. Karena ketidak tahuan korban, biasanya akan merasa senang dengan pemberian bantuan tersebut “saya lihat ini masih versi lama, saya bantu upgrade ya bu, ini kata sandi nya apa bu ?”. Karena sudah percaya, maka tanpa sadar atau dengan sadar memberikan informasi yang penting tersebut ke orang lain. Faktor kepercayaan inilah yang menjadi kelemahan, korban baik disadarin ataupun tidak disadarin telah memberikan suatu data yang sangat penting kepada pelaku.
Modus kejahatan rekayasa sosial ini adalah mengelabui korban dengan mengirimkan link, melalui whatsapp, email, atau sms yang berisi aplikasi program berbahaya (malware). Link tersebut apabila diklik akan mengarahkan korban ke website palsu yang dikembangkan mereka dan memancing korban untuk memberikan informasi pribadi Yang lebih berbahaya adalah ketika link yang diberikan tersebut di eksekusi dengan cara mengklik link yang diberikan. Pada saat itu aplikasi program berbahaya tersebut terinstal di perangkat korban.
Semenjak itu itu seluruh aktifitas yang ada perangkat tersebut dapat diketahui oleh penjahat tersebut. Social Enginering juga sering sekali dilakukan melalui panggilan telepon dan berpura pura menjadi pihak tertentu yang menawarkan bantuan, hadiah atau hal lainnya. Tujuan dengan panggilan telepon ini untuk mengelabui korban sehingga sukarela memberikan informasi data pribadi misalnya kode otp atau nama ibu kandung dan sebagainya. Tindakan yang berpura pura mengatasnamakan pihak tertentu ini sering sekali tidak disadarin oleh target calon korban. Seorang ibu ingin mentransfer uang ke anaknya melalui fasilitas ATM. Namun ia bingung, karena ketidaktahuan dalam penggunaan mesin ATM. Momen itu dilihat oleh petugas atau pelaku yang berpura pura menawarkan bantuan ke si ibu. Ketika memasukkan pin, si ibu bisa saja sebutin pin nya atau aktifiitas memasukkan pin tersebut dapat dilihat oleh pelaku. Alhasil si ibu mengetahui beberapa hari ternyata rekeningnya sudah tidak bersisa lagi. Contoh lain ketika pelanggan konsumen dalam mengakses wifi.
Pada saat akses wifi terjadi kesalahan (error) walaupun sudah memasukkan username dan password yang benar namun tidak juga berhasil. Yang dilakukan oleh konsumen tersebut adalah memanggil petugas terkait permasalahan eror ini. Perangkat gadget biasanya diberikan kepetugas untuk dilakukan pengaturan sehingga dapat kembali akses internet. Pada saat perangkat di pegang oleh pelaku, dengan sengaja memasukkan aplikasi malware sehingga perangkat tersebut dapat dikendalikan oleh sang pelayan tadi. Error tersebut hanya kamuflase agar konsumen meminta bantuan ke petugas sehingga perangkatnya dapat terkoneksi ke internet. Contoh lain, pada saat melakukan transaksi pembayaran menggunakan kartu kredit di swalayan atau kafe kafe.
Kasir bisa saja memfoto nomor kartu secara bolak balik dan menyalah gunakan kartu tersebut. Pencegahan Social Engineering Upaya agar terhindar dari serangan sosial engineering membutuhkan kewaspadaan dan adanya minset bahwa sistem yang kita operasikan berada pada kondisi rawan dan dipenuhi ancaman keamanan informasi. Oleh karenanya perlu adanya kesadaran pentingnya keamanan dan perlu menyadari bahwa rekayasa sosial dan teknik teknik yang mereka gunakan. Beberapa upaya dalam melindungin penipuan berbasis social engineering diantaranya: - Tidak melakukan klik pada link yang tidak dikenal atau mencurigakan - Hindari percakapan orang yang tidak dikenal - Hindari download aplikasi atau dokumen yang tidak dikenal. - Tidak memberikan informasi rahasia seperti password, pin, kode otp kepada siapapun. - Batasi penggunaan wifi publik seperti dikafe, bandara, atau tempat tempat umum terutama pada saat transaksi elektronik. - Lakukan perubahan password atau pin secara berkala dan jangan disamakan password atau pin untuk semua kartu atau layanan yang digunakan.
Variasi social engineering terlalu banyak dari waktu ke waktu sehingga tidak diketahui apa jenisnya. Hal ini menjadi sulit karena semua hal yang terkait dengan manusia, bisa dimanfaatkan sebagai social engineering. Sosial engineering susah untuk dilawan karena yang diserang adalah manusia. Untuk dapat menghindarinya adalah dengan mengetahui polanya, menjadi lebih waspada dan memahami bagaimana cara mitigasinya.
Oleh: Akhyar Lubis, S.Kom, M.Kom