Mengungkap Sisi Gelap Peretasan Etis dengan Rekayasa Sosial

/ Manajemen Risiko / Oleh

Peretasan etis dapat dilakukan dengan banyak taktik dan salah satu metode yang cukup kontroversial adalah rekayasa sosial. Terutama karena taktik ini dilakukan dengan memanipulasi individu sehingga mereka akan mengungkapkan informasi sensitif kepada penguji.

Security awareness officer

Apa yang dimaksud dengan Rekayasa Sosial?

Sebenarnya, rekayasa sosial itu sendiri adalah teknik yang digunakan tidak hanya oleh peretas etis tetapi juga peretas sungguhan. Untuk ethical hacker, mereka akan mensimulasikan hal-hal yang dilakukan oleh hacker sungguhan sehingga mereka dapat menguji risiko keamanan pada jaringan atau sistem yang berhubungan dengan faktor manusia.

Namun secara umum, keduanya melakukan teknik yang sama dengan memanipulasi individu agar melakukan tindakan tertentu atau mengungkapkan informasi sensitif. Teknik ini memanfaatkan emosi manusia dalam prosesnya, misalnya kecenderungan untuk percaya, takut, bias kognitif, dan rasa ingin tahu.

Dengan menggunakan bias, emosi, dan kerentanan lainnya, para peretas akan membuat para korban tidak dapat berpikir secara rasional. Peretas akan menggunakan taktik menakut-nakuti, memanipulasi emosi dan menciptakan rasa terdesak sehingga korban tidak dapat berpikir. Dengan begitu korban akan mengungkapkan informasi sensitif, menginstal malware ke perangkat mereka atau mengklik tautan berbahaya yang dapat membuat mereka melakukan kedua hal tersebut.

Teknik ini dapat dilakukan dengan menggunakan berbagai media seperti telepon, email, pesan singkat, DM di media sosial dan lain-lain. Alasan mengapa banyak peretas melakukan teknik ini adalah karena sebenarnya lebih mudah mengelabui orang untuk memberikan informasi sensitif daripada meretas perangkat secara langsung.

Itulah sebabnya, teknik ini sebenarnya merupakan hal yang sangat umum digunakan oleh para peretas. Para peretas menggunakan metode ini dengan beberapa tujuan yang ingin mereka capai seperti:

  • Mendapatkan akses ke jaringan, perangkat, atau akun
  • Mendapatkan informasi sensitif tentang seseorang yang dapat digunakan oleh peretas sungguhan untuk melakukan penipuan keuangan atau bahkan pencurian identitas
  • Menyebarkan spyware, malware, dan perangkat lunak berbahaya lainnya yang dapat digunakan untuk merusak, mencuri data, dan menyebabkan ketidaknyamanan.

Tentu saja, alasan utama mengapa peretas sungguhan perlu mencapai semua hal tersebut adalah untuk mendapatkan keuntungan finansial. Hal ini dapat dilakukan dengan cara menipu korban secara langsung untuk mengirimkan uang kepada mereka atau dengan menjual data korban.

Sementara itu, alasan utama para peretas etis hanya untuk mendapatkan akses ke dalam sistem yang mereka butuhkan untuk menguji dan menemukan kerentanan yang terkait dengan faktor manusia. Setelah kerentanan manusia ini ditemukan, maka klien akan diberitahu untuk melakukan perbaikan.

Bentuk Serangan Sosial yang Paling Umum

  • Phishing
    Untuk melakukan hal ini, peretas akan menggunakan email sebagai medianya. Mereka biasanya akan mengirimkan email penipuan yang berpura-pura berasal dari sumber yang sah. Kemudian mereka akan mengelabui korban untuk mengungkapkan informasi sensitif kepada peretas, mengklik tautan berbahaya di dalam email dan banyak lagi.
  • Vishing
    Bentuk ini dilakukan dengan menggunakan panggilan suara yang akan mengelabui korban untuk melakukan sesuatu atau mengungkapkan informasi sensitif yang dapat digunakan oleh peretas untuk melakukan serangan lainnya.
  • Smishing
    Para peretas akan menggunakan SMS untuk melakukan serangan mereka yang dapat memanipulasi kondisi psikologis korban sehingga mereka tidak dapat berpikir secara rasional. Terkadang, metode ini juga digunakan dalam kombinasi dengan metode lain untuk membuat serangan lebih efektif.

Cara Mencegah Rekayasa Sosial di Perusahaan Anda

Membuat protokol dan kebijakan keamanan

Salah satu bagian utama dari rencana keamanan siber adalah memiliki protokol dan kebijakan keamanan. Metode ini dapat membantu menetapkan standar yang dapat digunakan oleh karyawan untuk memperlakukan dan mengakses sumber daya yang dimiliki perusahaan dengan cara yang aman. Berikut ini beberapa protokol dan kebijakan keamanan yang perlu Anda terapkan pada perusahaan Anda:

  • MFA dan 2FA
    Anda harus memberlakukan penggunaan MFA dan 2FA untuk memperkuat metode login yang digunakan oleh karyawan Anda untuk masuk ke sistem perusahaan. Dengan begitu, untuk mengakses sistem, para peretas akan membutuhkan lebih dari sekadar detail login seperti password dan nama pengguna. Jadi, mereka tidak akan dapat mengakses akun tanpa MFA dan 2FA.
  • Perubahan kata sandi dan kebersihan
    Hal lain yang perlu Anda terapkan adalah agar karyawan sering mengganti password akun mereka. Selain itu, mereka juga harus menggunakan password yang kuat untuk menyulitkan peretas menemukannya.

Melatih Karyawan Anda

Perekayasa sosial memanfaatkan faktor manusia sebagai jalur yang dapat membantu mereka mengkompromikan sistem Anda. Itulah sebabnya, penting bagi Anda untuk mengamankan jalur ini dan menggunakan pengetahuan karyawan Anda sebagai pertahanan untuk keamanan Anda.

Anda perlu memberikan pelatihan kepada karyawan Anda yang dapat mengajarkan mereka tentang berbagai metode rekayasa sosial dan cara menghindarinya. Anda juga harus menyediakan berbagai alat yang dapat membantu mereka melindungi diri mereka sendiri dan juga melindungi perusahaan.

Kelola Perangkat Anda dengan Aman

Hal lain yang dapat Anda gunakan untuk mencegah serangan adalah dengan mengelola perangkat Anda dengan aman. Anda perlu memastikan bahwa semua perangkat yang digunakan untuk menyambung ke sistem Anda adalah yang terbaru, terutama untuk antivirus dan OS yang digunakan pada perangkat tersebut.

Selain itu, Anda juga harus memiliki kebijakan BYOD yang dapat mengatur cara karyawan Anda menggunakan perangkat, baik di dalam kantor maupun di rumah mereka. Perangkat dapat mencakup ponsel, laptop, perangkat IoT, dan banyak lagi.

Lakukan Uji Penetrasi

Penting bagi perusahaan Anda untuk melakukan uji penetrasi agar Anda dapat menilai risiko dalam sistem dan pertahanan keamanan Anda. Ini dapat membantu menemukan celah yang tersembunyi di dalam prosedur keamanan yang Anda miliki.

Selain itu, Anda juga harus meminta peretas etis yang melakukan uji penetrasi untuk juga melakukan uji rekayasa sosial bagi karyawan Anda untuk menemukan kerentanan. Kemudian Anda bisa mengevaluasi hasilnya dan meningkatkan protokol dan kebijakan keamanan Anda sesuai kebutuhan.

Pastikan Pihak Ketiga Juga Aman

Perusahaan Anda mungkin menggunakan pihak ketiga untuk berbagai alasan seperti layanan cloud, layanan perangkat lunak, dan lainnya. Menggunakan pihak ketiga juga memiliki risiko tersendiri, terutama jika pelanggaran berasal dari mereka.

Jadi, penting untuk memastikan bahwa pihak ketiga yang Anda gunakan aman dan meninjau kebijakan keamanan mereka. Selain itu, Anda juga harus memasukkannya ke dalam rencana keamanan Anda sendiri dan mencari cara untuk mengurangi risiko yang berasal dari pihak ketiga.

Menerapkan DLP

Pelanggaran yang terjadi sebelumnya dapat mengekspos berbagai informasi rahasia meskipun pelanggaran tersebut tidak terjadi pada sistem Anda sendiri. Tetapi peretas sungguhan dapat menggunakan informasi yang mereka beli dari web gelap untuk mengirim email berbahaya atau phishing ke perusahaan Anda. Itulah sebabnya, Anda perlu menerapkan DLP untuk mencegah perangkat dari kebocoran data.

Cara Mencegah Serangan Sosial untuk Individu atau Karyawan

Sebagai karyawan atau individu, Anda juga bertanggung jawab atas keamanan Anda sendiri. Itulah sebabnya, Anda perlu melindungi diri Anda sendiri agar tidak menjadi korban. Berikut adalah beberapa hal yang dapat Anda gunakan untuk melindungi diri Anda dan mencegah serangan:

  • Instal antivirus di semua perangkat Anda
    Antivirus dapat membantu mendeteksi tautan berbahaya, malware, spyware, dan perangkat lunak berbahaya lainnya yang digunakan oleh peretas. Jadi, Anda perlu memastikan bahwa Anda menginstal antivirus di semua perangkat Anda termasuk komputer, laptop, dan ponsel. Jangan lupa untuk mengizinkan pembaruan otomatis pada antivirus agar mereka dapat memperbarui basis data yang memungkinkannya mendeteksi virus terbaru.
  • Perbarui perangkat lunak Anda
    Penting untuk menjaga perangkat lunak di perangkat Anda ke versi terbaru. Biasanya, perangkat lunak akan merilis pembaruan untuk menghapus berbagai kerentanan pada versi yang lebih lama. Kerentanan tersebut dapat digunakan untuk meretas perangkat Anda, jadi untuk mencegah hal itu terjadi, Anda perlu memperbarui perangkat lunak Anda segera setelah pembaruan tersedia. Anda juga dapat menetapkan pembaruan otomatis untuk sebagian perangkat lunak dari pengaturan.
  • Jangan membuka atau mengklik sesuatu yang mencurigakan
    Anda harus waspada ketika membuka atau mengklik sesuatu yang mencurigakan termasuk lampiran, file, atau email yang berasal dari seseorang yang tidak Anda percayai. Ini termasuk email yang mengaku berasal dari kartu kredit atau bank karena email tersebut mungkin merupakan email phishing yang berpura-pura sebagai email resmi padahal sebenarnya tidak.
  • Berhati-hatilah terhadap penawaran
    Anda mungkin mendapatkan SMS atau bahkan panggilan telepon yang menawarkan sesuatu yang terlalu bagus seperti hadiah gratis, kemenangan undian, undian, atau bahkan menawarkan Anda untuk mendaftar uji coba gratis. Anda harus waspada karena sering kali mereka mencoba mendapatkan informasi sensitif dan meminta data Anda.
  • Gunakan 2FA
    Sebagian besar situs web atau aplikasi menawarkan 2FA sebagai salah satu langkah keamanan mereka. Tetapi biasanya tidak aktif secara default. Jadi, Anda perlu masuk ke pengaturan dan mengaktifkan opsi ini untuk membantu mengamankan akun Anda.
  • Gunakan DMARC
    Anda perlu menggunakan DMARC, sebuah protokol otentikasi yang dapat membantu mengamankan email Anda dari rekayasa sosial, penyalahgunaan domain, dan phishing. Anda dapat menambahkan ini ke sebagian besar penyedia email sehingga Anda perlu memastikan bahwa Anda menggunakannya.

Kesimpulan

Seperti yang Anda lihat, rekayasa sosial menggunakan manusia sebagai titik rentan untuk mendapatkan akses ke informasi sensitif atau bahkan sebagai titik masuk untuk membobol sebuah sistem. Oleh karena itu, penting untuk melindungi perusahaan Anda, karyawan Anda, dan bahkan diri Anda sendiri agar tidak menjadi korban.

Tags: rekayasa sosial, metode rekayasa sosial, teknik rekayasa sosial, taktik rekayasa sosial, mencegah rekayasa sosial,

Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d blogger menyukai ini: