Cara Efektif Mencegah Serangan Social Engineering

Ferry Ananda Febian

26 Sep, 2022

Mentor : Rizki Yugitama, S.S.T.TP., M.T

Team :

Faisal Muhammad Audito Andrian

Miranti Apriliani

Nathan Nurdadyansyah

Grace Tri Putri Simarangkir

Ferry Ananda Febian

Apa itu Social Engineering

Social engineering adalah tindakan memanipulasi seseorang dengan memanfaatkan kesalahan mereka untuk memberikan data atau informasi yang bersifat rahasia. Dalam menjalankan aksinya, pelaku kejahatan human hacking biasanya menyamar sebagai pihak yang berwenang, sehingga korban mau memberikan data berharganya kepada pelaku. Serangan seperti ini dapat terjadi secara online, langsung, dan melalui interaksi lainnya yang sulit untuk diduga.

Umumnya, rekayasa sosial memiliki dua tujuan spesifik, yakni untuk menyabotase dan mencuri. Dikarenakan penipuan ini didasarkan pada manipulasi psikologis, strategi serangan akan dibangun berdasarkan cara korban berpikir dan bertindak. Dengan demikian, serangan manipulasi psikologis ini sangat berguna untuk mengelabui dan mempengaruhi perilaku korban. Setelah memahami apa yang memotivasi setiap tindakan korban, penyerang dapat menipu dan manipulasi korban secara efektif dan tanpa beban. Selain itu, para penyerang juga dapat mengeksploitasi minimnya pengetahuan korban terkait dunia teknologi.

Berkat perkembangan yang pesat, banyak konsumen dan karyawan perusahaan yang tidak menyadari ancaman-ancaman baru, seperti drive-by download. Calon korban juga mungkin tidak menyadari nilai penuh dari data pribadi, seperti nomor telepon dan informasi pada kartu identitas mereka. Akibatnya, korban kehilangan data pribadi karena tidak paham mengenai cara terbaik untuk melindungi diri mereka dari serangan-serangan tersebut.

Macam Teknik Serangan Social Engineering

Baiting

Baiting merupakan jenis serangan social engineering yang sering ditemukan. Sesuai namanya, serangan ini menggunakan umpan untuk memancing para korban. Pelaku akan memikat korban dengan motif-motif tertentu yang sering tidak disadari.

Scareware

Scareware adalah aksi hacker dengan motif menakut-nakuti korbannya dengan cara menampilkan peringatan pada perangkat target. Pelaku akan meniru tampilan laman semirip mungkin seolah-olah device korban terkena serangan virus/malware. Dengan begitu, korban akan termanipulasi lalu mengklik dan mengikuti instruksi dari peringatan tersebut. Dari situlah celah serangan akan berlanjut untuk mendapatkan data-data pribadi korban.

Pretexting

Teknik ini merupakan cara pelaku memanipulasi seseorang untuk mendapatkan informasi yang diinginkan dengan membuat skenario palsu. Penipu akan menyamar menjadi pihak berwenang yang membutuhkan informasi sensitif untuk melakukan tugas penting. Biasanya, hacker akan melakukan tindakan yang persuasif agar korban mau melakukan apa yang diinginkan penipu.

Phishing

Bentuk serangan ini merupakan upaya mengelabui seseorang untuk mendapatkan informasi. Sasaran tindak kejahatan phising biasanya berupa data pribadi, hingga data finansial. Bentuk serangan ini biasanya berupa email atau pesan teks dengan tujuan menciptakan urgensi hingga ketakutan pada korban. Setelah itu, pelaku akan mendorong korban mengungkapkan informasi sensitif, mengklik link ke situs web berbahaya, atau membuka file yang disisipi malware.

Spear Phishing

Jenis serangan ini merupakan phishing yang lebih terstruktur dan target sasarannya lebih spesifik. Karena telah memiliki target, pelaku harus memiliki informasi dasar korbannya, misalnya nama, email, posisi di perusahaan, dan sebagainya. Penyerang kemudian akan menyamar dengan menyesuaikan pesan mereka berdasarkan karakteristik dan kontak milik korban agar serangan tidak terlalu mencolok.

Cara Kerja Social Engineering

Penyerang merencanakan strategi dengan mengumpulkan informasi tentang latar belakang dan tempat kerja korban.

Menyusup dengan menjalin hubungan atau memulai interaksi, dimulai dengan membangun kepercayaan korban.

Mengeksploitasi korban setelah kepercayaan terbentuk dan kelemahan mereka terlihat.

Memutuskan hubungan setelah kobran melakukan tindakan yang diinginkan.

Contoh Kasus

No	Contoh Kasus
1	11/12/2020 Hilangnya uang nasabah Jenius BTPN sebesar Rp 241 juta. Pelaku menggunakan metode phishing dan belum tertangkap
2	Zainuddin (49), salah satu nasabah BRI asal Jombang, Jawa Timur, kehilangan saldo tabungan sebanyak 44 juta, Kamis (16/4/2020) siang. Pelaku menggunakan metode telpon scam dan belum tertangkap
3	Seorang nasabah Bank Rakyat Indonesia (BRI) Wonogiri, Jawa Tengah, menjadi korban penipuan bermodus social engineering atau rekayasa sosial. Pelaku menggunakan metode telpon scam lalu meminta password korban. Pelaku sendiri belum tertangkap.
4	Korban social engineering kehilangan uang di rekening dalam Waktu Sekejap, pelaku mengatasnamakan pihak yang memberikan hadiah lalu mengirimkan link phising ke korban. pelaku hingga saat ini belum tertangkap.
5	Dwi Darmono, nasabah BRI warga Perumahan Megatama, Desa Pokoh Kidul, Kecamatan Wonogiri Kota disebut sebagai kejahatan social engineering. Pelaku bertindak sebagai pihak bank yang meminta semua identitas pribadi korban termasuk pin dan password. Pelaku hingga saat ini belum tertangkap.
6	Pimpinan Bank Rakyat Indonesia (BRI) Cabang Bima, Dicky Advia Rahim menyebut raibnya uang tabungan Rp 165 juta dari saldo rekening disebabkan tindakan kejahatan rekayasa sosial alias social engineering. Pelaku bertindak sebagai pihak bank yang meminta semua data pribadi korban dengan alasan kelancaran transaksi, pelaku hingga saat ini belum tertangkap.
7	Seorang penyiar Radio Republik Indonesia (RRI) di Sorong, Prameswara, kehilangan uang Rp28 juta di akun bank karena ditipu pelaku yang mengaku sebagai pengemudi Gojek, setelah dia memesan makanan lewat layanan pesan-antar makanan Go Food. Pelaku hingga saat ini masih belum tertangkap.
8	Murni, korban kasus penipuan yang dialami nasabah BRI di Wonogiri, yang mengakibatkan korban mengalami kerugian puluhan juta rupiah akibat ‘social engineering’. Pelaku menggunakan modus sebagai pihak bank dan meminta data rahasia korban. Pelaku sampai saat ini belum tertangkap.
9	Pasutri di Padang Jadi Korban Phising Rp 1,1 Miliar, Pelaku menggunakan metode phising yang mengirim link web login serupa dengan web login aslinya, pelaku hingga saat ini belum tertangkap.
10	MK, salah satu korban phising, mengalami kerugian hingga 27 juta rupiah. Kasus penipuan yang dialami MK terjadi pada Rabu (30/3/2022) malam hari. Korban kedua, RK, dalam kasus berbeda, mengalami kerugian hingga 29 juta rupiah. Pelaku hingga saat ini belum tertangkap.

Mitigasi/Pencegahan Social Engineering

Jangan buka email dan lampiran dari sumber yang mencurigakan serta selalu mengaktifkan filter spam pada email
Pada penggunaan password selalu menggunakan otentikasi multifaktor, selalu menggunakan password unik dengan kombinasi huruf dan angka.
Perbarui perangkat lunak antivirus/antimalware Anda
Melakukan edukasi security awareness secara berkala
Selalu menerapkan prinsip Zero Trust yaitu selalu memverifikasi segala hal terlebih dahulu

Fakta dan Mitos Seputar Social Engineering

No	Mitos	Fakta
1	Social engineering bukan bagian dari hacking	Social Engineering merupakan salah satu teknik hacking dalam tahapan reconnaissance.
2	Hanya orang yang pandai IT saja yang dapat melakukan social engineering	Semua orang dapat melakukan social engineering. Salah satu contohnya adalah ketika stalking sosmed mantan.
3	Social Engineering merupakan teknik hacking yang tidak berbahaya	Tidak ada hacking yang tidak bahaya. Termasuk social engineering justru menjadi teknik yang berbahaya karena penyerang memiliki banyak sekali akses terhadap data yang kita miliki.
4	Teknik social engineering merupakan teknik yang baru saja ditemukan	Social engineering attack merupakan teknik hacking yang sudah dilakukan dari zaman dahulu sebelum adanya komputer,dan teknik ini selalu berhasil karena menitikberatkan pada manipulasi pikiran korban nya untuk mendapatkan informasi ataupun hak akses.
5	Social engineering merupakan serangan yang menyasar social media korban saja	Nyatanya tidak, social engineering dapat dilakukan melalui pesan singkat, telepon, hingga surat elektronik korban.
6	Data pribadi tidak dapat digunakan untuk social engineering kalau disebar di berbagai platform berbeda	Seorang attacker akan melakukan tracing informasi dari mana saja, walaupun data pribadi tidak lengkap pada satu platform, attacker akan mencari pada platform lainnya.