Dalam keamanan komputer, banyak masalah terjadi meskipun pengguna telah berupaya sebaik mungkin. Misalnya, Anda dapat terkena malware dari malvertising kapan saja, itu benar-benar nasib buruk. Ada beberapa langkah yang dapat Anda ambil untuk meminimalkan risiko, seperti menggunakan pemblokir iklan. Tapi dipukul seperti ini bukanlah kesalahan pengguna. Serangan lain fokus pada menipu pengguna untuk melakukan sesuatu. Jenis serangan ini berada di bawah panji luas serangan rekayasa sosial.
Rekayasa sosial melibatkan penggunaan analisis dan pemahaman tentang bagaimana orang menangani situasi tertentu untuk memanipulasi hasil. Rekayasa sosial dapat dilakukan terhadap sekelompok besar orang. Dalam hal keamanan komputer, bagaimanapun, itu biasanya digunakan terhadap individu, meskipun berpotensi sebagai bagian dari kampanye besar.
Contoh rekayasa sosial terhadap sekelompok orang bisa berupa upaya menimbulkan kepanikan sebagai pengalih perhatian. Misalnya, seorang militer melakukan operasi false-flag, atau seseorang berteriak “tembak” di lokasi yang ramai dan kemudian mencuri di tengah kekacauan. Pada tingkat tertentu, propaganda sederhana, perjudian, dan periklanan juga merupakan teknik rekayasa sosial.
Namun dalam keamanan komputer, tindakannya cenderung lebih individual. Phishing mencoba meyakinkan pengguna untuk mengklik dan menautkan serta memasukkan detail. Banyak penipuan mencoba memanipulasi berdasarkan rasa takut atau keserakahan. Serangan rekayasa sosial dalam keamanan komputer bahkan dapat menjelajah ke dunia nyata seperti mencoba mendapatkan akses tidak sah ke ruang server. Menariknya, dalam dunia keamanan dunia maya, skenario terakhir ini, dan yang serupa, biasanya yang dimaksud ketika berbicara tentang serangan rekayasa sosial.
Rekayasa sosial yang lebih luas – online
Phishing adalah kelas serangan yang berupaya merekayasa sosial korban untuk memberikan detail kepada penyerang. Serangan phishing biasanya disampaikan dalam sistem eksternal seperti melalui email, sehingga memiliki dua poin rekayasa sosial yang berbeda. Pertama, mereka harus meyakinkan korban bahwa pesan tersebut sah dan membuat mereka mengklik tautan tersebut. Ini kemudian memuat halaman phishing, di mana pengguna kemudian akan diminta untuk memasukkan detail. Biasanya, ini akan menjadi nama pengguna dan kata sandi mereka. Ini bergantung pada email awal dan halaman phishing yang terlihat cukup meyakinkan untuk merekayasa sosial agar pengguna memercayai mereka.
Banyak penipuan mencoba merekayasa sosial korban mereka untuk menyerahkan uang. Penipuan klasik “pangeran Nigeria” menjanjikan pembayaran besar jika korban dapat membayar sedikit uang muka. Tentu saja, setelah korban membayar “biaya” tidak ada pembayaran yang diterima. Jenis serangan scam lainnya bekerja dengan prinsip serupa. Meyakinkan korban untuk melakukan sesuatu, biasanya menyerahkan uang atau menginstal malware. Ransomware bahkan adalah contohnya. Korban perlu menyerahkan uang atau berisiko kehilangan akses ke data apa pun yang dienkripsi.
Rekayasa sosial secara langsung
Ketika rekayasa sosial dirujuk di dunia keamanan dunia maya, biasanya merujuk pada tindakan di dunia nyata. Ada banyak contoh skenario. Salah satu yang paling dasar disebut tail-gating. Ini melayang cukup dekat di belakang seseorang sehingga mereka membuka pintu yang dikontrol akses untuk membiarkan Anda lewat. Tail-gating dapat ditingkatkan dengan menyiapkan skenario di mana korban dapat membantu Anda. Salah satu caranya adalah bergaul dengan perokok di luar saat istirahat merokok dan kemudian kembali ke dalam bersama kelompok. Metode lain adalah terlihat membawa sesuatu yang canggung. Teknik ini bahkan lebih mungkin berhasil jika apa yang Anda bawa bisa untuk orang lain. Misalnya, jika Anda memiliki nampan berisi cangkir kopi untuk "tim Anda", ada tekanan sosial bagi seseorang untuk menahan pintu agar tetap terbuka untuk Anda.
Sebagian besar rekayasa sosial secara langsung bergantung pada pembuatan skenario dan kemudian menjadi percaya diri di dalamnya. Misalnya, seorang insinyur sosial mungkin berpura-pura sebagai pekerja konstruksi atau pembersih yang umumnya diabaikan. Menyamar sebagai orang Samaria yang baik, menyerahkan USB thumb drive yang "hilang" dapat menyebabkan karyawan memasangnya. Tujuannya adalah untuk melihat siapa pemiliknya, tetapi kemudian dapat menginfeksi sistem dengan malware.
Jenis serangan rekayasa sosial secara langsung ini bisa sangat berhasil, karena tidak ada yang benar-benar berharap untuk ditipu seperti itu. Namun, mereka membawa banyak risiko bagi penyerang yang memiliki peluang nyata untuk tertangkap basah.
Kesimpulan
Rekayasa sosial adalah konsep memanipulasi orang untuk mencapai tujuan yang ditargetkan. Salah satu cara melibatkan menciptakan situasi yang tampak nyata untuk mengelabui korban agar mempercayainya. Anda juga dapat membuat skenario di mana ada tekanan atau harapan sosial bagi korban untuk bertindak bertentangan dengan saran keamanan standar. Namun, semua serangan rekayasa sosial bergantung pada menipu satu atau lebih korban untuk melakukan tindakan yang diinginkan penyerang.