Meskipun banyak yang khawatir tentang virus, malware, dan peretas, sering kali dilupakan bahwa kerentanan terbesar ada pada diri kita sendiri: manusia.

Rekayasa sosial didasarkan pada manipulasi psikologis untuk mengelabui Anda agar Anda mengungkapkan informasi rahasia atau mengambil tindakan yang membahayakan keamanan perusahaan Anda.

Apa itu rekayasa sosial dan bagaimana cara mengenalinya?

Rekayasa sosial bukanlah hal yang baru, tetapi telah berevolusi dengan teknologi.

Bayangkan seorang peretas yang tidak perlu memecahkan kode atau meretas sistem. Sebaliknya, dia memanipulasi karyawan perusahaan untuk mendapatkan akses ke informasi sensitif.

Pendekatan ini mengeksploitasi kepercayaan diri, keingintahuan, atau bahkan rasa takut.

Anda dapat mengenali upaya rekayasa sosial ketika seseorang meminta informasi sensitif atau mengundang Anda untuk mengklik tautan yang mencurigakan dengan alasan palsu.

Email phishing, panggilan telepon penipuan, dan unggahan media sosial adalah metode yang umum digunakan.

Untuk melindungi diri Anda dan perusahaan Anda, penting untuk selalu waspada, selalu memverifikasi permintaan informasi dan jangan pernah membagikan data sensitif tanpa benar-benar yakin akan keaslian pemohon.

Kasus-kasus kerentanan di perusahaan

1. Phishing yang menargetkan karyawanSebuah perusahaan besar diserang ketika seorang peretas mengirim email ke beberapa karyawan yang menyamar sebagai direktur TI. Email tersebut meminta karyawan untuk mengubah kata sandi mereka di situs palsu, yang memungkinkan peretas mengakses akun perusahaan.

2. Serangan phishingDi perusahaan lain, seorang peretas menyamar sebagai pemasok tetap perusahaan dan meminta perubahan rekening bank untuk pembayaran. Perusahaan mentransfer sejumlah besar uang ke rekening peretas sebelum menyadari penipuan tersebut.

3. Rekayasa sosial melalui jejaring sosialSeorang karyawan membagikan detail pekerjaannya dan sistem yang digunakannya di media sosial. Seorang peretas menggunakan informasi ini untuk mengelabui departemen dukungan teknis perusahaan dan mendapatkan akses ke akun karyawan tersebut.

Kisah sukses perusahaan yang mencegah serangan rekayasa sosial

1. Upaya phishing dihentikan oleh kesadaran staf

Apa yang dicoba oleh para peretas: Sekelompok penjahat siber mencoba menyerang sebuah perusahaan jasa keuangan dengan mengirimkan email phishing ke beberapa karyawan. Email-email tersebut tampaknya berasal dari kepala bagian keuangan perusahaan dan meminta para karyawan untuk memasukkan kredensial mereka di sebuah situs web yang meniru halaman login perusahaan. Tujuannya adalah untuk mendapatkan akses ke akun karyawan dan membobol sistem internal.

Bagaimana mereka menghindarinya: Berkat program pelatihan keamanan siber yang sedang berlangsung, salah satu karyawan mengenali email tersebut sebagai email yang mencurigakan. Alih-alih mengklik tautan tersebut, ia malah menginformasikannya kepada tim keamanan perusahaan. Tim ini mampu menganalisis email tersebut dan mengonfirmasi bahwa itu adalah upaya phishing. Mereka kemudian memperingatkan seluruh organisasi dan memperkuat langkah-langkah keamanan, sehingga mencegah serangan itu berhasil.

2. Peniruan dicegah dengan verifikasi yang ketat

Apa yang dicoba oleh para peretas: Dalam contoh lain, seorang peretas menyamar sebagai pemasok reguler untuk perusahaan manufaktur dan mengirim email ke departemen hutang yang meminta perubahan pada rekening bank tempat pembayaran dilakukan. Rencana peretas adalah mengalihkan sejumlah besar uang ke rekening yang dikendalikan oleh mereka.

Bagaimana mereka menghindarinya: Kebijakan perusahaan mengharuskan setiap permintaan perubahan informasi pembayaran diverifikasi melalui panggilan telepon langsung ke pemasok. Setelah mencoba memverifikasi permintaan tersebut, bagian utang usaha menghubungi pemasok yang sebenarnya, yang menyangkal telah meminta perubahan tersebut. Hal ini menimbulkan tanda bahaya, dan upaya peniruan berhasil digagalkan sebelum uang ditransfer.

3. Rekayasa sosial melalui media sosial terganggu oleh pemantauan proaktif

Apa yang dicoba oleh para peretas: Dalam sebuah upaya penyusupan, para peretas mengidentifikasi seorang karyawan perusahaan teknologi melalui jejaring sosialnya. Mereka kemudian menggunakan informasi yang diposting oleh karyawan tersebut untuk membuat profil palsu dan menyamar sebagai dirinya. Rencananya adalah untuk menghubungi dukungan teknis perusahaan dan meminta pengaturan ulang kata sandi, dengan mengklaim adanya masalah akses.

Bagaimana mereka menghindarinya: Perusahaan memiliki sistem pemantauan media sosial yang proaktif, yang dirancang untuk mendeteksi potensi risiko keamanan yang terkait dengan rekayasa sosial. Setelah mengetahui pembuatan profil palsu tersebut, tim keamanan mengambil tindakan segera untuk melindungi akun karyawan dan memberi tahu staf dukungan teknis tentang upaya penipuan tersebut. Hasilnya, peretas tidak berhasil mendapatkan akses ke akun mana pun dan keamanan perusahaan tetap terjaga.

Kasus-kasus ini menunjukkan bagaimana persiapan, pelatihan, dan kebijakan yang jelas dapat membuat perbedaan besar dalam mencegah serangan rekayasa sosial yang berhasil. Kuncinya adalah tetap waspada dan selalu memiliki protokol keamanan yang kuat.

Ringkasan

Rekayasa sosial merupakan tantangan yang kompleks karena tidak bergantung pada teknologi, tetapi pada manipulasi manusia. Perusahaan harus mendidik karyawan mereka untuk mengenali tanda-tanda potensi serangan dan menetapkan prosedur yang jelas untuk menangani permintaan informasi. Kombinasi dari kesadaran, pelatihan dan protokol keamanan bisa menjadi kunci untuk melindungi dari ancaman-ancaman ini.