Peretasan Etis - Rekayasa Sosial
Mari kita coba memahami konsep serangan Social Engineering melalui beberapa contoh.
Contoh 1
Anda pasti telah memperhatikan dokumen perusahaan lama yang dibuang ke tempat sampah sebagai sampah. Dokumen-dokumen ini mungkin berisi informasi sensitif seperti Nama, Nomor Telepon, Nomor Rekening, Nomor Jaminan Sosial, Alamat, dll. Banyak perusahaan masih menggunakan kertas karbon di mesin faks mereka dan setelah gulungan selesai, karbonnya masuk ke tempat sampah yang mungkin memiliki jejak data sensitif. Meski terdengar mustahil, namun penyerang dapat dengan mudah mengambil informasi dari tempat pembuangan sampah perusahaan dengan cara mencuri melalui sampah.
Contoh 2
Seorang penyerang mungkin berteman dengan personel perusahaan dan menjalin hubungan baik dengannya selama jangka waktu tertentu. Hubungan ini dapat dibangun secara online melalui jejaring sosial, ruang obrolan, atau offline di meja kopi, di taman bermain, atau melalui cara lain. Penyerang mengambil personel kantor dengan rahasia dan akhirnya menggali informasi sensitif yang diperlukan tanpa memberikan petunjuk.
Contoh 3
Seorang insinyur sosial dapat berpura-pura menjadi karyawan atau pengguna yang sah atau VIP dengan memalsukan kartu identitas atau hanya dengan meyakinkan karyawan tentang posisinya di perusahaan. Penyerang seperti itu dapat memperoleh akses fisik ke area terlarang, sehingga memberikan peluang lebih lanjut untuk serangan.
Contoh 4
Ini terjadi di sebagian besar kasus di mana penyerang mungkin berada di sekitar Anda dan dapat melakukannya shoulder surfing saat Anda mengetik informasi sensitif seperti ID pengguna dan kata sandi, PIN akun, dll.
Serangan Phishing
Serangan phishing adalah manipulasi psikologis berbasis komputer, dengan penyerang membuat email yang tampak sah. Email semacam itu memiliki tampilan dan nuansa yang sama seperti yang diterima dari situs aslinya, tetapi mungkin berisi tautan ke situs web palsu. Jika Anda tidak cukup pintar, maka Anda akan mengetik ID pengguna dan kata sandi Anda dan akan mencoba masuk yang akan mengakibatkan kegagalan dan pada saat itu, penyerang akan memiliki ID dan kata sandi Anda untuk menyerang akun asli Anda.
Perbaikan Cepat
Anda harus menegakkan kebijakan keamanan yang baik di organisasi Anda dan melakukan pelatihan yang diperlukan untuk membuat semua karyawan menyadari kemungkinan serangan Rekayasa Sosial dan konsekuensinya.
Penghancuran dokumen harus menjadi aktivitas wajib di perusahaan Anda.
Pastikan dua kali bahwa setiap tautan yang Anda terima di email Anda berasal dari sumber otentik dan mengarah ke situs web yang benar. Jika tidak, Anda mungkin akan menjadi korban Phishing.
Bersikaplah profesional dan jangan pernah membagikan ID dan kata sandi Anda dengan orang lain dalam hal apa pun.