3.1 Social Engineering
1. Definisi:
Social Engineering adalah praktik manipulasi psikologis yang digunakan oleh penyerang untuk mendapatkan akses tanpa izin atau informasi rahasia dengan memanipulasi orang. Dalam konteks keamanan siber, social engineering melibatkan eksploitasi terhadap sifat kemanusiaan, seperti rasa ingin tahu, kepercayaan, atau kurangnya kesadaran keamanan, untuk mencapai tujuan jahat.
2. Metode Social Engineering:
Phishing: Menggunakan email palsu atau situs web yang meniru organisasi resmi untuk mendapatkan informasi rahasia seperti kata sandi atau rincian keuangan.
Pretexting: Membuat alasan palsu atau "pretext" untuk mendapatkan informasi dari target, seringkali berpura-pura menjadi orang yang berwenang atau dikenali.
Baiting: Menawarkan sesuatu yang menarik, seperti USB drive atau file download, yang sebenarnya mengandung malware.
Quid Pro Quo: Menawarkan sesuatu dalam pertukaran informasi, seperti menyamar sebagai dukungan teknis dan meminta akses ke sistem.
Tailgating (Piggybacking): Mencoba masuk ke area terbatas atau fasilitas fisik dengan mengikuti seseorang yang memiliki akses.
3. Tujuan Social Engineering:
Pencurian Informasi: Mendapatkan akses ke data pribadi, informasi perusahaan, atau informasi rahasia.
Pembajakan Akun: Mengakses akun online atau sistem dengan mendapatkan informasi login.
Penyebaran Malware: Mengajak pengguna untuk mengklik tautan atau membuka lampiran yang mengandung malware.
Manipulasi Keputusan: Mempengaruhi orang untuk melakukan tindakan tertentu atau mengungkapkan informasi kritis.
Pembajakan Identitas: Menggunakan informasi yang diperoleh untuk menyamar sebagai orang lain.
4. Indikator Social Engineering:
Tekanan Waktu: Memaksa target untuk mengambil keputusan cepat tanpa pertimbangan yang memadai.
Penggunaan Otoritas Palsu: Mengklaim memiliki otoritas atau hak akses tertentu untuk mendapatkan kepercayaan target.
Rasa Darurat atau Krisis: Menciptakan situasi darurat untuk mendesak target mengambil tindakan tanpa berpikir panjang.
Eksploitasi Kepercayaan: Memanfaatkan kepercayaan atau hubungan yang sudah ada untuk mendapatkan informasi atau akses.
Penipuan Identitas: Menyamar sebagai orang atau entitas yang dikenali oleh target.
5. Pencegahan Social Engineering:
Pelatihan Kesadaran Keamanan: Melibatkan karyawan dalam pelatihan untuk meningkatkan kesadaran tentang taktik social engineering.
Kebijakan Keamanan: Menerapkan kebijakan keamanan yang mengatur bagaimana informasi rahasia diungkapkan atau dibagikan.
Verifikasi Identitas: Selalu memverifikasi identitas sebelum memberikan informasi atau mengizinkan akses.
Filtering Email dan Lalu Lintas Web: Menggunakan perangkat lunak keamanan untuk mendeteksi dan memblokir upaya phishing atau serangan social engineering.
Pengaturan Hak Akses: Memberikan hak akses yang sesuai dan hanya diperlukan untuk tugas tertentu.
Social engineering menyoroti pentingnya kesadaran keamanan dan kewaspadaan individu dalam lingkungan siber. Tindakan pencegahan dan edukasi dapat membantu melawan serangan ini.
