Memahami Rekayasa Sosial - Perlindungan terhadap Peretasan Manusia

Sepotong berita baru-baru ini membuat saya menyadari bagaimana emosi dan pikiran manusia dapat (atau, sedang) digunakan untuk kepentingan orang lain. Hampir setiap dari Anda mengenal Edward Snowden , pelapor NSA yang mengintai dunia. Reuters melaporkan bahwa dia meminta sekitar 20-25 orang NSA untuk menyerahkan kata sandi mereka kepadanya untuk memulihkan beberapa data yang dia bocorkan nanti [1]. Bayangkan(Imagine) betapa rapuhnya jaringan perusahaan Anda, bahkan dengan perangkat lunak keamanan terkuat dan terbaik!

social_engineering

Apa itu Rekayasa Sosial?

Kelemahan manusia(Human) , rasa ingin tahu, emosi, dan karakteristik lainnya sering digunakan dalam mengekstrak data secara ilegal – baik itu industri apa pun. Industri TI(IT Industry) , bagaimanapun, telah memberinya nama rekayasa sosial. Saya mendefinisikan rekayasa sosial sebagai:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Berikut adalah baris lain dari berita yang sama [1] yang ingin saya kutip – “ Badan keamanan mengalami kesulitan dengan gagasan bahwa orang di bilik berikutnya mungkin tidak dapat diandalkan(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ”. Saya memodifikasi pernyataan itu sedikit agar sesuai dengan konteks di sini. Anda dapat membaca berita selengkapnya menggunakan tautan di bagian Referensi(References) .

Dengan kata lain, Anda tidak memiliki kendali penuh atas keamanan organisasi Anda dengan rekayasa sosial yang berkembang jauh lebih cepat daripada teknik untuk mengatasinya. Rekayasa sosial(Social) dapat berupa apa saja seperti menelepon seseorang yang mengatakan bahwa Anda adalah dukungan teknis dan meminta kredensial login mereka. Anda pasti telah menerima email phishing tentang lotere, orang kaya di Timur Tengah(Mid East) dan Afrika(Africa) yang menginginkan mitra bisnis, dan tawaran pekerjaan untuk menanyakan detail Anda.

Tidak seperti serangan phishing, rekayasa sosial lebih merupakan interaksi langsung dari orang ke orang. Yang pertama (phishing) menggunakan umpan – yaitu, orang-orang yang “memancing” menawarkan sesuatu kepada Anda dengan harapan Anda akan menyukainya. Rekayasa sosial(Social) lebih tentang memenangkan kepercayaan karyawan internal sehingga mereka mengungkapkan detail perusahaan yang Anda butuhkan.

Baca: (Read:) Metode Populer Rekayasa Sosial .

Teknik Rekayasa Sosial yang Dikenal

Ada banyak, dan semuanya menggunakan kecenderungan dasar manusia untuk masuk ke database organisasi mana pun. Teknik rekayasa sosial yang paling sering digunakan (mungkin sudah ketinggalan zaman) adalah menelepon dan bertemu orang-orang dan membuat mereka percaya bahwa mereka berasal dari dukungan teknis yang perlu memeriksa komputer Anda. Mereka juga dapat membuat kartu identitas palsu untuk membangun kepercayaan. Dalam beberapa kasus, pelakunya menyamar sebagai pejabat negara.

Teknik terkenal lainnya adalah mempekerjakan orang Anda sebagai karyawan di organisasi sasaran. Sekarang, karena penipu ini adalah kolega Anda, Anda mungkin memercayainya dengan detail perusahaan. Karyawan eksternal mungkin membantu Anda dengan sesuatu, sehingga Anda merasa berkewajiban, dan saat itulah mereka dapat melakukannya secara maksimal.

Saya juga membaca beberapa laporan tentang orang-orang yang menggunakan hadiah elektronik. Stik USB(USB) mewah yang dikirimkan kepada Anda di alamat perusahaan Anda atau pen drive yang tergeletak di mobil Anda dapat membuktikan bencana. Dalam suatu kasus, seseorang meninggalkan beberapa USB drive dengan sengaja di tempat parkir sebagai umpan [2].

Jika jaringan perusahaan Anda memiliki langkah-langkah keamanan yang baik di setiap node, Anda diberkati. Jika tidak, node ini menyediakan jalur yang mudah untuk malware – dalam hadiah atau pen drive yang “terlupakan” – ke sistem pusat.

Karena itu, kami tidak dapat memberikan daftar lengkap metode rekayasa sosial. Ini adalah ilmu pada intinya, dikombinasikan dengan seni di atas. Dan Anda tahu bahwa tak satu pun dari mereka memiliki batasan. Orang-orang rekayasa sosial(Social) terus berkreasi sambil mengembangkan perangkat lunak yang juga dapat menyalahgunakan perangkat nirkabel untuk mendapatkan akses ke Wi-Fi perusahaan .

Baca: (Read:) Apa itu Malware Rekayasa Sosial .

Mencegah Rekayasa Sosial

Secara pribadi, saya tidak berpikir ada teorema yang dapat digunakan admin untuk mencegah peretasan rekayasa sosial. Teknik rekayasa sosial terus berubah, dan karenanya menjadi sulit bagi admin TI untuk melacak apa yang terjadi.

Tentu saja, ada kebutuhan untuk mengawasi berita rekayasa sosial sehingga seseorang cukup mendapat informasi untuk mengambil langkah-langkah keamanan yang tepat. Misalnya, dalam hal perangkat USB , admin dapat memblokir drive USB pada masing-masing node yang memungkinkannya hanya di server yang memiliki sistem keamanan yang lebih baik. Demikian juga(Likewise) , Wi-Fi akan membutuhkan enkripsi yang lebih baik daripada yang disediakan sebagian besar ISP(ISPs) lokal .

Melatih karyawan dan melakukan tes acak pada kelompok karyawan yang berbeda dapat membantu mengidentifikasi titik lemah dalam organisasi. Akan mudah untuk melatih dan memperingatkan individu yang lebih lemah. Kewaspadaan(Alertness) adalah pertahanan terbaik. Yang ditekankan adalah bahwa informasi login tidak boleh dibagikan bahkan dengan pemimpin tim – terlepas dari tekanannya. Jika seorang pemimpin tim perlu mengakses login anggota, dia dapat menggunakan kata sandi utama. Itu hanya satu saran untuk tetap aman dan menghindari peretasan rekayasa sosial.

Intinya adalah, selain malware dan peretas online, orang-orang TI juga perlu menangani rekayasa sosial. Saat mengidentifikasi metode pelanggaran data (seperti menuliskan kata sandi, dll.), admin juga harus memastikan staf mereka cukup pintar untuk mengidentifikasi teknik rekayasa sosial untuk menghindarinya sama sekali. Menurut Anda apa metode terbaik untuk mencegah rekayasa sosial? Jika Anda menemukan kasus yang menarik, silakan berbagi dengan kami.

Unduh ebook ini tentang Serangan Rekayasa Sosial yang dirilis oleh Microsoft dan pelajari bagaimana Anda dapat mendeteksi dan mencegah serangan semacam itu di organisasi Anda.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

Referensi(References)

[1] Reuters , Snowden Membujuk Karyawan NSA Untuk(NSA Employees Into) Mendapatkan Info Masuk Mereka(Info)

[2] Boing Net , Pen Drive yang Digunakan untuk Menyebarkan Malware(Spread Malware) .



About the author

Saya seorang insinyur perangkat lunak dengan pengalaman lebih dari 15 tahun di Microsoft Office dan Edge. Saya juga telah mengembangkan beberapa alat yang digunakan oleh pengguna akhir, seperti aplikasi untuk melacak data kesehatan penting, dan pendeteksi ransomware. Keahlian saya terletak pada pengembangan kode elegan yang berfungsi dengan baik di berbagai platform, serta memiliki pemahaman yang baik tentang pengalaman pengguna.



Related posts