Rekayasa Sosial dalam Penetration Testing

/ Penetration Testing / Oleh
Rekayasa Sosial

TL;DR

  • Rekayasa sosial adalah jenis serangan yang menggunakan manusia sebagai target serangan utama
  • Serangan rekayasa sosial yang paling umum adalah tailgating, phishing, peniruan, Impersonation (peniruan), Vishing, Dumbster Diving, Smishing, USB Drops

Rekayasa sosial sering digunakan sebagai serangan oleh peretas untuk mendapatkan akses ke sistem perusahaan dari personil yang tidak sadar. Itulah sebabnya, penting untuk juga melakukan serangan ini sebagai bagian dari penetration testing Anda untuk memastikan bahwa risiko ini dimitigasi sepenuhnya.

Apa yang dimaksud dengan Serangan Rekayasa Sosial?

Rekayasa sosial adalah jenis serangan yang menggunakan manusia sebagai fokusnya, terutama karena interaksi manusia adalah salah satu kelemahan yang dimiliki oleh sistem apa pun. Dengan demikian, ketika Anda melakukan penetration testing untuk serangan ini maka Anda harus fokus pada orang-orang serta kerentanan dan proses yang terkait dengan orang-orang tersebut.

Uji penetrasi dapat dilakukan oleh ethical hacker dengan menggunakan berbagai macam jenis serangan yang biasanya terjadi pada seseorang ketika mereka bekerja di perusahaan. Dengan begitu, tes ini dapat membantu mengidentifikasi kelemahan pada sekelompok orang, orang, proses, serta membantu mengidentifikasi kerentanan.

Serangan Paling Umum Digunakan

  • Tailgating

    Metode ini dilakukan dengan membuntuti seorang karyawan dengan sangat dekat yang kemudian memasuki area terlarang ketika mereka menggunakan kunci khusus untuk membuka pintu. Penyerang kemudian akan memasuki area terlarang di belakang mereka dan melewati metode keamanan fisik apa pun yang digunakan untuk melindungi area tersebut.
  • Phishing

    Metode ini menggunakan email untuk mengelabui orang agar memberikan informasi sensitif mereka atau membuka file berbahaya yang dapat digunakan untuk menginfeksi perangkat mereka.
  • Impersonation (Peniruan)

    Dalam metode ini, penyerang akan mencoba mengelabui seseorang untuk percaya bahwa mereka adalah orang lain dengan meniru orang tersebut. Tujuannya biasanya untuk meyakinkan orang tersebut untuk mengirim pembayaran ke vendor palsu, mendapatkan akses ke akun mereka dan mendapatkan informasi sensitif.
  • Vishing

    Serangan rekayasa sosial ini sangat mirip dengan metode phishing yang disebutkan di atas, namun menggunakan panggilan telepon, bukan email.
  • Menyelam di Tempat Sampah

    Dalam metode ini, serangan akan menyelidiki sampah serta barang-barang lain di perusahaan seperti kalender, catatan tempel, dan barang-barang lain yang mungkin digunakan sebagai pengingat untuk mendapatkan informasi sensitif tentang perusahaan atau seseorang.
  • Smishing

    Serangan lain yang mirip dengan metode phishing tetapi menggunakan sms atau pesan teks, bukan email. Pesan yang digunakan memiliki tujuan yang sama dengan phishing, yaitu untuk mendapatkan informasi sensitif.
  • Tetesan USB

    Metode ini menggunakan nama USB berbahaya yang dijatuhkan pada area yang sangat umum di ruang kerja. USB biasanya berisi perangkat lunak yang akan menginstal perangkat lunak berbahaya lainnya saat dicolokkan. Kemudian penyerang akan menggunakan perangkat lunak sebagai pintu belakang untuk mentransfer file atau mendapatkan akses ke dalam sistem.

Baca Juga : Apa Itu Pentest (Penetration Testing)?

Mengapa Anda Juga Harus Melakukan Rekayasa Sosial Selama Uji Penetrasi?

Manusia disebut sebagai hal terlemah dalam kaitannya dengan keamanan, namun izin dari manusia tetap diperlukan agar mereka dapat melakukan pekerjaan mereka. Itulah sebabnya, penting untuk menguji orang-orang tersebut untuk menemukan siapa yang lebih rentan terhadap serangan.

Uji penetrasi untuk rekayasa sosial biasanya dilakukan dengan menggabungkan pengujian di luar lokasi dan di lokasi.

  • Pengujian di luar lokasi

    Pengujian ini dilakukan untuk memastikan bahwa karyawan memiliki kesadaran keamanan yang baik dalam keseharian mereka. Dalam pengujian ini, pen tester akan melakukan riset tentang perusahaan kemudian menggunakan informasi publik untuk melakukan pengujian. Pengujian ini akan dilakukan dari jarak jauh dengan menggunakan metode yang berbeda seperti smishing, phishing, dan vishing.
  • Pengujian di tempat

    Pengujian ini dilakukan untuk memastikan bahwa keamanan fisik yang digunakan pada gedung perusahaan berfungsi dengan baik. Anda juga dapat menguji kebijakan perusahaan untuk memastikan stasiun kerja karyawan bersih. Metode yang digunakan pada pengujian ini adalah tailgating, USB drop, dumpster diving dan peniruan.

Metode yang Digunakan untuk Melindungi dari Rekayasa Sosial Serangan

Penting bagi karyawan untuk dapat melindungi diri mereka sendiri dari rekayasa sosial yang biasa menyerang perusahaan. Berikut adalah beberapa metode yang dapat digunakan karyawan untuk melindungi diri mereka sendiri:

Perhatikan pengirim

Penting bagi karyawan untuk selalu memperhatikan pengirim pesan teks dan email. Terkadang penyerang akan menyamar sebagai orang lain untuk mengirim pesan teks dan email, jadi pastikan bahwa karyawan Anda mengetahui nomor yang tepat atau alamat email yang tepat yang digunakan untuk mengirim pesan. Mengetahui hal ini akan membantu karyawan agar tidak mengklik tautan atau dokumen terlampir yang dapat digunakan untuk membahayakan perangkat karyawan.

Gunakan pengaturan tinggi pada filter spam

Biasanya setiap perangkat lunak email yang digunakan oleh perusahaan telah memiliki filter spam yang dapat digunakan untuk menyaring email yang mencurigakan. Manfaatkan fitur ini dan gunakan pengaturan tinggi sehingga email yang mencurigakan tidak akan masuk ke kotak masuk. Tentu saja, Anda perlu mengajari karyawan tentang cara membedakan email yang sah dan email spam karena terkadang email yang sah pun bisa disaring dan masuk ke dalam folder spam.

Jangan membagikan data pribadi apa pun

Anda perlu memberi tahu karyawan untuk berpikir terlebih dahulu sebelum membagikan data pribadi seperti kartu kredit atau password. Terutama karena tidak ada individu atau perusahaan yang sah yang akan menanyakan jenis informasi pribadi ini.

Penting juga untuk memberi tahu karyawan untuk menggunakan kata sandi yang kuat pada semua hal. Jika memungkinkan, cobalah untuk membuat kebijakan perusahaan yang mengharuskan karyawan mengganti password secara teratur. Selain itu, Anda perlu memberi tahu karyawan untuk tidak menggunakan password yang sama pada beberapa akun untuk menghindari serangan.

Memanfaatkan lapisan keamanan

Penting untuk menggunakan 2FA kapan pun tersedia karena dapat menambahkan lapisan keamanan lain pada sistem dengan membuat karyawan memasukkan kode keamanan yang dikirim ke ponsel mereka untuk dimasukkan bersama dengan password dan nama pengguna. Dengan menambahkan lapisan keamanan ekstra ini maka akan menyulitkan penyerang untuk menggunakan akun secara langsung meskipun mereka sudah mendapatkan akses ke salah satu sistem.

Gunakan perangkat lunak keamanan

Penting untuk selalu menginstal perangkat lunak keamanan di semua perangkat yang dimiliki perusahaan, terutama perangkat lunak antivirus dan antimalware. Selain itu, Anda juga harus memastikan bahwa perangkat lunak diperbarui ke versi terbaru secara otomatis sehingga dapat melindungi perangkat dari ancaman terbaru. Selain itu, dengan menginstalnya juga dapat membantu melindungi dari jenis serangan rekayasa sosial.

Tetap waspada terhadap risiko

Penting untuk memastikan bahwa karyawan selalu waspada terhadap risiko. Anda perlu memberi tahu mereka untuk selalu memeriksa apakah informasi yang diberikan akurat dan melakukan pengecekan dua atau bahkan tiga kali sebelum melanjutkan tindakan mereka. Selain itu, petugas keamanan perusahaan Anda juga harus mengikuti berita keamanan siber terbaru untuk memastikan bahwa perusahaan tidak terpengaruh oleh serangan.

Cara Mengajarkan Karyawan untuk Meningkatkan Kesadaran Keamanan

Selalu pikirkan sebelum mengklik apa pun

Biasanya penyerang akan menggunakan rasa urgensi yang akan membuat karyawan bertindak terlebih dahulu sebelum berpikir ketika serangan terjadi. Itulah sebabnya, Anda perlu mengajarkan karyawan Anda jika mereka mendapatkan pesan yang sangat mendesak dengan tekanan yang tinggi maka karyawan perlu memastikan untuk memeriksa kredibilitas sumbernya. Ajarkan mereka metode terbaik yang dapat digunakan untuk berkomunikasi dengan pengirim yang sah dengan menggunakan metode komunikasi yang berbeda dengan yang digunakan oleh pesan penipuan, misalnya dengan menelepon orang tersebut secara langsung.

Lakukan penelitian tentang sumbernya

Saat menerima pesan apa pun, penting untuk mengajarkan karyawan untuk memeriksa apakah domain yang digunakan untuk mengirim pesan tersebut adalah asli dan apakah orang yang mengirim email benar-benar anggota perusahaan tersebut. Jika ada kesalahan ketik atau kesalahan ejaan, kemungkinan besar pengirimnya palsu. Ajarkan karyawan Anda cara memastikan keabsahan pengirim dengan menggunakan mesin pencari, situs web resmi, direktori telepon, dan sebagainya.

Periksa jika ragu-ragu

Seperti yang telah kami sebutkan sebelumnya, rekayasa sosial digunakan untuk mendapatkan informasi sensitif dan mengendalikan akun orang lain. Kemudian setelah penyerang mendapatkan akun tersebut, mereka akan menggunakan akun tersebut untuk mengirim email ke orang-orang yang ada di dalam kontak. Inilah sebabnya, masih lebih baik untuk selalu bersama orang tersebut ketika menerima email yang tidak terduga meskipun dikirim dari sumber yang sah. Dan Anda perlu mengajarkan hal ini kepada karyawan Anda.

Jangan mengunduh apa pun yang tidak Anda ketahui

Penting untuk memberi tahu karyawan Anda agar tidak mengunduh apa pun yang tidak mereka ketahui. Hal ini termasuk jika karyawan tidak mengenal orang yang mengirimnya dan jika karyawan tidak mengharapkan apa pun meskipun mereka mengenal pengirimnya. Penting juga untuk membuat mereka lebih waspada saat menerima email dengan “URGENT” sebagai subjek atau judul. Kemungkinan besar denda tersebut tidak sah dan digunakan sebagai serangan.

Kesimpulan

Seperti yang Anda lihat, rekayasa sosial adalah metode yang sangat umum digunakan untuk menyerang perusahaan dengan memanfaatkan ketidaksadaran karyawan. Itulah sebabnya, penting bagi perusahaan Anda untuk melakukan penetration testing dengan jenis serangan ini sebagai fokusnya. Dengan begitu Anda bisa mengidentifikasi personel yang tidak mengetahui tentang kebijakan keamanan yang Anda miliki.

Namun, penting juga untuk menerapkan berbagai langkah yang dapat digunakan untuk melindungi perusahaan dan juga karyawan dari serangan. Misalnya, Anda perlu menerapkan perangkat lunak keamanan pada perangkat yang digunakan oleh karyawan untuk terhubung dengan perusahaan.

Deskripsi: Memahami psikologi di balik taktik rekayasa sosial dan bagaimana taktik tersebut dapat digunakan dalam penetration testing. Pelajari cara melindungi diri Anda dan organisasi Anda dari serangan-serangan berbahaya ini.

Tags: serangan rekayasa sosial, metode rekayasa sosial, pentest rekayasa sosial, uji penetrasi rekayasa sosial, pencegahan rekayasa sosial

Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d blogger menyukai ini: