Social Engineering, Seni Nge-hack Manusia

Ketika mendengar kata hack, mungkin sebagian dari kita langsung terlintas gambaran sistem yang diretas, komputer canggih, hacker yang lihai mengetikkan command dengan jari-jarinya, script hijau berlatar hitam, atau topeng Guy Fawkes yang biasa dipakai oleh para anonymous hacker. Nyatanya, hack memiliki cakupan lebih luas daripada hal-hal tersebut, lho. Tidak hanya sistem yang di-hack, tetapi manusia juga dapat menjadi sasaran hack.

Jika mengulik lebih dalam, kegiatan hack diawali oleh riset detail mengenai target atau reconnaissance. Pada tahap ini, sering kali hacker memanfaatkan kelalaian Sumber Daya Manusia (SDM) yang berkaitan dengan target untuk mendapatkan informasi melalui cara rekayasa sosial.

Rekayasa sosial atau dikenal dengan social engineering merupakan kejahatan  yang dilakukan dengan memanipulasi psikologi manusia guna mendapatkan informasi rahasia atau barang berharga seperti uang.

Dalam ranah teknologi, istilah social engineering mulai dipopulerkan oleh salah satu hacker terkenal di dunia, Kevin Mitnick, pada era 90-an. Praktik social engineering di dunia teknologi memiliki landasan motif yang lebih beragam, misalnya untuk mendapatkan akses tertentu, mencuri informasi penting, pengambilalihan resource, dan lain sebagainya.

Siapa pun bisa menjadi target praktik kejahatan ini, mulai dari perorangan, perusahaan, hingga lembaga pemerintahan. Salah satu kasus social engineering yang paling menggemparkan dunia adalah kasus Toyota Boshoku Corporation yang terjadi tahun 2019 dan mengakibatkan kerugian mencapai 37 juta USD. Teknik yang digunakan oleh pelaku adalah business email compromise (BEC) scam, yakni pelaku berpura-pura menjadi mitra bisnis korban dan mengirim surel ke departemen finance and accounting untuk meminta pembayaran transaksi ke akun bank yang sepenuhnya dikontrol oleh pelaku. Kasus social engineering yang menimpa penyanyi Maia Estianty pada 2020 menjadi bukti social engineering dapat menyerang siapa saja.

Adapun jenis-jenis praktik social engineering yang umum terjadi sebagai berikut.

1. Phishing

Phishing adalah tindakan untuk mendapatkan informasi rahasia seperti ID pengguna, password, dan data-data sensitif lainnya dengan menyamar sebagai orang atau organisasi yang berwenang melalui surel. Teknik ini dapat dikategorikan lagi sesuai dengan korban yang dituju serta media yang digunakan, seperti spear phishing, whaling, vishing, smishing, dan angler phishing.

• Spear phishing adalah jenis phishing yang ditargetkan kepada kelompok atau orang yang spesifik dibandingkan phishing.
• Whaling adalah jenis phishing yang lebih spesifik dibandingkan spear phishing dan target kejahatan ini adalah bagian eksekutif dari perusahaan atau lembaga.
• Vishing atau voice phishing adalah jenis phishing yang menggunakan telepon sebagai media untuk menipu korban. Ini menjadi salah satu teknik yang paling umum digunakan.
• Smishing atau SMS phishing yakni phishing yang dilakukan melalui SMS. Pelaku biasanya mengimingi korban memenangkan hadiah dari suatu perusahaan yang cukup ternama dan mengirimkan link untuk mengambil hadiah tersebut. Link tersebut mengantarkan korban ke alamat website tipuan lalu korban akan diminta untuk memasukkan ID dan password akun pengguna mereka.

• Angler phishing adalah teknik phishing yang memanfaatkan sosial media sebagai lahan untuk beraksi. Target empuk dari kejahatan ini adalah pengguna sosial media yang menyebarkan terlalu banyak informasi pribadi, khususnya permasalahan yang dialami dengan perusahaan jasa maupun produk yang mereka gunakan. Pelaku akan membuat akun yang serupa dengan akun resmi perusahaan tersebut dan menanyakan informasi pribadi mereka untuk selanjutnya dimanfaatkan. Tak jarang, pelaku juga mengirim link yang apabila diklik akan mengaktifkan instalasi malicious software (malware) pada korban yang membuka gerbang untuk kejahatan siber lainnya.

2. Shoulder surfing

Apakah Anda tahu fungsi cermin cembung pada atas layar mesin ATM? Cermin cembung tersebut memiliki fungsi untuk mencegah terjadinya shoulder surfing ketika pengguna memasukkan pin dari orang yang berada di sekitarnya. Shoulder surfing adalah teknik untuk mengetahui informasi rahasia seperti PIN, username, dan password dengan cara mengintai dan mempelajari pergerakan jari korban. Shoulder surfing umumnya terjadi di ATM, meja kerja, kios pembayaran, dan lokasi lainnya yang membutuhkan autentikasi dengan memasukkan informasi pengguna.

3. Hoax

Hoax pada lingkup social engineering merupakan sebutan untuk pesan berantai yang memuat informasi palsu. Salah satu contoh informasi palsu ini adalah pemberitahuan ada virus komputer yang dapat menyebabkan kebakaran, membuat komputer rusak, menghapus seluruh file di komputer, dan bualan lainnya. Orang-orang yang terpengaruh kemungkinan besar akan menyebarluaskan informasi ini.

4. Impersonation

Impersonation adalah jenis social engineering yang menjadi dasar atas tindakan social engineering pada umumnya. Pada kejahatan ini, pelaku berpura-pura menjadi apa saja, mulai dari pihak yang berwenang, pelanggan, anggota eksekutif perusahaan, dan lain sebagainya.

5. Dumpster diving

Saat membeli gorengan, pernahkah melihat kertas gorengan yang kamu pegang berisikan informasi seperti nama, alamat, nomor induk siswa/mahasiswa (NIS/NIM), nomor telepon, dan informasi sensitif lainnya? Hal tersebut dapat dilihat sebagai potensi untuk dumpster diving. Secara terminologi di bidang information security, dumpster diving adalah kegiatan mencari informasi sensitif di tempat pembuangan suatu perusahaan, lembaga, maupun permukiman. Informasi sensitif ini dapat ditemukan pada kertas dan perangkat keras seperti hard disk.

6. Tailgating

Tailgating yang memiliki sebutan lain piggybacking merupakan teknik untuk memasuki daerah yang membutuhkan akses dengan cara membuntuti orang yang memiliki akses masuk daerah tersebut.

Setelah mengenal beberapa jenis praktik social engineering, bagaimana cara mengatasi kejahatan ini? Berikut beberapa tips yang dapat diaplikasikan untuk mengatasi social engineering.

• Jangan menyebarkan terlalu banyak informasi, baik di dunia nyata maupun dunia maya.
• Periksa kembali sumber atau pengirim informasi.
• Break the loop.
• Usahakan tidak menggunakan password yang sama untuk akun yang berbeda.
• Pasang spam filter.
• Selalu waspada dengan keadaan sekitar.
• Memerhatikan aktivitas di dunia maya.
• Jangan memberikan autentikasi berupa PIN dan kode kepada siapa pun, termasuk dari pihak yang mengaku berwenang.
• Jangan asal memencet link yang diterima melalui SMS dan surel.
• Pastikan file yang sudah tidak digunakan untuk dihancurkan atau dihapus sebaik-baiknya (untuk menghindari aksi dumpster diving).
• Selalu memastikan autentikasi dan verifikasi untuk setiap personel perusahaan baik akses data maupun akses masuk-keluar bangunan.
• Mengamankan bangunan khususnya ruangan yang menyimpan data sensitif semaksimal mungkin, misalnya memasang CCTV, menempatkan petugas keamanan, menggunakan sistem penguncian yang aman, dan lain sebagainya.

Kita tidak bisa memprediksi kapan kejahatan akan datang, tetapi kita bisa mencegah kejahatan tersebut memberikan dampak bagi kita dan orang lain. Ketahui ciri-ciri rekayasa sosial, selalu waspada dengan lingkungan sekitar, dan apa yang kita bagikan baik di dunia nyata maupun dunia maya menjadi fondasi dasar perlindungan diri dari kejahatan social engineering. Hati-hati di jalan, hati-hati di internet.

“The weakest link in the system is the human itself”

---

Penulis: Farhan Ramadhan Putrantona

Penyunting: Faqihah Husnul Khatimah

Sumber Foto: infosecinstitute.com