Kaspersky Ungkap Trik Rekayasa Sosial Penjahat Siber untuk Mencuri Data Pribadi

Technologue.id, Jakarta - Rekayasa sosial hingga kini masih menjadi sorotan mulai dari trik klasik hingga tren baru, dengan berbagai varian penipuan yang melibatkan panggilan dan email dari dukungan teknis palsu hingga permintaan data dari lembaga penegak hukum palsu.

Melihat ini, Kaspersky menjabarkan beberapa trik rekayasa sosial yang biasa digunakan oleh penjahat siber untuk menyerang perusahaan.

Mengaku dari dukungan teknis
Dengan skema rekayasa sosial klasik ini biasanya ditujukan kepada karyawan perusahaan, para pelaku akan menelepon dan mengaku sebagai "dukungan teknis". Misalnya, pelaku menelepon pada akhir pekan dan mengaku bahwa mereka berasal dari layanan dukungan teknis perusahaan dan telah mendeteksi aktivitas aneh di komputer kerja, dan meminta Anda untuk segera datang ke kantor. Tentu saja, tidak banyak orang yang ingin pergi ke kantor pada akhir pekan, oleh karena itu petugas dukungan teknis palsu ini akan menawarkan untuk menyelesaikan masalah dari jarak jauh. Tetapi untuk melakukan ini, mereka memerlukan kredensial login karyawan. Di saat inilah Anda harus meningkatkan kewaspadaan.

Melalui konfirmasi sederhana
Sebuah teknik menarik terlihat selama serangan terhadap salah satu layanan online transportasi pada musim gugur 2022, ketika seorang peretas berusia 18 tahun berhasil menyusupi sejumlah sistem perusahaan. Serangan itu dimulai dengan penjahat siber mendapatkan detail login pribadi kontraktor perusahaan dari web gelap. Namun, untuk mendapatkan akses ke sistem internal perusahaan, masih ada masalah kecil untuk melewati autentikasi multifactor.

Dan di sinilah rekayasa sosial mengambil peran. Melalui berbagai upaya login, peretas mengirim spam kepada kontraktor yang malang dengan permintaan otentikasi, kemudian mengirim pesan kepada kontraktor di WhatsApp dengan kedok dukungan teknis dengan solusi yang diusulkan untuk masalah tersebut adalah “Demi menghentikan aliran spam, hanya dibutuhkan beberapa konfirmasi saja.” Singkatnya, penjahat siber dengan mudah mendapatkan seluruh informasi sensitif perusahaan tersebut.

Panggilan dari CEO yang membutuhkan dana mendesak
Skema klasik ini ialah jenis serangan yang disebut dengan serangan kompromi email bisnis (BEC). Biasanya pelaku akan menyamar sebagai manajer atau mitra bisnis penting, tujuan korespondensinya adalah agar korban mentransfer uang ke rekening yang sudah ditentukan pelaku. Serangan ini berputar di sekitar kompromi email, dimana sebagian besar email penipuan yang menargetkan pengguna biasanya hanya memancing kegembiraan, operasi BEC melibatkan orang-orang berpengalaman di perusahaan besar yang mempu menulis email bisnis dan membujuk penerima untuk melakukan apa yang diinginkan penjahat siber.

Pembajakan percakapan
Skema ini memungkinkan penyerang memasukan diri mereka ke dalam korespondensi bisnis yang ada dengan menyamar sebagai salah satu peserta. Umumnya, baik peretasan akun maupun trik teknis tidak digunakan untuk menyamarkan pengirim - yang dibutuhkan penyerang hanyalah mendapatkan email asli dan membuat domain yang mirip. Dengan cara ini penjahat siber secara otomatis mendapatkan kepercayaan dari semua peserta lain, memungkinkan mereka untuk mengarahkan percakapan dengan masuk akal ke tujuan yang diinginkan. Untuk melakukan jenis serangan ini, penjahat siber sering kali membeli basis data korespondensi email yang dicuri atau bocor di web gelap.

Skenario serangan dapat bervariasi. Penggunaan phishing atau malware tidak terkecuali. Tetapi sesuai skema klasik, peretas biasanya mencoba membajak percakapan yang berhubungan langsung dengan uang, lebih disukai dalam jumlah besar, memasukkan detail bank mereka pada saat yang tepat, dan kemudian menikmati hasilnya.

Permintaan data dari yang mengaku sebagai pihak berwajib
Peretas membuat permintaan data "resmi" saat mengumpulkan infomrasi sebagai persiapan serangan terhadap pengguna layanan online. Permintaan semacam itu telah diterima oleh ISP, jejaring sosial, dan perusahaan teknologi yang berbasis di AS dari akun email yang diretas milik lembaga penegak hukum.

Sedikit konteks, dalam keadaan normal, untuk mendapatkan data dari penyedia layanan di Amerika Serikat diperlukan surat perintah yang ditandatangani oleh hakim. Namun, dalam situasi di mana nyawa atau kesehatan manusia terancam, Permintaan Data Darurat (EDR) dapat dikeluarkan.

Oleh karena itu, kemungkinan besar permintaan resmi akan dikabulkan jika terlihat masuk akal dan tampaknya berasal dari lembaga penegak hukum. Dengan cara ini, peretas dapat memperoleh informasi tentang korban dari sumber yang dapat dipercaya dan menggunakannya untuk serangan lebih lanjut.

Sasaran dari semua metode serangan di atas bukanlah sekumpulan perangkat keras yang tidak berjiwa, melainkan manusia. Jadi, untuk memperketat pertahanan perusahaan terhadap serangan rekayasa sosial, fokus berada pada sisi “manusia”. Ini berarti termasuk mengedukasi karyawan dasar-dasar keamanan siber untuk meningkatkan kesadaran keamanan mereka, dan menjelaskan cara menangkal berbagai jenis serangan.

Contact Information