Tentang KamiPedoman Media SiberKetentuan & Kebijakan PrivasiPanduan KomunitasPeringkat PenulisCara Menulis di kumparanInformasi Kerja SamaBantuanIklanKarir
2024 © PT Dynamo Media Network
Version 1.93.2
Konten dari Pengguna
Cyber Security: Mengenal Lebih Jauh tentang Social Engineering
24 Agustus 2021 21:46 WIB
Tulisan dari Heri Apriyanto tidak mewakili pandangan dari redaksi kumparan
ADVERTISEMENT
Pasuruan – Social engineering marak terjadi di tengah masyarakat Indonesia. Dua pekan lalu saya mendengar cerita dari rekan kerja saya yang menjadi korban kejahatan penipuan melalui ponsel. Beliau mengalami kerugian puluhan juta yang sudah dia transfer ke rekening sang pelaku yang tidak dia kenal sama sekali sebelumnya. Modus yang digunakan sang pelaku adalah dengan memanfaatkan kebiasaan berbelanja online dari ibu-ibu modern dan membenturkannya dengan peraturan bea-masuk barang. Di mana jika sang korban tidak mengirimkan sejumlah dana, barang tersebut akan diperkarakan secara hukum.
ADVERTISEMENT
Cerita dari rekan saya di atas mengingatkan saya akan cerita lain yang belum lama heboh mengenai diperjualbelikannya data-data penduduk Indonesia di pasar online. Masyarakat terbelah menanggapi kasus ini, ada yang santai dan berpikir bahwa itu bukanlah sebuah masalah, namun ada juga yang panik dan marah, bagaimana bisa data sepenting dan sepribadi itu bisa bocor bahkan diperjualbelikan ke publik.
Dalam kasus kejahatan seperti yang dialami rekan kerja saya, banyak dari teman-teman saya berasumsi adanya penggunaan sihir dalam proses penipuan tersebut sehingga korban dapat dengan mudah merelakan Sebagian uangnya ke rekening penipu. Gendam adalah kata yang popular digunakan oleh masyarakat Indonesia. Pendapat ini tidak bisa disalahkan begitu saja, mengingat begitu banyaknya kemungkinan-kemungkinan dibalik sebuah kejadian. Akan tetapi, dari sudut pandang cyber security, teknik yang digunakan pelaku ini dapat dikategorikan ke dalam kejahatan social engineering.
ADVERTISEMENT
Kejahatan dengan metode social engineering ini sangat berhubungan dengan kasus kebocoran data penduduk indonesia beberapa waktu lalu. Data yang anda miliki adalah modal awal bagi para pelaku kejahatan untuk melancarkan serangannya. Dengan data pribadi anda yang tersebar bebas di internet, para pelaku kejahatan dapat dengan mudah mempelajari perilaku anda, siapa keluarga anda, di mana anda tinggal, apa pekerjaan anda dan banyak lagi sebelum kemudian menggunakan data tersebut untuk melakukan penipuan kepada anda atau keluarga anda. Data pribadi tersebut juga bisa digunakan untuk meretas akun pribadi anda yang berujung pada pemerasan atau pembobolan akun bank anda.
Ada beberapa kasus social engineering yang terjadi di dunia. Menurut Katharina Krombholz pada tahun 2015 dalam jurnalnya, dapat kita ketahui bahwa New York Times pada tahun 2013 juga mengalami pembobolan data dan informasi pegawai mereka melalui social engineering. Pelaku membutuhkan waktu 4 bulan sebelum berhasil melakukan serangan ke sistem New York Times. Ada 53 orang pegawai yang dapat dibobol passwordnya oleh pelaku pada serangan ini. Selain itu, pada 2011, sebuah perusahaan keamanan dari Amerika Serikat, RSA security, juga mengalami serangan social engineering. Serangan tersebut dilakukan melalui junk email. Karena serangan ini, jutaan RSA secure ID harus diperbaharui.
ADVERTISEMENT
Apa itu Social Engineering?
Berdasarkan Jurnal “On the Anatomy of Social Engineering Attack” yang ditulis oleh Jan-Willem Hendrik Bulle dari University of Twente, Belanda pada tahun 2016, Social Engineering adalah sebuah metode pemanfaatan titik terlemah dari sistem keamanan informasi dengan menggunakan pendekatan social untuk mencapai tujuannya dan meyakinkan calon korban. Manusia sebagai bagian dari sistem keamanan informasi menyimpan banyak informasi penting yang dapat dieksplotasi oleh pelaku kejahatan untuk kepentingan tertentu.
Cristopher Hadnaghy dalam bukunya berjudul “Social Engineering” tahun 2018 mencoba melihat social engineering lebih luas lagi. Menurut beliau, social engineering adalah segala sesuatu tindakan yang dapat mempengaruhi seseorang untuk melakukan sesuatu yang dia tidak ingin lakukan sebelumnya.
Dapat kita lihat bahwa fokus dari kejahatan menggunakan metode ini adalah memanfaatkan kelemahan psikologi manusia. Pelaku akan mengumpulkan data-data pribadi dan menjadikannya senjata untuk menyerang korban.
Metode dalam Social Engineering
Lalu bagaimana kita bisa menghindari kondisi tersebut dan terhindar dari kejahatan menggunakan social engineering? Pertama mari kita coba mengenal lebih dalam mengenai social engineering itu sendiri. Bagaimana biasanya para pelaku kejahatan menjebak korbannya menggunakan metode ini. Xin Luo dari The University of New Mexico USA pada tahun 2011 memaparkan beberapa teknik yang sering digunakan dalam social engineering diantaranya:
ADVERTISEMENT
1. Pretexting
Pretexting adalah metode yang paling sering digunakan oleh pelaku kejahatan untuk mencuri data pribadi korban. Pelaku akan menghubungi korban dan berpura-pura menjadi customer service, polisi, atau peran lain yang sering disegani masyarakat dan membuat korban percaya sehingga dengan sukarela mematuhi semua perintah pelaku. Pelaku memanfaatkan aspek psikologi korban untuk mendapatkan apa yang dia inginkan.
2. Phising
Phising juga sangat sering memakan korban di dunia maya. Pelaku menggunakan berbagai media seperti email, link atau form Ketika menggunakan metode phising dalam aksinya. Email yang terlihat resmi dari Lembaga negara, facebook, gmail, atau provider lainnya sudah dirancang sedemikian rupa untuk memancing korban memberikan data pribadinya dengan cara mengklik tautan atau mengisi formulir online.
ADVERTISEMENT
3. Online Social engineering/Baiting
Dengan metode ini, pelaku berusaha memperdayai korban dengan menjanjikan sebuah hadiah atau sesuatu yang menarik di internet. Biasanya pelaku memancing korban dengan tautan gratis unduh software, music, film atau hal-hal lain yang dapat membuat korban mengunjungi link yang sudah berisi jebakan dari pelaku. Apabila korban mengunjungi tautan yang dipasang pelaku, data-data korban dapat dengan otomatis di curi dan dimanfaatkan oleh pelaku penyerang social engineering.
4. Shoulder surfing
Shoulder surfing merupakan metode pengamatan perilaku korban secara langsung yang dilakukan oleh pelaku untuk mendapatkan informasi dari korban. Pelaku mengamati kebiasaan korban secara mendetail untuk mencari celah dalam pencurian data. Biasanya sering terjadi di tempat umum seperti tempat wisata, bandara, terminal, anjungan tunai mandiri (ATM), atau saat korban mengisi form pada layanan public. Untuk itu berhati-hatilah dalam pengisian data pribadi dan jagalah kerahasiaan PIN anda baik untuk ATM, smartphone atau akun media social.
ADVERTISEMENT
5. Dumpster diving.
Dumpster diving adalah pengumpulan informasi penting dengan cara mencari sampah berisi data-data penting. Pelaku akan coba mengais-ais sampah perusahaan atau dokumen pribadi lain untuk mencuri data pribadi korban atau perusahaan. Kasus yang cukup heboh adalah pemanfaatan sampah bekas belanja online yang masih tercantum nama,alamat dan nomor handphone korban. Pelaku dapat memanfaatkan data pada sampah tersebut untuk melakukan penyerangan/kejahatan.
Selain metode di atas, masih ada beberapa metode lain yang biasanya digunakan pelaku untuk mendapatkan informasi penting dari korban seperti Quid pro-pro (telepon acak yang berpura-pura sebagai technical support dengan harapan korban menelepon Kembali saat benar-benar ada masalah), Diversion theft (pengalihan informasi dengan cara meyakinkan pihak ketiga untuk memberikan informasi korban kepada pelaku), dan persuasion (berpura-pura sebagai teman lama, saudara, atau kerabat jauh untuk memperdayai korban. Lalu, bagaimana cara kita untuk terhindar dari berbagai metode serangan tersebut?
ADVERTISEMENT
Solusi Agar Tidak Menjadi Korban Social Engineering
Social engineering sejatinya memanfaatkan psikologi dan perilaku kita untuk mencuri data atau informasi yang nantinya akan digunakan untuk mendapatkan keuntungan. Untuk itu kunci agar terhindar dari serangan ini adalah dapat kita mulai dari kita sendiri. Menurut Curtis S Campbell dari University of Phoenix, Amerika, ada beberapa Tindakan yang dapat kita lakukan di antaranya:
ADVERTISEMENT
Selain solusi di atas, ada beberapa poin yang dapat juga terapkan seperti :
(HA)