Trace Id is missing

Menarik keuntungan dari ekonomi kepercayaan: penipuan rekayasa sosial

Bagikan
Siluet seseorang yang terbuat dari kode, memakai topeng, dan melangkah keluar dari ponsel. Siluet ini diikuti oleh gelembung merah yang merepresentasikan pelaku ancaman.

Di dunia yang semakin online, di mana kepercayaan menjadi ‘mata uang’ sekaligus titik rentan, pelaku ancaman berupaya untuk memanipulasi perilaku manusia dan memanfaatkan orang-orang yang cenderung ingin memberikan bantuan. Di dalam infografik ini, kami akan mengeksplorasi rekayasa sosial, termasuk alasan mengapa pelaku ancaman lebih menghargai identitas profesional di atas segalanya, seraya memberikan Anda panduan tentang beberapa cara pelaku dalam memanipulasi sifat manusia untuk mencapai tujuan mereka.

Rekayasa sosial dan daya pikat kriminal pada pengelabuan

Sekitar 901 persen serangan pengelabuan melibatkan taktik rekayasa sosial yang dirancang untuk memanipulasi korban, dan biasanya dilakukan melalui email, agar korban mengungkapkan informasi sensitif, mengeklik tautan berbahaya, atau membuka file berbahaya. Pengelabuan adalah serangan yang hemat biaya bagi penyerang, mudah disesuaikan untuk membantu penyerang menghindari tindakan pencegahan serangan, serta dianggap memiliki tingkat keberhasilan yang tinggi.

Pencetus perilaku manusia

Teknik rekayasa sosial cenderung mengandalkan kepercayaan diri dan bujukan penyerang untuk meyakinkan target agar bertindak di luar karakter mereka yang sebenarnya. Ada tiga pemicu efektif, yakni urgensi, emosi, dan kebiasaan.2 Urgensi  Tidak seorang pun ingin melewatkan peluang yang sensitif terhadap waktu atau gagal memenuhi tenggat penting. Sering kali, rasa urgensi malah bisa menipu target rasional sampai-sampai mau menyerahkan informasi pribadi.
Contoh: Urgensi Palsu
Pemberitahuan Penandatanganan Elektronik: Dokumen untuk ditinjau dan ditandatangani dari DocuSign. Pesan penting.
“Indikasi email pengelabuan adalah adanya lampiran, berupa semacam jangka waktu. Mereka ingin mendesak Anda untuk mengambil keputusan dalam waktu yang dipersingkat.”
Jack Mott – Microsoft Threat Intelligence

Emosi

Manipulasi emosional dapat memberikan keuntungan bagi penyerang cyber, karena manusia cenderung mengambil tindakan berisiko saat diliputi emosi intens, terutama jika ada rasa takut atau marah.

 

Contoh: Manipulasi emosional

“Umpan paling efektif yang pernah saya lihat adalah email yang begitu singkat, menyatakan bahwa kami telah dikontrak oleh pasangan Anda untuk menyiapkan dokumen perceraian Anda. Klik tautan untuk mengunduh salinan Anda.”
Sherrod DeGrippo – Microsoft Threat Intelligence

Penjahat Kebiasaan

adalah pengamat perilaku yang telaten, mereka secara khusus memerhatikan jenis kebiasaan dan rutinitas yang orang lakukan “seperti pilot otomatis”, tanpa berpikir terlalu panjang.

 

Contoh: Kebiasaan umum

Dalam teknik yang disebut “quishing3”, penipu akan menyamar sebagai perusahaan yang kredibel dan meminta Anda untuk memindai  kode QR di email mereka. Misalnya, mereka barangkali akan berkata bahwa Anda perlu memindai kode tersebut karena pembayaran faktur tidak berhasil atau perlu mengatur ulang kata sandi.

“Pelaku ancaman beradaptasi mengikuti ritme bisnis. Mereka lihai soal memberikan umpan yang masuk akal, konteksnya sesuai seperti apa yang biasanya kita terima.”
Jack Mott – Microsoft Threat Intelligence

Terkadang, tidak ada batasan antara persona pribadi dan profesional milik karyawan. Seorang karyawan bisa saja memakai email kantor untuk akun pribadi yang mereka gunakan untuk bekerja. Pelaku ancaman terkadang mencoba untuk memanfaatkan hal itu dengan memulai kontak, menampilkan diri sebagai salah satu dari program ini untuk memperoleh akses ke informasi korporat karyawan.

Diagram menunjukkan: program loyalti, media sosial, pengiriman, berbagi kendaraan, perbankan/investasi, streaming. Diagram ini menunjukkan beberapa contoh, bagaimana pelaku kejahatan mencoba untuk memperoleh akses ke informasi korporat karyawan
“Dalam scam surel pengelabuan, penjahat cyber mencoba melemparkan “umpan” mereka ke alamat email perusahaan. Mereka enggan menghabiskan waktu untuk alamat webmail pribadi. Alamat kantor bernilai lebih tinggi, sehingga mereka akan mencurahkan fokus dan sumber daya lebih besar dengan teknik hands-on-keyboard, untuk menyesuaikan serangan terhadap akun tersebut.”
Jack Mott – Microsoft Threat Intelligence

“Penipuan jangka panjang”

Serangan rekayasa sosial umumnya tidak berlangsung instan. Pelaku rekayasa sosial cenderung membangun kepercayaan korban dari waktu ke waktu dengan menggunakan teknik padat karya yang dimulai dengan riset. Siklus manipulasi jenis ini mungkin berproses sebagai berikut:
  • Penyelidikan: Pelaku rekayasa mengidentifikasi target dan mengumpulkan informasi latar belakang, seperti titik masuk potensial atau protokol keamanan.
  • Infiltrasi: Pelaku rekayasa berfokus untuk membangun kepercayaan target. Mereka membelokkan cerita, menjerat target, dan mengendalikan interaksi untuk mengarahkannya sedemikian rupa agar dapat mendatangkan keuntungan.
  • Eksploitasi: Pelaku rekayasa sosial memperoleh informasi target dari waktu ke waktu. Biasanya, target menyerahkan informasi ini secara sukarela, dan pelaku rekayasa dapat memanfaatkan hal tersebut untuk memperoleh akses ke informasi yang lebih rahasia.
  • Mengakhiri: Pelaku rekayasa sosial akan mengakhiri interaksi secara alamiah. Pelaku rekayasa yang terampil akan melakukannya tanpa membuat target curiga sama sekali

Serangan BEC memiliki karakter khas di dalam industri kejahatan cyber, karena serangannya menekankan pada rekayasa sosial dan seni muslihat. Serangan BEC yang berhasil dilakukan membuat organisasi-organisasi merugi hingga ratusan juta dolar setiap tahunnya. Pada tahun 2022, Pusat Pengaduan Kejahatan Internet Biro Investigasi Federal (Federal Bureau of Investigation/FBI) merekam, bahwa kerugian yang disesuaikan melampaui USD$2,7 miliar untuk 21.832 pengaduan BEC yang diajukan.4

Target utama BEC adalah jajaran eksekutif dan pemimpin senior lainnya, manajer keuangan, serta staf sumber daya manusia yang memiliki akses ke data karyawan, seperti nomor Jaminan Sosial, laporan pajak, atau informasi identitas pribadi lainnya. Karyawan baru, yang berpeluang kecil memverifikasi permintaan email asing, juga menjadi sasaran.

Hampir semua bentuk serangan BEC tengah mengalami peningkatan. Jenis serangan umum BEC meliputi:5

  • Penyusupan Email Langsung (DEC): Akun email yang disusupi digunakan untuk melakukan rekayasa sosial terhadap peran perakunan internal atau pihak ketiga, untuk mentransfer-kawat dana ke rekening bank penyerang atau mengubah informasi pembayaran pada akun yang telah ada sebelumnya.
  • Penyusupan Email Vendor (VEC): Rekayasa sosial terhadap hubungan pemasok yang telah ada sebelumnya, dengan membajak email terkait pembayaran dan menyamar sebagai karyawan perusahaan, untuk meyakinkan pemasok agar mengalihkan pembayaran yang belum lunas ke rekening bank terlarang.
  • Scam Faktur Palsu: Scam rekayasa sosial massal yang mengeksploitasi merek bisnis terkenal untuk meyakinkan perusahaan agar membayar faktur palsu.
  • Menyamar sebagai Pengacara: Eksploitasi hubungan tepercaya dengan perusahaan hukum besar dan terkenal untuk meningkatkan kredibilitas di kalangan eksekutif perusahaan kecil dan rintisan, agar mereka menyelesaikan pembayaran faktur yang belum lunas, terutama sebelum acara penting seperti penawaran publik perdana. Pengalihan ulang pembayaran ke rekening bank terlarang akan muncul saat kesepakatan mengenai ketentuan pembayaran telah tercapai.

Octo Tempest

Octo Tempest adalah kelompok pelaku ancaman penutur asli berbahasa Inggris bermotif finansial yang tersohor karena meluncurkan kampanye berskala besar, yang menggunakan teknik utama adversary-in-the-middle (AiTM), rekayasa sosial, dan kemampuan pertukaran SIM.

Skenario pengelabuan: Pengguna memasukkan kata sandi, MFA, dialihkan; melibatkan proksi berbahaya

Diamond Sleet

Pada bulan Agustus 2023, Diamond Sleet melakukan penyusupan ke rantai pasokan perangkat lunak milik penyedia perangkat lunak asal Jerman, JetBrains, yang menyerang server proses pengembangan, pengujian, dan penyebaran perangkat lunak. Karena pada masa lalu Diamond Sleet telah berhasil melakukan penyusupan ke lingkungan build, Microsoft menilai aktivitas ini menimbulkan risiko yang sangat tinggi bagi organisasi terdampak.

Sangria Tempest6

Sangria Tempest, alias FIN, dikenal suka mengincar industri restoran dan mencuri data kartu pembayaran. Salah satu umpan mereka yang paling efektif adalah memakai tuduhan keracunan makanan, yang perinciannya dapat dilihat dengan membuka lampiran berbahaya.

Sangria Tempest, yang anggotanya sebagian besar berasal dari Eropa Timur, telah menggunakan forum bawah tanah untuk merekrut penutur asli berbahasa Inggris, mereka dilatih tentang cara menelepon toko saat pengiriman email umpan. Kelompok ini telah mencuri puluhan juta data kartu pembayaran melalui proses tersebut.

Midnight Blizzard

Midnight Blizzard adalah pelaku ancaman yang berbasis di Rusia, mereka diketahui menarget pemerintah, entitas diplomatik, lembaga swadaya masyarakat (non-government organizations/NGO), dan penyedia layanan TI yang terutama berada di AS dan Eropa.

Midnight Blizzard memanfaatkan pesan Teams untuk mengirimkan umpan yang mencoba untuk mencuri kredensial dari organisasi sasaran dengan melibatkan pengguna dan memperoleh persetujuan dari perintah autentikasi multifaktor (MFA).

Tahukah Anda?

Strategi penamaan pelaku ancaman Microsoft telah beralih ke taksonomi penamaan baru untuk pelaku ancaman yang terinspirasi dari tema seputar cuaca.

Daftar Ancaman Alam dan Cyber

Meskipun serangan rekayasa sosial memang canggih, ada beberapa cara yang dapat dilakukan untuk membantu mencegahnya.7 Jika ahli dalam hal privasi dan keamanan, Anda dapat mengalahkan penyerang menggunakan permainan mereka sendiri.

Pertama, instruksikan pengguna agar tetap menjaga privasi akun pribadinya, serta tidak mencampur akun pribadi dengan email kerja atau tugas yang terkait dengan pekerjaan.

Pastikan pula untuk mewajibkan penggunaan MFA. Pelaku rekayasa sosial biasanya mengincar informasi, seperti kredensial masuk. Dengan mengaktifkan MFA, meskipun penyerang mendapatkan nama pengguna dan kata sandi Anda, mereka tetap tidak akan dapat memperoleh akses ke akun dan informasi pribadi Anda.8

Jangan membuka email atau lampiran dari sumber yang mencurigakan. Jika seorang teman mengirimkan tautan yang perlu Anda klik dengan segera, konfirmasikan kepada teman Anda apakah pesan tersebut benar-benar dari mereka. Sebelum mengeklik apa pun, berhentilah sejenak dan tanyakan pada diri Anda, apakah pengirim berkata jujur tentang identitas mereka.

Berhenti sejenak dan lakukan verifikasi

Berhati-hatilah dengan tawaran yang terlalu indah untuk menjadi kenyataan. Anda tidak bisa memenangkan undian yang tidak pernah Anda ikuti, dan tidak ada royalti asing yang akan memberikan banyak uang untuk Anda. Jika terlihat terlalu menggiurkan, lakukan penelusuran cepat untuk memutuskan apakah penawaran itu valid atau merupakan jebakan.

Jangan berbagi secara online dengan berlebihan. Pelaku rekayasa sosial perlu membuat target percaya agar penipuan mereka berhasil. Jika mereka bisa menemukan detail pribadi dari profil media sosial Anda, mereka dapat menggunakannya untuk membantu scam mereka agar terlihat lebih valid.

Amankan komputer dan perangkat Anda. Gunakan perangkat lunak antivirus, firewall, dan filter email. Jika ancaman akhirnya berhasil memasuki perangkat, Anda telah memiliki proteksi yang membantu menjaga informasi Anda agar tetap aman.

“Saat Anda mendapatkan panggilan telepon atau email yang meragukan, kuncinya adalah jangan tergesa-gesa dan lakukan verifikasi. Orang-orang membuat kesalahan ketika mereka bertindak terlalu cepat. Jadi, penting untuk mengingatkan karyawan, bahwa mereka tidak harus seketika bereaksi di dalam situasi seperti ini.”
Jack Mott – Microsoft Threat Intelligence

Pelajari lebih lanjut tentang cara untuk membantu melindungi organisasi Anda dengan menonton Risiko Kepercayaan: Ancaman rekayasa sosial dan pertahanan cyber.

Artikel terkait

Saran para ahli mengenai tiga tantangan keamanan cyber yang paling sulit diatasi

Justin Turner, Principal Group Manager di Microsoft Security Research, menjelaskan tiga tantangan yang selalu ada selama kariernya di dunia keamanan cyber: manajemen konfigurasi, pembuatan patch, dan visibilitas perangkat
Pelajari selengkapnya

Kejahatan cyber sebagai layanan (Cybercrime-as-a-service/CaaS) menyebabkan 38% kenaikan pada penipuan email bisnis

Penyusupan email bisnis (BEC) tengah meningkat, mengingat penjahat cyber dapat menyamarkan sumber serangan mereka serta membuatnya semakin berbahaya. Pelajari selengkapnya tentang CaaS dan cara untuk membantu melindungi organisasi Anda.
Pelajari selengkapnya

Microsoft, Amazon, dan penegak hukum internasional bergabung untuk memerangi penipuan layanan teknis

Lihat bagaimana Microsoft dan Amazon menggabungkan tenaga mereka untuk pertama kalinya dalam rangka memberantas pusat panggilan layanan teknis ilegal di seluruh India.
Pelajari selengkapnya

Ikuti Microsoft Security