Di dunia yang semakin online, di mana kepercayaan menjadi ‘mata uang’ sekaligus titik rentan, pelaku ancaman berupaya untuk memanipulasi perilaku manusia dan memanfaatkan orang-orang yang cenderung ingin memberikan bantuan. Di dalam infografik ini, kami akan mengeksplorasi rekayasa sosial, termasuk alasan mengapa pelaku ancaman lebih menghargai identitas profesional di atas segalanya, seraya memberikan Anda panduan tentang beberapa cara pelaku dalam memanipulasi sifat manusia untuk mencapai tujuan mereka.
Menarik keuntungan dari ekonomi kepercayaan: penipuan rekayasa sosial
Rekayasa sosial dan daya pikat kriminal pada pengelabuan
Sekitar 901 persen serangan pengelabuan melibatkan taktik rekayasa sosial yang dirancang untuk memanipulasi korban—biasanya melalui email—agar korban mengungkapkan informasi sensitif, mengeklik tautan berbahaya, atau membuka file berbahaya. Serangan pengelabuan memberi penyerang keefektifan dari segi biaya, serangan dapat diadaptasikan untuk membantu mereka menghindari tindakan pencegahan, serta digadang-gadang memiliki tingkat keberhasilan tinggi.
Pencetus perilaku manusia
Teknik rekayasa sosial cenderung mengandalkan kepercayaan diri dan bujukan penyerang, untuk meyakinkan target agar bertindak di luar karakter mereka yang sebenarnya. Ada tiga pencetus efektif, yakni urgensi, emosi, dan kebiasaan.2 Urgensi Tidak seorang pun ingin melewatkan peluang yang sensitif terhadap waktu atau gagal memenuhi tenggat penting. Sering kali, rasa urgensi malah bisa menipu target rasional sampai-sampai mau menyerahkan informasi pribadi.
Contoh: Urgensi Palsu
“Indikasi email pengelabuan adalah adanya lampiran, berupa semacam jangka waktu. Mereka ingin mendesak Anda untuk mengambil keputusan dalam waktu yang dipersingkat.”
Jack Mott – Microsoft Threat Intelligence
Emosi
Manipulasi emosional dapat memberikan keuntungan bagi penyerang cyber, karena manusia cenderung mengambil tindakan berisiko saat diliputi emosi intens, terutama jika ada rasa takut atau marah.
Contoh: Manipulasi emosional
“Umpan paling efektif yang pernah saya lihat adalah email yang begitu singkat, menyatakan bahwa kami telah dikontrak oleh pasangan Anda untuk menyiapkan dokumen perceraian Anda. Klik tautan untuk mengunduh salinan Anda.”
Sherrod DeGrippo – Microsoft Threat Intelligence
Penjahat Kebiasaan
adalah pengamat perilaku yang telaten, mereka secara khusus memerhatikan jenis kebiasaan dan rutinitas yang orang lakukan “seperti pilot otomatis”, tanpa berpikir terlalu panjang.
Contoh: Kebiasaan umum
Di dalam teknik yang dikenal pula dengan sebutan “quishing3,” pelaku scam akan menyamar sebagai perusahaan kredibel dan meminta Anda untuk memindai kode QR di dalam email mereka. Misalnya, mereka barangkali berkata, bahwa Anda perlu memindai kode tersebut karena pembayaran faktur tidak berhasil, atau karena Anda perlu mengatur ulang kata sandi.
“Pelaku ancaman beradaptasi mengikuti ritme bisnis. Mereka lihai soal memberikan umpan yang masuk akal, konteksnya sesuai seperti apa yang biasanya kita terima.”
Jack Mott – Microsoft Threat Intelligence
Terkadang, tidak ada batasan antara persona pribadi dan profesional milik karyawan. Seorang karyawan bisa saja memakai email kantor untuk akun pribadi yang mereka gunakan untuk bekerja. Pelaku ancaman terkadang mencoba untuk memanfaatkan hal itu dengan memulai kontak, menampilkan diri sebagai salah satu dari program ini untuk memperoleh akses ke informasi korporat karyawan.
“Dalam scam surel pengelabuan, penjahat cyber mencoba melemparkan “umpan” mereka ke alamat email perusahaan. Mereka enggan menghabiskan waktu untuk alamat webmail pribadi. Alamat kantor bernilai lebih tinggi, sehingga mereka akan mencurahkan fokus dan sumber daya lebih besar dengan teknik hands-on-keyboard, untuk menyesuaikan serangan terhadap akun tersebut.”
Jack Mott – Microsoft Threat Intelligence
“Penipuan jangka panjang”
Serangan rekayasa sosial umumnya tidak berlangsung instan. Pelaku rekayasa sosial cenderung membangun kepercayaan korban dari waktu ke waktu dengan menggunakan teknik padat karya yang dimulai dengan riset. Siklus manipulasi jenis ini mungkin berproses sebagai berikut:
- Penyelidikan: Pelaku rekayasa mengidentifikasi target dan mengumpulkan informasi latar belakang, seperti titik masuk potensial atau protokol keamanan.
- Infiltrasi: Pelaku rekayasa berfokus untuk membangun kepercayaan target. Mereka membelokkan cerita, menjerat target, dan mengendalikan interaksi untuk mengarahkannya sedemikian rupa agar dapat mendatangkan keuntungan.
- Eksploitasi: Pelaku rekayasa sosial memperoleh informasi target dari waktu ke waktu. Biasanya, target menyerahkan informasi ini secara sukarela, dan pelaku rekayasa dapat memanfaatkan hal tersebut untuk memperoleh akses ke informasi yang lebih rahasia.
- Mengakhiri: Pelaku rekayasa sosial akan mengakhiri interaksi secara alamiah. Pelaku rekayasa yang terampil akan melakukannya tanpa membuat target curiga sama sekali
Serangan BEC memiliki karakter khas di dalam industri kejahatan cyber, karena serangannya menekankan pada rekayasa sosial dan seni muslihat. Serangan BEC yang berhasil dilakukan membuat organisasi-organisasi merugi hingga ratusan juta dolar setiap tahunnya. Pada tahun 2022, Pusat Pengaduan Kejahatan Internet Biro Investigasi Federal (Federal Bureau of Investigation/FBI) merekam, bahwa kerugian yang disesuaikan melampaui USD$2,7 miliar untuk 21.832 pengaduan BEC yang diajukan.4
Target utama BEC adalah eksekutif dan pemimpin senior lainnya, manajer finansial, serta staf sumber daya manusia dengan akses ke rekaman karyawan seperti nomor Keamanan Sosial, pernyataan pajak, atau informasi pengidentifikasi pribadi lainnya. Karyawan baru yang kemungkinan tidak memverifikasi permintaan email asing juga menjadi sasaran.
Hampir semua bentuk serangan BEC tengah mengalami peningkatan. Jenis serangan umum BEC meliputi:5
- Penyusupan Email Langsung (DEC):: Akun email yang disusupi digunakan untuk melakukan rekayasa sosial terhadap peran perakunan internal atau pihak ketiga, untuk mentransfer-kawat dana ke rekening bank penyerang atau mengubah informasi pembayaran pada akun yang telah ada sebelumnya.
- Penyusupan Email Vendor (VEC): Rekayasa sosial terhadap hubungan pemasok yang telah ada sebelumnya, dengan membajak email terkait pembayaran dan menyamar sebagai karyawan perusahaan, untuk meyakinkan pemasok agar mengalihkan pembayaran yang belum lunas ke rekening bank terlarang.
- Scam Faktur Palsu: Scam rekayasa sosial massal yang mengeksploitasi merek bisnis terkenal untuk meyakinkan perusahaan agar membayar faktur palsu.
- Menyamar sebagai Pengacara: Eksploitasi hubungan tepercaya dengan perusahaan hukum besar dan terkenal untuk meningkatkan kredibilitas di kalangan eksekutif perusahaan kecil dan rintisan, agar mereka menyelesaikan pembayaran faktur yang belum lunas, terutama sebelum acara penting seperti penawaran publik perdana. Pengalihan ulang pembayaran ke rekening bank terlarang akan muncul saat kesepakatan mengenai ketentuan pembayaran telah tercapai.
Octo Tempest
Octo Tempest adalah kumpulan pelaku ancaman yang terdiri dari penutur asli berbahasa Inggris, mereka bermotif finansial dan tersohor karena meluncurkan kampanye berskala besar, yang dengan jelas menampilkan teknik adversary-in-the-middle (AiTM), rekayasa sosial, dan kemampuan pertukaran SIM.
Octo Tempest adalah kumpulan pelaku ancaman yang terdiri dari penutur asli berbahasa Inggris, mereka bermotif finansial dan tersohor karena meluncurkan kampanye berskala besar, yang dengan jelas menampilkan teknik adversary-in-the-middle (AiTM), rekayasa sosial, dan kemampuan pertukaran SIM.
Diamond Sleet
Pada bulan Agustus 2023, Diamond Sleet menyusupi rantai pasokan perangkat lunak milik penyedia perangkat lunak asal Jerman, JetBrains. Mereka menyusupi server untuk proses pengembangan, pengujian, dan penyebaran perangkat lunak. Karena Diamond Sleet telah berhasil menginfiltrasi lingkungan build di masa lalu, Microsoft menilai bahwa aktivitas ini menimbulkan risiko khusus yang amat tinggi bagi organisasi terdampak.
Pada bulan Agustus 2023, Diamond Sleet menyusupi rantai pasokan perangkat lunak milik penyedia perangkat lunak asal Jerman, JetBrains. Mereka menyusupi server untuk proses pengembangan, pengujian, dan penyebaran perangkat lunak. Karena Diamond Sleet telah berhasil menginfiltrasi lingkungan build di masa lalu, Microsoft menilai bahwa aktivitas ini menimbulkan risiko khusus yang amat tinggi bagi organisasi terdampak.
Sangria Tempest6
Sangria Tempest, alias FIN, menjadi terkenal karena menarget industri restoran, mencuri data kartu pembayaran. Salah satu umpan mereka yang paling efektif adalah memakai tuduhan keracunan makanan, yang perinciannya dapat dilihat dengan membuka lampiran berbahaya.
Sangria Tempest, alias FIN, menjadi terkenal karena menarget industri restoran, mencuri data kartu pembayaran. Salah satu umpan mereka yang paling efektif adalah memakai tuduhan keracunan makanan, yang perinciannya dapat dilihat dengan membuka lampiran berbahaya.
Sangria Tempest, yang anggotanya sebagian besar berasal dari Eropa Timur, telah menggunakan forum bawah tanah untuk merekrut penutur asli berbahasa Inggris, mereka dilatih tentang cara menelepon toko saat pengiriman email umpan. Kelompok ini telah mencuri puluhan juta data kartu pembayaran melalui proses tersebut.
Midnight Blizzard
Midnight Blizzard adalah pelaku ancaman yang berbasis di Rusia, mereka diketahui menarget pemerintah, entitas diplomatik, lembaga swadaya masyarakat (non-government organizations/NGO), dan penyedia layanan TI yang terutama berada di AS dan Eropa.
Midnight Blizzard adalah pelaku ancaman yang berbasis di Rusia, mereka diketahui menarget pemerintah, entitas diplomatik, lembaga swadaya masyarakat (non-government organizations/NGO), dan penyedia layanan TI yang terutama berada di AS dan Eropa.
Midnight Blizzard memanfaatkan pesan Teams untuk mengirimkan umpan yang mencoba untuk mencuri kredensial dari organisasi sasaran dengan melibatkan pengguna dan memperoleh persetujuan dari perintah autentikasi multifaktor (MFA).
Tahukah Anda?
Strategi penamaan pelaku ancaman Microsoft telah beralih ke taksonomi penamaan baru untuk pelaku ancaman, yang terinspirasi oleh tema seputar cuaca.
Strategi penamaan pelaku ancaman Microsoft telah beralih ke taksonomi penamaan baru untuk pelaku ancaman, yang terinspirasi oleh tema seputar cuaca.
Meskipun serangan rekayasa sosial bisa saja canggih, ada beberapa hal yang dapat Anda lakukan untuk membantu mencegahnya.7 Jika Anda cerdas dalam hal privasi dan keamanan, Anda dapat mengalahkan penyerang dengan menggunakan permainan mereka sendiri.
Pertama, beri pengguna instruksi untuk tetap menjaga privasi akun pribadi mereka, serta tidak mencampur akun dengan email kantor atau tugas yang berhubungan dengan pekerjaan.
Pastikan pula untuk menegakkan penggunaan MFA. Pelaku rekayasa sosial biasanya mencari informasi seperti kredensial masuk. Dengan mengaktifkan MFA, meskipun penyerang mendapatkan nama pengguna dan kata sandi Anda, mereka tetap tidak bisa memperoleh akses ke akun dan informasi pribadi Anda.8
Jangan membuka email atau lampiran dari sumber yang mencurigakan. Jika seorang teman mengirimkan tautan yang perlu Anda klik dengan segera, konfirmasikan kepada teman Anda apakah pesan tersebut benar-benar dari mereka. Sebelum mengeklik apa pun, berhentilah sejenak dan tanyakan pada diri Anda, apakah pengirim berkata jujur tentang identitas mereka.
Berhenti sejenak dan lakukan verifikasi
Berhati-hatilah dengan tawaran yang terlalu indah untuk menjadi kenyataan. Anda tidak bisa memenangkan undian yang tidak pernah Anda ikuti, dan tidak ada royalti asing yang akan memberikan banyak uang untuk Anda. Jika terlihat terlalu menggiurkan, lakukan penelusuran cepat untuk memutuskan apakah penawaran itu valid atau merupakan jebakan.
Jangan berbagi secara online dengan berlebihan. Pelaku rekayasa sosial perlu membuat target percaya agar penipuan mereka berhasil. Jika mereka bisa menemukan detail pribadi dari profil media sosial Anda, mereka dapat menggunakannya untuk membantu scam mereka agar terlihat lebih valid.
Amankan komputer dan perangkat Anda. Gunakan perangkat lunak antivirus, firewall, dan filter email. Jika ancaman akhirnya berhasil memasuki perangkat, Anda telah memiliki proteksi yang membantu menjaga informasi Anda agar tetap aman.
“Saat Anda mendapatkan panggilan telepon atau email yang meragukan, kuncinya adalah jangan tergesa-gesa dan lakukan verifikasi. Orang-orang membuat kesalahan ketika mereka bertindak terlalu cepat. Jadi, penting untuk mengingatkan karyawan, bahwa mereka tidak harus seketika bereaksi di dalam situasi seperti ini.”
Jack Mott – Microsoft Threat Intelligence
Pelajari lebih lanjut tentang cara untuk membantu melindungi organisasi Anda dengan menonton Risiko Kepercayaan: Ancaman rekayasa sosial dan pertahanan cyber.
- [2]
Konten di dalam bagian ini berasal dari https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, Sekitar 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Catatan: Konten berasal dari https://go.microsoft.com/fwlink/?linkid=2263229