“Nothing EVER goes away every time it’s posted online.” Seiring dengan meningkatnya aktivitas digital, kewaspadaan kita terhadap keamanan data juga perlu diperkuat. Peneliti Center for Digital Society (CfDS) Universitas Gadjah Mada (UGM), Tony Seno Hartono, mengatakan kejahatan digital berbasis social engineering tetap terjadi di masa pandemi Covid-19. Tanpa sadar, kita mungkin telah menyerahkan informasi sensitif kita pada pihak tak bertanggung jawab.
ThisIsEngineering/Pexels
Menurut buku Social and Organizational Liabilities to Information Security, social engineering secara simpel dideskripsikan sebagai “seni dan teknik untuk membuat orang menuruti keinginan Anda.”
Social engineering adalah penggunaan tipuan dan unsur non-teknis lain untuk memperoleh akses tak berizin terhadap suatu sistem informasi. Social engineering telah dipakai untuk menggambarkan berbagai macam serangan siber. Mulai dari phishing untuk memperoleh identitas pribadi, hingga spionase yang menargetkan korporasi atau pemerintah.
Kasus social engineering pertama terjadi tahun 1970. Melalui teknik dumpster diving, Jerry Schneider menemukan prosedur untuk melakukan pemesanan peralatan internal perusahaan. Ia lantas melakukan penyamaran sebagai karyawan lewat telepon dan berhasil mendapatkan peralatan komputer senilai $250.000.
Jenis social engineering yang paling umum adalah phishing dan pretexting. Phishing adalah penggunaan email tipuan yang mendorong pengguna untuk memasukkan atau memberikan data sensitif.
Sedangkan, pretexting adalah situasi di mana hackers memerankan “seorang ahli” dengan memberikan skenario palsu yang seolah-olah merupakan pilihan terbaik bagi korban. Penyerang dengan skill sosial yang baik dapat dengan mudah menimbulkan bahaya bagi sistem informasi, bahkan tanpa menyentuh aspek teknis sama sekali.
Para social engineers mengandalkan trigger psikologis (rasa takut, rasa belas kasih, hingga ketamakan), dan bias kognitif (bias kebenaran, anchoring (suatu kejadian yang memicu reaksi tertentu), hingga kesalahan dalam penghitungan resiko)).
Mika Baumeister/Unsplash
Menurut buku Hacking: Be a Hacker with Ethics, ada 4 tahap yang biasa dijalankan hackers dalam mempraktikkan social engineering.
Pertama, seorang penyerang akan melakukan analisis. Bila targetnya adalah korporasi, mereka akan memperhatikan behaviour para karyawannya. Perlu menjadi catatan bahwa mereka tidak melakukan serangan pada sembarang orang. Mereka mencari target yang dirasa rentan dari struktur keseluruhan perusahaan.
Kedua, selection. Saat penyerang selesai menelaah, mereka akan memilih salah satu target potensial untuk memperoleh data sensitif. Ternyata, “korban potensial” ini tak melulu berasal dari karyawan yang paling rentan. Target bisa saja berasal dari mereka yang tingkat kerentanannya medium hingga rendah, asal memiliki jabatan yang tinggi.
Ketiga, hackers akan menjaga hubungan. Setelah memahami targetnya, hackers akan membangun hubungan baik dengan targetnya. Pelan-pelan, mereka membangun kepercayaan dengan para korban melalui kontak langsung maupun tak langsung.
Keempat, attack. Hackers yang telah memperoleh rasa percaya dari targetnya lantas melakukan serangan in-person. Bila proses menjaga hubungan terlaksana dengan baik, mereka akan dengan mudah mengeksploitasi dan memperoleh akses informasi sensitif dari para korban.
Saksham Choudhary/Pexels
Tak kenal maka tak sayang. Bila kita ingin menghindari social engineering pada sistem informasi kita, kita perlu memahami terlebih dulu bagaimana cara mereka bekerja.
Social engineering umumnya dilakukan dengan menyesuaikan exposure atau tingkat keterpaparan perusahaan terhadap informasi. Contohnya, company yang tak banyak menggunakan dukungan telepon akan memiliki resiko pretexting yang lebih kecil daripada perusahaan yang memakai telepon.
Mengelompokkan jenis social engineering attacks akan menjamin lebih banyak jenis serangan yang tercover, mulai dari yang umum hingga tingkat yang lebih advanced dan jarang dilakukan. Taksonomi atau proses kategorial ini juga akan memberikan gambaran tentang teknik hacking yang dilakukan beserta tindakan pencegahannya.
Hal paling penting dalam mencegah dan mendeteksi social engineering attack adalah kebijakan sistem informasi yang baik. Ciri kebijakan yang ideal adalah mudah dipahami, memiliki jangkauan yang terukur, dan memiliki konsekuensi yang jelas atas setiap pelanggaran.
Membuat good policy bukanlah suatu aktivitas yang dapat diremehkan. Sebab, kebijakan yang baik melibatkan pemahaman terhadap perilaku manusia yang sifatnya kompleks. Good policy juga harus mampu mengantisipasi konsekuensi tak diinginkan akibat kebijakan tersebut yang sekiranya dapat mengurangi fleksibilitas suatu perusahaan.
Sebuah information security policy dalam perusahaan harus memisahkan social engineering dalam topik tersendiri.
Mitnick & Simon memberikan beberapa saran dalam membuat suatu kebijakan yang ideal:
Membuat protokol yang sifatnya ringkas dan jelas untuk dibiasakan pada karyawan. Melalui pengulangan, protokol ini diharapkan dapat meningkatkan kepercayaan diri karyawan dalam menghadapi serangan.
Buat peraturan singkat mengenai jenis informasi yang sifatnya sensitif. Sehingga, karyawan dapat mengingat dan mempraktikannya saat ada pihak yang meminta akses informasi.
Siapkan sistem yang meminta requestor identity setiap ada upaya restricted activity dalam sistem
Selain itu, diperlukan prosedur dalam menangani insiden social engineering. Pelaporan insiden social engineering harus bersifat mudah dan apresiatif.
Setelah kebijakan dibuat, karyawan juga perlu memahami konten kebijakan tersebut. Sebut saja, mengapa peraturan tersebut dibuat dan apa yang terjadi jika aturan dilanggar.
Memahami policy akan membuat karyawan memiliki kemampuan untuk mendeteksi serangan, sekaligus kepercayaan diri dalam menghadapi dan melaporkannya. Selain itu, mereka juga akan merasa lebih bertanggung jawab terhadap kebijakan yang dibuat karena telah memahami konsekuensi bila melanggarnya.
Masing-masing karyawan memiliki kepekaan yang berbeda dalam menangani social engineering attacks. Untuk itu, training yang diberikan pun perlu disesuaikan dengan kapasitas tersebut.
Mereka yang bertugas menetapkan security policy, mengelola tim security, atau menjadi admin teknologi keamanan perlu memiliki edukasi dari bidang pekerjaan mereka dalam bentuk gelar maupun sertifikasi.
Personil lainnya yang memiliki akses terhadap data sensitif harus menerima training yang memastikan pemahaman mereka terhadap jenis data dan dampak bila terjadi kebocoran maupun kecurian. Mereka perlu dilatih menangani dan menolak social engineering attack melalui kesadaran terhadap psychological trigger dan cognitive bias yang biasa dipakai oleh pelaku.
Selanjutnya, perusahaan juga perlu menguatkan aspek teknis dengan memanfaatkan teknologi. Contohnya, pemakaian email filtering untuk mengantisipasi jenis social engineering seperti phishing. Audit pun harus terus dilakukan untuk mengukur resiko perusahaan terhadap pencurian data. Hal ini penting untuk memikirkan teknik pencegahan yang tepat seiring dengan metode social engineering yang terus berkembang.
Sumber
https://books.google.co.id/books?id=PMbSXeHwBdgC&pg=PA229&dq=social+engineering&hl=id&sa=X&ved=2ahUKEwj01b7ns6TuAhUD8HMBHf0VB-c4ChDoATACegQIBRAC#v=snippet&q=social%20engineering&f=false
https://books.google.co.id/books?id=v3gpDwAAQBAJ&pg=PA79&dq=social+engineering&hl=id&sa=X&ved=2ahUKEwj01b7ns6TuAhUD8HMBHf0VB-c4ChDoATAJegQICBAC#v=onepage&q=social%20engineering&f=false
https://www.liputan6.com/tekno/read/4359714/masyarakat-harus-tingkatkan-kompetensi-keamanan-digital