Jenis-jenis

Tipe pendekatannya ada 2

Pendekatan yang melibatkan aktivitas atau interaksi langsung dengan korban. Datang ke lokasi sasaran, bertemu tatap muka, atau menghubungi via telepon tergolong dalam kategori pendekatan sosial.

2) Sosial

Gabungan pendekatan sosial dan teknikal sehingga pendekatan ini memerlukan bantuan perangkat teknis pendukung.

1) Sosio-teknikal

Pendekatan Sosio-teknikal

​1) Phishing

Tautan berbahaya yang dikirim melalui email, SMS, atau media sosial. Serangan ini mengincar informasi pribadi korban seperti username & password hingga informasi keuangan. Targetnya random.

​2) Spear phishing

Target spear phishing ini spesifik jadi lebih susah dicek kepalsuannya. Ada 2 jenis spear phishing: 1) Whaling, serangan yang menargetkan eksekutif perusahaan, dan 2) CEO Fraud, serangan di mana pelaku berpura-pura jadi eksekutif perusahaan.

​3) Baiting

​"Umpan" misalnya berupa popup palsu yang muncul sebelum mengunduh file dari internet. Popup tersebut adalah permintaan izin akses ke perangkat. Hal ini berarti file tersebut digunakan sebagai "umpan" agar korban memberi izin untuk file yang bisa jadi mengandung malware.

​4) Watering Hole

Watering hole menargetkan orang yang tidak sedikit dalam sekali jalan, karenanya serangan ini merupakan tanggung jawab pemilik website (perusahaan, organisasi). Bayangkan sasarannya website kantor yang digunakan bekerja. Kita bisa menjadi korban tanpa sama sekali menyadarinya.

Pendekatan Sosial

​1) Impersonation

Peniruan adalah teknik dasar yang selalu digunakan pelaku agar tidak terlihat mencurigakan saat menjalankan aksinya. Pelaku dapat meniru/menyamar sebagai petugas, karyawan, bahkan nasabah biasa yang perlu bantuan.

​2) Vishing (voice phishing)

Pelaku menelepon korban untuk mengumumkan hadiah atau melaporkan masalah darurat. Pelaku ingin memancing perubahan drastis pada emosi korban lalu mengeksploitasinya dengan meminta informasi rahasia korban.

​3) Shoulder Surfing

Pelaku melakukan pengamatan langsung pada korban untuk mencari tahu data otentikasi. Semakin canggih teknologi berkembang, shoulder surfing kini dapat dilakukan dengan fitur kamera zoom yang dimiliki ponsel unggulan (flagship) beberapa merk ternama.

​4) Eavesdropping

Pendekatan di mana pelaku mendengarkan
percakapan / membaca informasi tanpa izin yang sah. Eavesdropping dalam pendekatan sosial adalah di mana pelaku hadir secara fisik di tempat korban berada, misalnya lingkungan kantor dan sejenisnya.

​5) Reverse Social Engineering (RSE)

Serangan yang membutuhkan penelitian dan pre-hacking cukup banyak. Serangan ini bertujuan untuk membuat korban datang ke pelaku lalu meminta bantuan untuk menyelesaikan suatu masalah. Korban bersedia memberikan informasi rahasia secara sukarela agar "masalah" tersebut bisa cepat selesai.

​6) Tailgating

Tindakan membuntuti (tailgate) seseorang yang memiliki akses sah melalui pihak keamanan agar pelaku bisa masuk ke area terbatas tanpa menimbulkan kecurigaan. Kebanyakan serangan ini dicontohkan oleh pelaku yang menyamar sebagai pengirim paket.

​7) Dumpster Diving

Tindakan mengecek tempat sampah untuk mencari dokumen atau peralatan penting yang mengandung informasi rahasia. Sampah perkantoran misalnya memo, manual sistem, & jadwal kegiatan. Sampah rumahan misalnya resi paket, surat administrasi desa/lurah & sejenisnya.

Upaya Pencegahan

Apa yang perlu diperhatikan?

PENCEGAHAN AWAL tentunya dengan memiliki pengetahuan dasar apa itu social engineering, apa yang diincar pelaku, dan bagaimana cara kerjanya.

—

PENCEGAHAN LANJUTAN, misalnya ketika dihadapkan serangan social engineering saat itu juga, dapat melakukan beberapa langkah berikut. Simak yuk!

Yap, mereka gak akan minta duluan ke kita apalagi lewat panggilan telepon darurat.

Kode PIN, password, nomor kartu, tanggal kadaluarsa kartu, CVV, kode OTP, dan data sejenisnya merupakan data otentikasi yang sifatnya rahasia.

Kalaupun data tersebut dibutuhkan, nasabah dapat menginput langsung di aplikasi, situs resmi, atau langsung mendatangi kantor cabang sesuai arahan langsung dari bank.

—

Contoh: arahan untuk mengganti kartu debit BCA non-chip ke kartu debit chip.

Stay calm. Slow down.

Kepanikan dan perilaku terburu-buru menghambat kita dari berpikir jernih yang akan mengarah pada pengambilan keputusan tidak matang.

Pelaku social engineering memanfaatkan celah ini dengan memberi instruksi yang memiliki sense of urgency (keterdesakan) untuk menggertak kondisi psikologis kita supaya mau-mau saja melakukan instruksi mereka.

—

Ambil napas. Tetap tenang. Bertindaklah pelan-pelan.

Pencegahan untuk Sosio-teknikal

​Teliti dan verifikasi sumber, mengingat serangannya biasa dijumpai secara digital. Beberapa contoh:

​1) Selalu waspada. Teliti bagian-bagian pesannya sebelum bertindak lebih lanjut. Jangan langsung diklik!

2) Check. Verify. Crosscheck.

​Apakah pesan mengandung unsur keterdesakan?
Apakah pesan mendesak kita untuk cepat-cepat bertindak?
Kalau kurang yakin, hubungi/cek di situs resmi.

3) Kalau sudah ketahuan bau-bau modusnya, kamu bisa:
• hapus & blokir,
• tolak permintaan akses, dan
• pilih akses internet yang aman.

Pencegahan sosiotek lainnya~

4) ​Menggunakan tambahan detection dan auto-blocking di browser sehari-hari.
(Penulis memakai AdGuard)

5) ​Menginstal software pemindai virus & malware.

6) Meng-update software atau sistem secara berkala agar mendapat kontrol keamanan terbaru.

Pencegahan untuk Pendekatan Sosial

Untuk jenis serangan ini diperlukan kesadaran dan kewaspadaan karena pelaku melibatkan interaksi langsung dengan lingkungan atau korban. Beberapa contoh:

​1) Perhatikan sekitar sebelum menggunakan perangkat terutama saat mengakses data pribadi. Pastikan layar tidak terekspos ke publik.

Jangan menulis atau meletakkan memo berisi informasi rahasia kita di tempat yang bisa dilihat orang lain.

Bantuan dari sembarang orang terutama yang meminta informasi rahasia dengan embel-embel agar masalah bisa lebih cepat diselesaikan.

​2) Gunakan prinsip clean desk

​3) Tolak dengan tegas

Ketika pelaku meminta informasi rahasia atau mendesak kita agar melakukan sesuatu via vishing maupun percakapan kasual.

Rusak dokumen atau perangkat sebelum dibuang hingga salah satu atau keduanya benar-benar tidak bisa dipulihkan lagi setelah dibuang.

4) Waspada & curigai

​5) Merusak dokumen / perangkat

Pada akhirnya,

Seluruh upaya pencegahan akan optimal jika kita sebelumnya sudah memahami & menerapkan perilaku kesadaran keamanan informasi.

—

Mampu membedakan jenis-jenis data pribadi lalu bertanggung jawab atas kerahasiaan data tersebut sangat membantu kita untuk terhindar dari ancaman social engineering.

Selalu ingat,

Jika dihadapkan dengan serangan social engineering, sebisa mungkin tetaplah tenang dan jangan bertindak buru-buru. Atur emosi. Kita sangat diperbolehkan untuk tidak langsung merespon.

—

Apabila dirasa sudah mulai tumbuh perasaan panik, segera sudahi interaksi atau pergi ke tempat aman. Simpan dan bekali diri dengan kontak darurat terutama kontak resmi untuk berjaga-jaga saat terjadi masalah.

Ini adalah akhir dari pelajaran Social Engineering: Dig Deeper

Telah dibahas jenis-jenis serangan social engineering berdasarkan tipe pendekatannya dan upaya pencegahan yang tepat. Semoga bermanfaat dan dapat meningkatkan awareness teman-teman! :)

GOOD LUCK ON THE POSTTEST!