Last Updated on January 6, 2022 by
Hati-hati! Bahaya social engineering attacks sedang mengintai bisnis online Anda saat ini. Apa itu social engineering? Social engineering attacks marak terjadi semenjak pandemi melanda. Serangan online ini 2x lipat lebih berbahaya karena sangat sulit untuk dideteksi.
Seperti apa itu social engineering dan cara menghindarinya? Ayo perkuat perlindungan data diri kita dengan mempelajari artikel seputar social engineering attack berikut ini!
Daftar Isi
Pengertian Social Engineering Adalah
Social engineering attacks adalah dampak negatif berbelanja online baru. Masih banyak orang awam yang belum tahu pengertian social engineering.
Dalam bahasa Indonesia, apa itu social engineering adalah rekayasa sosial. Pengertian social engineering adalah aksi manipulatif hacker untuk memperoleh data sensitif pengguna, seperti kode OTP, password, pin ATM, tanggal lahir, dan lain-lain.
Serangan ini begitu berbahaya karena hacker sering menyamar sebagai pihak legal berwenang atau orang-orang terpercaya dari korban. Alhasil korban dengan mudah terperdaya oleh jebakan tipuan dan mau membagi data-data pribadinya.
Selain itu, social engineering attacks bisa turut terjadi akibat sikap lengah korban. Korban tidak melakukan cross check identitas akun yang menghubunginya atau langsung percaya begitu saja. Otomatis, kita pun ‘kecolongan’.
Di dunia cybercrime, serangan ini tergolong sebagai human hacking karena langsung menyerang sisi psikologis korban bukan cuma sekadar merusak teknologi bisnis online Anda.
Contoh Social Engineering Attacks
Sebuah kasus penipuan pernah terjadi pasca tren Instagram Story ‘Add Yours’. Dalam tren ini, pengguna IG diajak saling berbagi info-info kecil mereka, seperti nama panggilan, tempat tanggal lahir, foto selfie, dan lain-lain.
Sayangnya masih banyak masyarakat kita yang menganggap data-data tersebut ‘sepele’, sehingga tak keberatan untuk membagikannya ke publik. Nah, inilah salah satu bentuk keteledoran yang dapat dimanfaatkan hacker guna melancarkan serangan.
Terbukti, salah seorang netizen (twitter.com/ditamoecthar_) membagikan kisah temannya yang menjadi korban social engineering attacks pasca mengikuti tren IG Add Yours.
Sumber: niagahoster.co.id (https://niagaspace.sgp1.digitaloceanspaces.com/blog/wp-content/uploads/2021/12/21222504/dampak-social-engineering.jpg)
Penipu sukses mendapatkan uang lewat berpura-pura menjadi teman dekat korban. Aksi jahatnya berhasil karena penipu mengetahui nama panggilan kecil dari korban yang disebar di sosial media. Inilah yang dimaksud apa itu social engineering.
2 Tujuan Social Engineering Adalah
Ada banyak sekali dampak negatif berbelanja online yang tidak aman atau jelas prosedurnya. Jika salah langkah, maka data pribadi Anda lah yang akan dibobol.
Terdapat dua tujuan utama dari aksi hack merugikan ini antara lain:
- Perusakan (sabotase) data: hacker bisa mencuri, menyalin, menyebar virus, mengubah atau menghapus data-data penting dari bisnis online supaya timbul kekacauan sistem.
- Pencurian data: hacker mencuri atau memperoleh akses masuk ke info-info rahasia korban, seperti akun e-wallet, data bisnis, akses kartu pembayaran debit/kredit, dan lain-lain untuk disalahgunakan.
Cara Kerja Social Engineering Adalah
Kita sudah tahu apa itu social engineering. Lalu bagaimana dengan cara kerjanya?
Serangan rekayasa sosial bisa terjadi memakai beragam media. Mulai dari pesan email, sosial media, pesan chat, website, panggilan telepon dan seterusnya. Hacker hanya perlu membuat pesan-pesan yang meyakinkan untuk meraih kepercayaan dari korbannya.
Hacker memanfaatkan sisi lemah korban dalam serangannya, seperti:
- Sikap ceroboh korban saat berbelanja online atau menggunakan sosial media.
- Ketidaktahuan korban terhadap tips belanja online aman (keamanan cyber).
- Kemalasan korban untuk melakukan double cross check; mengecek kembali keaslian identitas pihak yang menghubunginya dan memberi tawaran tertentu.
- Kebiasaan buruk korban saat berinternet, contohnya sering mengklik link yang tak jelas sumbernya.
- Ketidaksadaran korban terhadap pentingnya data diri pribadi, semisal no telepon, tempat tanggal lahir, dan data identitas lain.
Dari sinilah hacker dapat menyusun jebakan untuk menipu Anda, supaya Anda mau membagi info rahasia, mengizinkan akses ke sistem penting, atau menransfer sejumlah uang.
Serangan social engineering sangat terstruktur dan rapi. Inilah juga yang menjadi alasan kejahatan online satu ini amat sulit disadari. Dari sisi waktu, serangan ini dapat terjadi satu kali via chat/email, ataupun selama berbulan-bulan lamanya melalui sosmed.
Secara umum cara kerja social engineering adalah:
- Hacker mengumpulkan data-data diri atau informasi penting korban yang bisa ditemukan di sosial media atau website. Data yang bersifat publik umumnya lebih mudah mereka kumpulkan.
- Setelahnya, hacker beraksi dengan memulai komunikasi sungguhan dengan korban. Mereka mengirimi Anda pesan-pesan berisi tawaran spesial, pertolongan bantuan, atau mengaku sebagai kerabat Anda.
- Begitu korban mulai percaya, mereka akan digiring oleh hacker untuk melakukan hal-hal tertentu. Korban juga akan ‘dimotivasi’ oleh penyerang agar mau menuruti keinginannya. Jadi hacker tidak perlu repot-repot membobol sistem pertahanan akun dari korbannya.
- Korban yang terperdaya menuruti keinginan hacker, seperti menransfer uang atau memberi informasi penting rahasia.
- Hacker akan langsung memutus hubungan usai mendapatkan apa yang mereka mau. Biasanya pada titik inilah korban baru sadar bahwa mereka sudah ditipu.
7 Jenis Social Engineering Adalah
Berikut ini 7 jenis aksi kejahatan social engineering yang sering terjadi menimpa individu ataupun bisnis online:
1. Quid Pro Quo
Quid Pro Quo adalah serangan hacker untuk memperoleh info-info sensitif konsumen dengan cara berpura-pura menawarkan jasa penting.
Banyak hacker bertindak sebagai akun customer service palsu atau akun perusahaan yang terlihat resmi. Selanjutnya, mereka akan ‘menawarkan bantuan’ pada masyarakat yang mengalami masalah pengguna.
Contohnya akun-akun customer service bank yang menghubungi konsumen bermasalah. Mereka lantas menipu konsumen dengan memberi arahan harus transfer uang atau membagi no PIN/OTP demi menuntaskan masalah.
Jangan sampai ada hacker yang menyamar menjadi akun bisnis Anda karena bisa menurunkan rasa kepercayaan konsumen pada bisnis.
2. Tailgating (Piggybacking)
Contoh selanjutnya adalah tailgating atau piggybacking. Aksi penipuan rekayasa ini termasuk ke dalam hacking fisik, sebab, hacker memperdaya orang-orang penting berwenang.
Hacker memanipulasi orang-orang ini untuk memperoleh akses masuk ke tempat-tempat rahasia. Setelahnya mereka akan mencuri kode-kode verifikasi yang dibutuhkan untuk memulai pembobolan.
Kasus tailgating pernah terjadi di luar negeri oleh Colin Greenless. Greenless menyamar sebagai seorang konsultan teknologi profesional dan sukses menipu sebuah perusahaan jasa keuangan. Lebih mengejutkannya lagi, aksi tersebut berjalan mulus lewat percakapan biasa dan sikap ramah tamah dari pelaku!
3. Scareware
Penipuan juga bisa terjadi dengan cara menakut-nakuti calon korban. Hacker bisa meretas sebuah website atau aplikasi bisnis, lalu membuat notifikasi palsu berisi pesan peringatan genting. Contohnya: “Peringatan! Terdeteksi Malware pada Perangkat Anda!”
Korban pun terkecoh karena pesan peringatan sengaja didesain semirip mungkin dengan pesan peringatan asli. Belum lagi dengan ancaman ‘menakutkan’ yang berbahaya dari pesan.
Alhasil, korban terdorong untuk mengklik notifikasi serta mengikuti instruksi yang diberikan oleh hacker.
4. Baiting
Dari semua jenis serangan social engineering, baiting adalah yang paling sering terjadi dan memakan korban. Apa itu baiting?
Baiting diambil dari bahasa Inggris ‘bait’ yang berarti umpan. Dalam prakteknya, hacker menebar ‘umpan’ memberi janji-janji palsu agar korban terpikat.
Semisal Anda ingin mendownload film, namun website tiba-tiba mengarahkan Anda agar mengizinkan akses ke perangkat. Biasanya korban akan memberi akses yang diminta demi bisa mendownload film tersebut.
Di sinilah hacker akan mendapat akses masuk ke perangkat korban dan berbuat kekacauan. Seperti memasukkan virus, mencuri data penting dan lain-lain.
Baiting juga bisa terjadi dengan kedok keuntungan bisnis online. Semisal Anda menerima pesan voucher atau gift gratis yang bisa diklaim lewat link. Begitu link diklik, ternyata yang Anda terima adalah virus.
5. Phishing
Phishing adalah dampak negatif berbelanja online sembarangan yang selalu terjadi setiap tahun. Aksi bejat ini dalam berbagai bentuk dan bisa menyerang siapa saja. Di pertengahan tahun 2021 saja, tercatat 260 ribu lebih kasus phishing menyerang berbagai industri bisnis.
Phishing tergolong sebagai dampak negatif berbelanja online yang paling berbahaya. Penipuan ini dilakukan dalam bentuk promosi email atau chat berisi pesan-pesan yang memancing rasa penasaran. Data-data penting korban akan langsung tercuri usai mereka mengklik link pada pesan phishing.
Serangan phishing memiliki dua tujuan yakni:
- Mencuri data diri pribadi penting yang tersimpan pada perangkat korban (umumnya data-data akun).
- Memasukkan malware/virus berbahaya ke perangkat korban.
6. Spear Phishing
Saat ini serangan phishing berkembang menjadi lebih ‘canggih’ dan terstruktur bernama spear phishing. Sasaran spear phishing pun bukan cuma konsumen, melainkan bisnis-bisnis online.
Ada pula 2 jenis spear phishing yang sering dilakukan yakni:
- CEO Fraud: hacker berpura-pura menjadi CEO, petinggi atau komponen eksekutif sebuah bisnis.
- Whaling: hacker menyerang data-data penting milik pejabat perusahaan.
Hacker spear phishing menargetkan data yang lebih penting, lebih bernilai atau uang yang lebih banyak jumlahnya. Contoh targetnya seperti big data, informasi konsumen, hingga faktur/invoice perusahaan.
Maka dari itu, hacker mengerahkan lebih banyak upaya, waktu dan tenaga untuk menyusun strategi serangan. Secara umum trik spear phishing dilakukan seperti ini:
- Hacker mengumpulkan data publik dari perusahaan korban yang bisa mereka manfaatkan (seperti email, nama korban, posisi pekerjaan, dan lain-lain).
- Hacker menyusun pesan sedemikian rupa, sekaligus menyesuaikan isinya dengan logo perusahaan, ciri khas kantor, info kontak dan posisi pekerjaan korban agar pesan tampak asli.
- Hacker mengirimkan pesan tersebut kepada korban dan memulai interaksi. Begitu korban mulai percaya, ia akan langsung menjalankan niat aslinya.
7. Pretexting
Terakhir adalah serangan social engineering pretexting. Di sini hacker menyerang korban dengan kebohongan licik atau skenario kejadian palsu.
Penipu berpura-pura menjadi kerabat, rekan kerja, atasan atau orang kepercayaan korban. Selanjutnya ia akan meminta info penting dari korban dengan alasan melaksanakan tugas penting. Hacker yang melaksanakan trik ini umumnya memiliki skill persuasif tinggi demi memikat kepercayaan korbannya.
Tips Belanja Online Aman : Menghindari Social Engineering
Dampak-dampak negatif berbelanja online memang tidak bisa kita hapus sepenuhnya, namun Anda tidak perlu cemas. Kami punya beberapa tips belanja online aman untuk menghindari peluang diri terjerumus sebagai korban penipuan hacker. Apa sajakah?
1. Jangan Cepat Tergiur Penawaran Asing
Anda mungkin menerima banyak sekali penawaran menarik dari bisnis-bisnis online, entah itu promosi dari email, sosial media atau pesan chat. Sebelum mengklik link klaim promo yang ditawarkan, cobalah untuk mengecek kembali keaslian promo dan identitas pengirim pesan.
Jangan sekalipun mengklik link yang tak jelas asal-usulnya, tak peduli seberapa penasaran Anda dengan isinya.
2. Jangan Cepat Percaya dengan Orang Tak Dikenal
Berkenalan dengan orang baru dan menjalin relasi memang hal yang baik. Akan tetapi, sebaiknya tetap hindari sikap terlalu terbuka dan mudah percaya dengan orang asing. Sikap ini sangat sering dimanfaatkan penipu untuk memuluskan aksinya.
Selain itu, pasang juga aplikasi pendeteksi nomor telepon untuk mengecek keaslian identitas orang yang tiba-tiba menghubungi Anda. Bisa saja mereka mengaku sebagai kerabat, padahal bukan.
3. Jangan Sembarang Download File
Berikan briefing pada karyawan Anda agar lebih waspada dan tidak sembarangan download file gratis dari internet. Ajarkan ilmu keamanan cyber kepada karyawan Anda supaya mereka selalu ingat mengecek keaslian website yang mereka kunjungi.
4. Edukasi Konsumen Anda
Sebagai pihak bisnis, penting bagi Anda untuk turut mengedukasi konsumen perihal penipuan social engineering. Banyak bisnis online rajin memperingatkan konsumen untuk tidak memberikan OTP/PIN pada pihak manapun, termasuk yang mengaku sebagai pihak perusahaan.
Anda juga bisa memberitahukan nomor-nomor resmi layanan customer service bisnis agar konsumen yang bermasalah langsung mengontak nomor tersebut, bukan yang lain.
Demikianlah pembahasan pengertian social engineering beserta tips belanja online aman dari MARKEY. Ayo jadi lebih cerdas berbisnis online dengan terus mengikuti artikel tips bisnis gratis di https://markey.id/ . Bisa juga download MARKEY APP di Google Play atau AppStore, ya.
Sampai bertemu lagi!
Jasa Pembuatan Aplikasi, Website dan Internet Marketing | PT APPKEY
PT APPKEY adalah perusahaan IT yang khusus membuat aplikasi Android, iOS dan mengembangkan sistem website. Kami juga memiliki pengetahuan dan wawasan dalam menjalankan pemasaran online sehingga diharapkan dapat membantu menyelesaikan permasalahan Anda.