Di dunia yang semakin online, di mana kepercayaan menjadi ‘mata uang’ sekaligus titik rentan, pelaku ancaman berupaya untuk memanipulasi perilaku manusia dan memanfaatkan orang-orang yang cenderung ingin memberikan bantuan. Di dalam infografik ini, kami akan mengeksplorasi rekayasa sosial, termasuk alasan mengapa pelaku ancaman lebih menghargai identitas profesional di atas segalanya, seraya memberikan Anda panduan tentang beberapa cara pelaku dalam memanipulasi sifat manusia untuk mencapai tujuan mereka.
Menarik keuntungan dari ekonomi kepercayaan: penipuan rekayasa sosial
Rekayasa sosial dan daya pikat kriminal pada pengelabuan
Sekitar 901 persen serangan pengelabuan melibatkan taktik rekayasa sosial yang dirancang untuk memanipulasi korban, dan biasanya dilakukan melalui email, agar korban mengungkapkan informasi sensitif, mengeklik tautan berbahaya, atau membuka file berbahaya. Pengelabuan adalah serangan yang hemat biaya bagi penyerang, mudah disesuaikan untuk membantu penyerang menghindari tindakan pencegahan serangan, serta dianggap memiliki tingkat keberhasilan yang tinggi.
Pencetus perilaku manusia
“Indikasi email pengelabuan adalah adanya lampiran, berupa semacam jangka waktu. Mereka ingin mendesak Anda untuk mengambil keputusan dalam waktu yang dipersingkat.”
Emosi
Manipulasi emosional dapat memberikan keuntungan bagi penyerang cyber, karena manusia cenderung mengambil tindakan berisiko saat diliputi emosi intens, terutama jika ada rasa takut atau marah.
Contoh: Manipulasi emosional
“Umpan paling efektif yang pernah saya lihat adalah email yang begitu singkat, menyatakan bahwa kami telah dikontrak oleh pasangan Anda untuk menyiapkan dokumen perceraian Anda. Klik tautan untuk mengunduh salinan Anda.”
Penjahat Kebiasaan
adalah pengamat perilaku yang telaten, mereka secara khusus memerhatikan jenis kebiasaan dan rutinitas yang orang lakukan “seperti pilot otomatis”, tanpa berpikir terlalu panjang.
Contoh: Kebiasaan umum
Dalam teknik yang disebut “quishing3”, penipu akan menyamar sebagai perusahaan yang kredibel dan meminta Anda untuk memindai kode QR di email mereka. Misalnya, mereka barangkali akan berkata bahwa Anda perlu memindai kode tersebut karena pembayaran faktur tidak berhasil atau perlu mengatur ulang kata sandi.
“Pelaku ancaman beradaptasi mengikuti ritme bisnis. Mereka lihai soal memberikan umpan yang masuk akal, konteksnya sesuai seperti apa yang biasanya kita terima.”
Terkadang, tidak ada batasan antara persona pribadi dan profesional milik karyawan. Seorang karyawan bisa saja memakai email kantor untuk akun pribadi yang mereka gunakan untuk bekerja. Pelaku ancaman terkadang mencoba untuk memanfaatkan hal itu dengan memulai kontak, menampilkan diri sebagai salah satu dari program ini untuk memperoleh akses ke informasi korporat karyawan.
“Dalam scam surel pengelabuan, penjahat cyber mencoba melemparkan “umpan” mereka ke alamat email perusahaan. Mereka enggan menghabiskan waktu untuk alamat webmail pribadi. Alamat kantor bernilai lebih tinggi, sehingga mereka akan mencurahkan fokus dan sumber daya lebih besar dengan teknik hands-on-keyboard, untuk menyesuaikan serangan terhadap akun tersebut.”
“Penipuan jangka panjang”
- Penyelidikan: Pelaku rekayasa mengidentifikasi target dan mengumpulkan informasi latar belakang, seperti titik masuk potensial atau protokol keamanan.
- Infiltrasi: Pelaku rekayasa berfokus untuk membangun kepercayaan target. Mereka membelokkan cerita, menjerat target, dan mengendalikan interaksi untuk mengarahkannya sedemikian rupa agar dapat mendatangkan keuntungan.
- Eksploitasi: Pelaku rekayasa sosial memperoleh informasi target dari waktu ke waktu. Biasanya, target menyerahkan informasi ini secara sukarela, dan pelaku rekayasa dapat memanfaatkan hal tersebut untuk memperoleh akses ke informasi yang lebih rahasia.
- Mengakhiri: Pelaku rekayasa sosial akan mengakhiri interaksi secara alamiah. Pelaku rekayasa yang terampil akan melakukannya tanpa membuat target curiga sama sekali
Serangan BEC memiliki karakter khas di dalam industri kejahatan cyber, karena serangannya menekankan pada rekayasa sosial dan seni muslihat. Serangan BEC yang berhasil dilakukan membuat organisasi-organisasi merugi hingga ratusan juta dolar setiap tahunnya. Pada tahun 2022, Pusat Pengaduan Kejahatan Internet Biro Investigasi Federal (Federal Bureau of Investigation/FBI) merekam, bahwa kerugian yang disesuaikan melampaui USD$2,7 miliar untuk 21.832 pengaduan BEC yang diajukan.4
Target utama BEC adalah jajaran eksekutif dan pemimpin senior lainnya, manajer keuangan, serta staf sumber daya manusia yang memiliki akses ke data karyawan, seperti nomor Jaminan Sosial, laporan pajak, atau informasi identitas pribadi lainnya. Karyawan baru, yang berpeluang kecil memverifikasi permintaan email asing, juga menjadi sasaran.
Hampir semua bentuk serangan BEC tengah mengalami peningkatan. Jenis serangan umum BEC meliputi:5
- Penyusupan Email Langsung (DEC): Akun email yang disusupi digunakan untuk melakukan rekayasa sosial terhadap peran perakunan internal atau pihak ketiga, untuk mentransfer-kawat dana ke rekening bank penyerang atau mengubah informasi pembayaran pada akun yang telah ada sebelumnya.
- Penyusupan Email Vendor (VEC): Rekayasa sosial terhadap hubungan pemasok yang telah ada sebelumnya, dengan membajak email terkait pembayaran dan menyamar sebagai karyawan perusahaan, untuk meyakinkan pemasok agar mengalihkan pembayaran yang belum lunas ke rekening bank terlarang.
- Scam Faktur Palsu: Scam rekayasa sosial massal yang mengeksploitasi merek bisnis terkenal untuk meyakinkan perusahaan agar membayar faktur palsu.
- Menyamar sebagai Pengacara: Eksploitasi hubungan tepercaya dengan perusahaan hukum besar dan terkenal untuk meningkatkan kredibilitas di kalangan eksekutif perusahaan kecil dan rintisan, agar mereka menyelesaikan pembayaran faktur yang belum lunas, terutama sebelum acara penting seperti penawaran publik perdana. Pengalihan ulang pembayaran ke rekening bank terlarang akan muncul saat kesepakatan mengenai ketentuan pembayaran telah tercapai.
Octo Tempest
Octo Tempest adalah kelompok pelaku ancaman penutur asli berbahasa Inggris bermotif finansial yang tersohor karena meluncurkan kampanye berskala besar, yang menggunakan teknik utama adversary-in-the-middle (AiTM), rekayasa sosial, dan kemampuan pertukaran SIM.
Diamond Sleet
Pada bulan Agustus 2023, Diamond Sleet melakukan penyusupan ke rantai pasokan perangkat lunak milik penyedia perangkat lunak asal Jerman, JetBrains, yang menyerang server proses pengembangan, pengujian, dan penyebaran perangkat lunak. Karena pada masa lalu Diamond Sleet telah berhasil melakukan penyusupan ke lingkungan build, Microsoft menilai aktivitas ini menimbulkan risiko yang sangat tinggi bagi organisasi terdampak.
Sangria Tempest6
Sangria Tempest, alias FIN, dikenal suka mengincar industri restoran dan mencuri data kartu pembayaran. Salah satu umpan mereka yang paling efektif adalah memakai tuduhan keracunan makanan, yang perinciannya dapat dilihat dengan membuka lampiran berbahaya.
Sangria Tempest, yang anggotanya sebagian besar berasal dari Eropa Timur, telah menggunakan forum bawah tanah untuk merekrut penutur asli berbahasa Inggris, mereka dilatih tentang cara menelepon toko saat pengiriman email umpan. Kelompok ini telah mencuri puluhan juta data kartu pembayaran melalui proses tersebut.
Midnight Blizzard
Midnight Blizzard adalah pelaku ancaman yang berbasis di Rusia, mereka diketahui menarget pemerintah, entitas diplomatik, lembaga swadaya masyarakat (non-government organizations/NGO), dan penyedia layanan TI yang terutama berada di AS dan Eropa.
Midnight Blizzard memanfaatkan pesan Teams untuk mengirimkan umpan yang mencoba untuk mencuri kredensial dari organisasi sasaran dengan melibatkan pengguna dan memperoleh persetujuan dari perintah autentikasi multifaktor (MFA).
Tahukah Anda?
Strategi penamaan pelaku ancaman Microsoft telah beralih ke taksonomi penamaan baru untuk pelaku ancaman yang terinspirasi dari tema seputar cuaca.
Meskipun serangan rekayasa sosial memang canggih, ada beberapa cara yang dapat dilakukan untuk membantu mencegahnya.7 Jika ahli dalam hal privasi dan keamanan, Anda dapat mengalahkan penyerang menggunakan permainan mereka sendiri.
Pertama, instruksikan pengguna agar tetap menjaga privasi akun pribadinya, serta tidak mencampur akun pribadi dengan email kerja atau tugas yang terkait dengan pekerjaan.
Pastikan pula untuk mewajibkan penggunaan MFA. Pelaku rekayasa sosial biasanya mengincar informasi, seperti kredensial masuk. Dengan mengaktifkan MFA, meskipun penyerang mendapatkan nama pengguna dan kata sandi Anda, mereka tetap tidak akan dapat memperoleh akses ke akun dan informasi pribadi Anda.8
Jangan membuka email atau lampiran dari sumber yang mencurigakan. Jika seorang teman mengirimkan tautan yang perlu Anda klik dengan segera, konfirmasikan kepada teman Anda apakah pesan tersebut benar-benar dari mereka. Sebelum mengeklik apa pun, berhentilah sejenak dan tanyakan pada diri Anda, apakah pengirim berkata jujur tentang identitas mereka.
Berhenti sejenak dan lakukan verifikasi
Berhati-hatilah dengan tawaran yang terlalu indah untuk menjadi kenyataan. Anda tidak bisa memenangkan undian yang tidak pernah Anda ikuti, dan tidak ada royalti asing yang akan memberikan banyak uang untuk Anda. Jika terlihat terlalu menggiurkan, lakukan penelusuran cepat untuk memutuskan apakah penawaran itu valid atau merupakan jebakan.
Jangan berbagi secara online dengan berlebihan. Pelaku rekayasa sosial perlu membuat target percaya agar penipuan mereka berhasil. Jika mereka bisa menemukan detail pribadi dari profil media sosial Anda, mereka dapat menggunakannya untuk membantu scam mereka agar terlihat lebih valid.
Amankan komputer dan perangkat Anda. Gunakan perangkat lunak antivirus, firewall, dan filter email. Jika ancaman akhirnya berhasil memasuki perangkat, Anda telah memiliki proteksi yang membantu menjaga informasi Anda agar tetap aman.
“Saat Anda mendapatkan panggilan telepon atau email yang meragukan, kuncinya adalah jangan tergesa-gesa dan lakukan verifikasi. Orang-orang membuat kesalahan ketika mereka bertindak terlalu cepat. Jadi, penting untuk mengingatkan karyawan, bahwa mereka tidak harus seketika bereaksi di dalam situasi seperti ini.”
Pelajari lebih lanjut tentang cara untuk membantu melindungi organisasi Anda dengan menonton Risiko Kepercayaan: Ancaman rekayasa sosial dan pertahanan cyber.
- [2]Konten di bagian ini dikutip dari https://go.microsoft.com/fwlink/?linkid=2263229
- [6]Waymon Ho, Sekitar 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]Catatan: Konten dikutip dari https://go.microsoft.com/fwlink/?linkid=2263229
Ikuti Microsoft Security