Mengenal Social Engineering

Di era digital saat ini, keamanan informasi tidak hanya bergantung pada perangkat keras atau sistem yang canggih, tetapi juga pada kesadaran penggunanya. Salah satu bentuk ancaman yang sering luput dari perhatian adalah social engineering, yaitu teknik manipulasi psikologis yang digunakan untuk menipu seseorang agar tanpa sadar membocorkan informasi penting. 

Dalam konteks sistem informasi, serangan semacam ini sangat berbahaya karena tidak menyerang sistem secara langsung, melainkan mengeksploitasi kelemahan perilaku manusia. Meskipun perusahaan telah menerapkan kontrol keamanan seperti autentikasi ganda atau enkripsi data, jika pengguna tidak waspada terhadap upaya penipuan, maka sistem tetap rentan. Oleh karena itu, memahami bagaimana social engineering bekerja dan bagaimana sistem informasi dapat dirancang untuk meminimalkan risikonya merupakan langkah penting, terutama bagi generasi digital yang akan menjadi bagian dari dunia profesional ke depan. 

Social engineering adalah seni memanipulasi, memengaruhi, atau menipu seseorang untuk secara sadar maupun tidak sadar membocorkan informasi sensitif, seperti data pribadi, akses krendensial, atau informasi keuangan. Informasi tersebut kemudian dimanfaatkan oleh pelaku untuk memperoleh kendali atas sistem komputer atau melakukan tindakan jahat lainnya. Yang biasa menjadi target dalam social engineering adalah resepsionis, technical support, administrator, klien dan/atau pengguna, vendor, dan para petinggi perusahaan tersebut. 

Social engineering akan membawa dampak buruk terutama untuk individu dan perusahaan. Dampak buruknya antara lain sebagai berikut: 

1. Kerugian finansial 
2. Pencurian identitas dan kehilangan privasi 
3. Penyalahgunaan informasi pribadi dan informasi sensitif 
4. Merusak reputasi perusahaan 
5. Tuntutan hukum yang bisa berdampak ke tutupnya perusahaan 

Social engineering memakai manipulasi psikologis ke manusia untuk mengetahui informasi yang dibutuhkan. Teknik ini selalu efektif karena: 

1. Terlepas dari berbagai kebijakan keamanan, mencegah social engineering adalah sebuah tantangan karena manusia sangat rentan terhadap variasi. 
2. Sulit untuk mendeteksi upaya social engineering karena seni dan ilmunya yang digunakan untuk memanipulasi orang agar membocorkan informasi. 
3. Tidak ada metode yang menjamin keamanan sepenuhnya dari serangan rekayasa sosial.  
4. Tidak ada perangkat keras atau perangkat lunak khusus yang tersedia untuk melindungi dari serangan rekayasa sosial. 
5. Pendekatan ini relatif murah (atau gratis) dan mudah diterapkan. 

Pelaku serangan mengambil langkah-langkah berikut ini untuk menjalankan serangan social engineering: 

• Mencari tahu tentang perusahaan yang menjadi target 

Sebelum menyerang perusahaan, pelaku akan mencari informasi terkait perusahaan untuk menyusup sistem. Yang dicari oleh pelaku adalah sifat bisnis, lokasinya, dan jumlah karyawan. Selain itu, pelaku juga melakukan dumpster diving, menjelajahi website perusahaan, dan mencari detail karyawan. 

• Memilih target 

Setelah mencari informasi terkait perusahaan itu, pelaku memilih target untuk mengekstrak informasi sensitif. Biasanya, pelaku memilih target yang lemah seperti karyawan yang tidak puas untuk dimanipulasi. 

• Membangun hubungan 

Setelah target ditetapkan, pelaku membangun hubungan dengan karyawan tersebut untuk menyelesaikan tugas mereka. 

• Memanfaatkan hubungan 

Penyerang mengeksploitasi hubungan tersebut dan mengekstrak informasi sensitif tentang akun organisasi, informasi keuangan, teknologi yang digunakan, dan rencana yang akan datang. 

Social engineering dikategorikan menjadi 3 yaitu human-based, computer-based, and mobile-based. 

1. Human-based social engineering 

Human-based social engineering melibatkan interaksi manusia seperti akting sebagai karyawan yang bekerja di perusahaan tersebut untuk mengambil informasi sensitif. Teknik yang dipakai antara lain sebagai berikut: 

1. Impersonation 
2. Vishing 
3. Eavesdropping 
4. Shoulder Surfing 
5. Dumpster Diving 
6. Reverse Social Engineering 
7. Piggybacking 
8. Tailgating 
9. Diversion Theft 
10. Honey Trap 
11. Baiting 
12. Quid Pro Quo 
13. Elicitation 
14. Computer-based social engineering 

2. Computer-based social engineering menggunakan komputer dan internet untuk menyerang target. Teknik yang digunakan adalah sebagai berikut: 

1. Phishing 
2. Spam mail 
3. Instant chat messenger 
4. Pop-up window attacks 
5. Scareware 
6. Mobile-based social engineering 

3. Mobile-based social engineering menggunakan aplikasi mobile. Yang pelaku lakukan adalah meniru aplikasi populer dengan membuat fitur yang keren dan mengirimkannya ke app store dengan nama yang sama. Teknik mobile-based social engineering adalah sebagai berikut: 

1. Menerbitkan aplikasi berbahaya 
2. Mengemas ulang aplikasi yang sah 
3. Menggunakan aplikasi keamanan palsu 
4. SMiShing (SMS Phishing)