Melawan Social Engineering

Perkembangan teknologi terkini, yang dilengkapi dengan peningkatan penggunaan dan ketergantungan pada Internet, menawarkan peluang baru yang tidak terbatas untuk memfasilitasi kehidupan pribadi dan profesional kita. Meskipun demikian, karena teknologi terus berkembang, peningkatan ini juga telah dieksploitasi secara luas sebagai alat atau infrastruktur untuk melakukan berbagai pelanggaran kriminal.

Ada banyak jenis kejahatan yang dilakukan setiap hari di Internet, difasilitasi oleh Internet, atau diperkuat melalui internet yang secara langsung menargetkan perangkat yang rentan atau korban tipu daya menjadi fitur yang rentan memungkinkan atau memaparkan kredensial pengguna dan informasi sensitif lainnya. Penetrasi internet yang berkembang dan teknologi yang baru muncul seperti Internet of Things juga mengubah perilaku orang-orang secara online dan menciptakan permukaan serangan yang lebih luas, vektor serangan baru, dan lebih banyak titik masuk, seperti melalui teknik social engineering.

Saat ini, kriminal di dunia maya tidak perlu membutuhkan pengetahuan teknis yang substansial untuk mencapai tujuan mereka. Beberapa alat kejahatan terkenal didistribusikan menggunakan email spear-phishing dan bergantung pada manipulasi psikologis untuk menginfeksi komputer korban. Korban yang ditargetkan dibujuk untuk membuka lampiran email yang diduga sah dan memikat atau untuk mengklik tautan di badan email yang tampaknya berasal dari sumber tepercaya.

Penggunaan teknik-teknik social engineering telah menjadi sarana yang signifikan dan menyebar luas melalui serangan-serangan siber di Internet untuk mendapatkan informasi sensitif atau rahasia dari kompetitor, rival, dan pemerintah. Tren terbaru dalam serangan itu adalah sifat mereka yang ditargetkan: Penjahat menggunakan teknik canggih dan disesuaikan untuk menyebarkan malware, biasanya dengan email spear-phishing.

Penggunaan teknik-teknik rekayasa sosial telah menjadi sarana yang signifikan dan menyebar luas melalui serangan-serangan siber di Internet untuk mendapatkan informasi sensitif atau rahasia dari kompetitor, rival, dan pemerintah, di antara yang lainnya. Tren terbaru dalam serangan itu adalah sifat mereka yang ditargetkan: Penjahat menggunakan teknik canggih dan disesuaikan untuk menyebarkan malware, biasanya dengan email spear-phishing.

Sementara beberapa kelompok yang terorganisir berspesialisasi dalam serangan siber dan penipuan skala besar dengan membuang umpan dan menerima siapa pun yang mengambil umpan, yang lain mengambil keuntungan dari kegiatan kriminal yang lebih canggih dan teknik yang disesuaikan untuk menyebarkan malware di dalam organisasi tertutup, pemerintah, atau lembaga keuangan. Musuh mengumpulkan intelijen pada target mereka untuk belajar tentang kebiasaan mereka dan merancang serangan yang disesuaikan untuk memanipulasi target dan mencapai tujuan mereka, seperti memperoleh informasi sensitif.

Dibalik Social Engineering

Mencari tahu siapakah orang-orang yang berada di belakang serangan menggunakan social engineering adalah masalah. Perusahaan atau individu yang menjadi target akan menghadapi aktor yang berbeda, masing-masing dengan motivasi mereka sendiri. Selain itu, sifat kejahatan siber yang berbasis layanan bisa diartikan bahwa sasaran pelaku tergantung pada klien mereka.

Jenis-jenis pelaku jahat yang terlibat dalam kejahatan dunia maya, siapa pun yang dapat memanfaatkan social engineering sebagai vektor serangan sangat bervariasi, sebagai berikut:

  • Script kiddies: Hacker tidak terampil yang menggunakan teknik sederhana.

  • Insider (orang dalam): Meskipun mereka mungkin tidak memiliki keterampilan teknis yang kuat, akses mereka ke jaringan yang sensitif menjadi risiko tersendiri.

  • Hacktivists: Hacktivisme merupakan gabungan politik, Internet, dan elemen lainnya. Aktivisme, sebuah gerakan politik yang menekankan aksi langsung, adalah inspirasi untuk hacktivisme. Menambahkan aktivitas online peretasan ke aktivisme politik adalah hacktivism.

  • Lone hackers: Keterampilan atau motivasi mereka bervariasi.

  • Organisasi teroganisir: Sindikat kriminal dibentuk untuk melakukan kejahatan siber.

  • Peretas Pemerintah: Para pelaku ini merupakan cyberthreat tertinggi dan konsisten bagi pemerintah negara bagian dan teritorial, dan tingkat risiko yang tidak diketahui bagi pemerintah lokal dan kesukuan.

  • Kelompok teroris: Pusat Keamanan Internet menulis bahwa peretas yang ahli dalam kelompok-kelompok ini jarang tetapi kemungkinan akan menjadi lebih signifikan dalam satu sampai tiga tahun ke depan karena mereka memperoleh keahlian yang lebih luas.

Melawan Social Engineering

Banyak organisasi mengembangkan program kesadaran pengguna, tetapi efektivitas program tersebut bervariasi. Program kesadaran yang dikombinasikan dengan langkah-langkah untuk mengevaluasi efektivitasnya adalah salah satu cara terbaik untuk melawan serangan social engineering. Efektivitas pengendalian ini akan bervariasi berdasarkan pada kualitas pelaksanaannya, termasuk tindak lanjut dan pelatihan ulang

Meskipun pengukuran dan penyempurnaan terus menerus dalam program pendidikan memainkan peran penting dalam menghadapi social engineering. Meskipun demikian, pelatihan semacam ini masih jarang dilakukan. Banyak organisasi belum menerapkan pelatihan kesadaran keamanan atau kebijakan bagi karyawan mereka. Tambahan lain yang dapat membantu adalah melakukan kontrol yang tepat, seperti berikut:

  • Berikan batasan yang jelas: Semua staf harus sangat paham tentang kebijakan mengenai rilis informasi dan memiliki jalur eskalasi yang jelas jika sebuah permintaan jatuh di luar batas mereka.

  • Pendidikan berkelanjutan: Terapkan program kesadaran keamanan untuk secara konsisten mendidik karyawan dari waktu ke waktu.

  • Ajarkan pentingnya informasi: Bahkan informasi yang tampaknya tidak berbahaya seperti nomor telepon (informasi yang memungkinkan) dapat digunakan untuk melancarkan serangan.

  • Ciptakan budaya tanpa menyalahkan: Target para pelaku social engineering adalah korban. Menghukum karyawan tertentu yang telah tertipu akan membuat semua staf cenderung tidak mau mengakui telah melepaskan informasi. Jika sudah begitu kasusnya, setelah ditipu, mereka bisa berada di bawah kendali pelaku social engineering, yang kemudian dapat melakukan pemerasan.