Pengantar

Menurut CertiK, platform verifikasi blockchain dan smart contract, serangan phishing melonjak sebesar 170 persen pada kuartal kedua 2022, seperti yang disoroti dalamlaporan triwulananSelain itu, Cisco Talos, sebuah organisasi intelijen ancaman dan penelitian dalam Sistem Cisco, memperkirakan bahwa serangan rekayasa sosial, khususnya phishing, akan muncul sebagai ancaman dominanpada Web3dan metaverse dalam beberapa tahun mendatang.

Sementara gelembung dotcom secara bertahap mendominasi, menjadi salah satu peristiwa paling banyak dicari dalam sejarah, rekayasa sosial di ruang kripto secara perlahan mulai mendapat ketenaran dengan meningkatnya kekhawatiran korban dari penipuan dan skema phishing setiap hari, yang telah membuat banyak orang menjadi hancur dan bingung. Dengan adopsi kripto, NFT, dan teknologi Web3 yang semakin berkembang, kejadian penipuan di domain-domain ini juga semakin meningkat.

Seaneh mungkin terdengar, inovasi secara bertahap telah melampaui batas penyempurnaan beberapa proses; itu juga bisa terlihat dalam bagaimana skema baru terus direvisi dan dirancang untuk menipu banyak orang. Menariknya, sekelompok pengguna Web3 masih menjadi mangsa karena sulit untuk melihat atau merasakan saat penipuan muncul. Statistik telah menunjukkan bahwa banyak orang tidak menyadari beberapa aksi penipuan sampai mereka tenggelam dalamnya.

Inovasi dan Tren yang Tidak Terduga dalam Rekayasa Sosial

Pelaku jahat terus menerus merancang metode baru untuk menipu pengguna agar menyerahkan aset kriptonya, NFT, atau kredensial login rahasia, dengan phishing menjadi bentuk serangan rekayasa sosial yang umum.

Rekayasa sosial adalah elemen yang meresap dalam hampir setiap serangan keamanan cyber, merajut melalui berbagai bentuk, seperti scam email klasik dan virus yang dicampuri dengan nuansa sosial. Dampaknya meluas di luar perangkat desktop ke ranah digital, menghadirkan ancaman melalui serangan mobile. Terutama, jangkauan rekayasa sosial tidak terbatas pada ranah digital, karena dapat muncul secara langsung, menimbulkan lanskap ancaman yang serbaguna.

Luasnya kerusakan rekayasa sosial tidak dapat sepenuhnya dicakup dan dihitung karena jangkauannya yang luas. Para peneliti di bidang keamanan cyber telah mengungkapkan berbagai cara 57 yang berbeda di mana serangan cyber dapat berdampak buruk pada individu, bisnis, dan bahkan negara-negara tertentu. Dampak-dampak ini meliputi spektrum yang luas, mencakup ancaman terhadap kehidupan, menimbulkan tantangan kesehatan mental seperti depresi, menimbulkan denda regulasi, dan mengganggu aktivitas rutin sehari-hari.

Pada dasarnya, ini adalah strategi manipulatif yang memanfaatkan kesalahan manusia untuk memperoleh informasi pribadi, akses tidak sah, atau aset berharga. Penting untuk dicatat bahwa penipuan ini dirancang secara rumit berdasarkan pemahaman proses pikiran dan perilaku manusia, sehingga sangat efektif dalam memanipulasi pengguna. Dengan memahami motivasi yang mendorong tindakan pengguna, penyerang dapat dengan cekatan menipu dan memengaruhi mereka.

Jenis Serangan Rekayasa Sosial

Sumber: Kantor 1.com

Serangan Phishing

Salah satu gerakan favorit dari penjahat rekayasa sosial selalu menjadi Serangan Phishing. Para penyerang ini berpura-pura berasal dari bank atau bursa kripto Anda atau bahkan seorang teman saat mencoba membuat Anda mengungkapkan kata sandi atau rincian pribadi Anda.

• Spam Phishing: Ini seperti jaring ikan yang dilemparkan lebar, mencoba menangkap siapa pun. Ini bukan pribadi; Ia hanya berharap seseorang mengambil umpan.
• Spear Phishing dan Whaling: Ini lebih ditargetkan. Mereka menggunakan detail-detail spesifik tentang Anda, seperti nama Anda, untuk menipu Anda. Whaling seperti menargetkan ikan besar, seperti orang-orang terkenal atau pejabat penting.

Sekarang, bagaimana mereka memberikan trik-trik ini?

• Penipuan Suara (Vishing): Mereka mungkin menelepon Anda, baik dengan pesan direkam atau orang sungguhan, membuat Anda percaya pada mereka dan bertindak cepat
• SMS Phishing (Smishing): Anda mendapatkan teks dengan tautan atau pesan yang meminta Anda untuk segera membalas. Ini mungkin mengarahkan Anda ke situs web palsu atau email penipuan atau nomor telepon
• Email Phishing: Ini adalah yang klasik. Anda menerima email yang menipu Anda untuk mengklik tautan atau membuka sesuatu yang buruk
• Phishing Angler: Di media sosial, mereka mungkin berpura-pura menjadi layanan pelanggan, mengalihkan percakapan Anda ke pesan pribadi
• Phishing Mesin Pencari: Mereka memanipulasi hasil pencarian, sehingga Anda akan masuk ke situs web palsu daripada yang asli
• Tautan Phishing URL: Tautan yang licik ini muncul di email, pesan teks, atau media sosial, mencoba menarik Anda ke situs web palsu
• Phishing Saat Sesi: Ini terjadi saat Anda sedang menjelajahi internet, dengan pop-up palsu yang meminta rincian login Anda

Jenis-jenis rekayasa sosial lainnya meliputi:

Serangan Baiting

Baiting trik Anda dengan menggunakan rasa ingin tahu alami Anda untuk menarik Anda untuk mengekspos diri Anda kepada penyerang. Mereka sering menjanjikan sesuatu yang gratis atau eksklusif untuk mengeksploitasi Anda, biasanya melibatkan menginfeksi perangkat Anda dengan malware. Metode umum termasuk meninggalkan drive USB di tempat umum atau mengirim lampiran email dengan tawaran gratis atau perangkat lunak palsu.

Serangan Pelanggaran Fisik

Ini melibatkan penyerang muncul secara langsung, berpura-pura menjadi seseorang yang sah untuk mendapatkan akses ke area terbatas atau informasi. Ini lebih umum terjadi di organisasi besar. Penyerang mungkin berpura-pura menjadi vendor terpercaya atau bahkan mantan karyawan. Ini berisiko, tetapi jika berhasil, imbalannya tinggi.

Serangan Pretexting

Pretexting menggunakan identitas palsu untuk membangun kepercayaan, seperti menyamar sebagai vendor atau karyawan. Penyerang secara aktif berinteraksi dengan Anda dan dapat mengeksploitasi dompet Anda setelah mereka meyakinkan Anda bahwa mereka sah.

Serangan Tailgating Akses

Tailgating, atau piggybacking, adalah ketika seseorang mengikuti orang yang diizinkan masuk ke area terbatas. Mereka mungkin mengandalkan kesopanan Anda untuk menahan pintu atau meyakinkan Anda bahwa mereka diizinkan masuk. Pretexting juga dapat berperan di sini.

Serangan Quid Pro Quo

Ini melibatkan pertukaran informasi Anda untuk imbalan atau kompensasi. Mereka mungkin menawarkan hadiah atau penelitian untuk mendapatkan data Anda, menjanjikan sesuatu yang berharga. Namun, mereka hanya mengambil data Anda tanpa memberi Anda apa pun.

Serangan Scareware

Dalam serangan scareware, malware menakut-nakuti Anda untuk mengambil tindakan dengan menampilkan peringatan palsu tentang infeksi malware atau akun yang dikompromikan. Ini mendorong Anda untuk membeli perangkat lunak keamanan palsu yang bisa mengungkapkan rincian pribadi Anda.

Contoh Serangan Rekayasa Sosial

Menggarisbawahi contoh-contoh ini juga bisa berfungsi sebagai sorotan dari artikel ini untuk memungkinkan pembaca mengambil langkah-langkah lebih berhati-hati ketika dihadapkan dengan situasi seperti ini.

Berikut adalah contoh serangan rekayasa sosial:

Serangan Cacing

Para penjahat dunia maya menarik perhatian dengan menggoda pengguna untuk mengklik tautan atau file yang terinfeksi. Contoh-contohnya termasuk cacing LoveLetter pada tahun 2000, cacing email Mydoom pada tahun 2004, dan cacing Swen yang menyamar sebagai pesan Microsoft menawarkan pembaruan keamanan palsu.

Saluran Pengiriman Tautan Malware

Berkaitan dengan malware, tautan yang terinfeksi dapat dikirim melalui email, pesan instan, atau ruang obrolan internet. Virus mobile mungkin disampaikan melalui pesan SMS. Perhatikan bahwa pesan-pesan ini biasanya menggunakan kata-kata yang menarik untuk memikat pengguna agar mengklik, melewati filter antivirus Email.

Serangan Jaringan Peer-to-Peer (P2P)

Di jaringan P2P, mereka dieksploitasi untuk mendistribusikan malware dengan nama-nama yang menarik. File-file seperti “AIM & AOL Password Hacker.exe” atau “Playstation emulator crack.exe” menarik pengguna untuk mengunduh dan menjalankannya.

Mempermalukan Pengguna yang Terinfeksi

Pembuat malware memanipulasi korban dengan menawarkan utilitas palsu atau panduan yang menjanjikan manfaat ilegal, seperti akses internet gratis atau pembuat nomor kartu kredit. Korban, yang tidak ingin mengungkapkan tindakan ilegal mereka, sering menghindari melaporkan infeksi.

Bagaimana Social Engineering Bekerja?

Sumber: Imperva, Inc.

Serangan rekayasa sosial pada umumnya bergantung pada komunikasi yang genuin antara pelaku dan target. Alih-alih mengandalkan metode paksaan untuk meretas data, penyerang biasanya bertujuan untuk memanipulasi pengguna agar mengorbankan keamanan mereka sendiri.

Siklus serangan rekayasa sosial mengikuti proses sistematis yang digunakan oleh para penjahat ini untuk menipu individu dengan efektif. Langkah kunci dalam siklus ini adalah sebagai berikut:

• Serangan rekayasa sosial biasanya terjadi dalam serangkaian langkah. Pelaku jahat memulai proses dengan menyelidiki latar belakang korban potensial, bertujuan untuk mengumpulkan informasi penting seperti praktik keamanan yang lemah atau titik masuk yang rentan.
• Setelah dipersenjatai dengan rincian yang cukup, pelaku membangun kepercayaan dengan korban, menggunakan berbagai taktik. Rekayasa sosial mencakup metode seperti menciptakan urgensi palsu, menyamar sebagai figur otoritas, atau menggantung imbalan yang menarik.
• Setelah itu, mereka melepaskan, yang berarti mereka menarik diri setelah pengguna melakukan tindakan yang diinginkan.

Manipulasi ini sering bergantung pada seni persuasi, di mana para penyerang menggunakan taktik psikologis untuk mengeksploitasi perilaku manusia. Dengan memahami taktik-taktik ini, individu dapat lebih baik mengenali dan menolak upaya rekayasa sosial potensial, berkontribusi pada lingkungan digital yang lebih aman. Jadi tetaplah terinformasi, tetap waspada, dan prioritaskan keselamatan online!

Rekayasa Sosial dalam Web 3.0

Sumber: Systango

Space Web 3.0 telah menjadi tempat perkemahan penting untuk banyak aktivitas rekayasa sosial berbahaya belakangan ini. Di ranah kripto, peretas sering menggunakan taktik rekayasa sosial untuk mendapatkan akses tidak sah ke dompet kripto atau akun. Aset digital dari pengguna kripto, disimpan di dompet dengan kunci pribadi rahasia, menjadi sasaran utama untuk penipuan rekayasa sosial karena sifat sensitifnya.

Alih-alih mengandalkan kekerasan untuk merusak keamanan dan mencuri aset kripto, pelaku menggunakan berbagai teknik untuk mengeksploitasi kerentanan manusia. Misalnya, penyerang dapat menggunakan skema untuk menipu pengguna agar mengungkapkan kunci pribadi melalui metode yang tampaknya tidak berbahaya, seperti email phishing. Bayangkan menerima email yang tampak berasal dari layanan dompet atau tim dukungan Anda, tetapi sebenarnya itu adalah upaya phishing yang bertujuan untuk menipu Anda agar mengungkapkan informasi penting.

Sebagai contoh, gambar proses rekayasa sosial yang dicoba pada X (sebelumnya Twitter) berada di bawah ini. Singkatnya, X dapat disebut sebagai produk global dengan firewall kuat dan perlindungan, tetapi sayangnya, rekayasa sosial tidak mengenal batas karena para penjahat ini terus merancang model yang inovatif dan lebih canggih untuk merusak setiap dinding yang ketat atau orang/organisasi yang ingin mereka akses.

Sumber: Dukungan X

Tweet lain terlihat di X pada 15 Juli 2020, dari seorang pengguna dengan nama '@loppKarya seni dari para ahli rekayasa sosial tampaknya familiar baginya, karena twitnya menunjukkan tingkat pengalaman tertentu.

Sumber: Jameson Loop di X

Untuk melindungi aset kripto Anda, sangat penting untuk tetap waspada terhadap taktik-taktik menipu seperti itu. Berhati-hatilah terhadap email atau pesan yang tidak terduga, verifikasi keaslian komunikasi, dan jangan pernah membagikan kunci privat kepada sumber yang tidak dikenal. Tweet lain pada tanggal 13 Februari 2022, menunjukkan perbedaan yang jauh dari kegiatan serupa.

Sumber: Thomasg.eth di X

Selain itu, pada September 2023, protokol terdesentralisasi Balancer, yang beroperasi di blockchain Ethereum, melaporkan insiden keamanan yang melibatkan serangan rekayasa sosial. Platform tersebut berhasil mendapatkan kembali kontrol atas domainnya tetapi memperingatkan pengguna tentang ancaman potensial dari situs web yang tidak sah. Balancer mendesak pengguna untuk tetap waspada dan menyadari risiko yang terkait dengan insiden tersebut.

Sumber: Balancer di X

Ciri-Ciri Serangan Rekayasa Sosial

Serangan rekayasa sosial berkaitan dengan penggunaan ahli pelaku untuk mempengaruhi dan percaya diri, yang mendorong individu untuk melakukan tindakan yang biasanya tidak akan mereka pertimbangkan.

Di hadapan taktik-taktik ini, individu seringkali menemukan diri mereka tunduk pada perilaku-perilaku menipu berikut:

• Emosi yang Meningkat: Manipulasi emosional adalah alat yang kuat, mengeksploitasi individu dalam keadaan emosional yang meningkat. Orang cenderung membuat keputusan yang irasional atau berisiko ketika mengalami emosi yang tinggi. Taktik-taktiknya termasuk memicu rasa takut, kegembiraan, rasa ingin tahu, kemarahan, rasa bersalah, atau kesedihan.
• Urgensi: Permintaan atau permohonan yang mengandung unsur mendesak adalah strategi yang dapat diandalkan bagi para penyerang. Dengan menciptakan rasa urgensi, para penyerang dapat menyajikan masalah yang seolah-olah mendesak yang membutuhkan perhatian segera atau menawarkan hadiah atau ganjaran dengan batas waktu tertentu. Taktik-taktik ini dirancang untuk mengesampingkan kemampuan berpikir kritis.
• Kepercayaan: Membangun kepercayaan adalah hal yang sangat penting dalam serangan rekayasa sosial. Keyakinan adalah elemen kunci, karena para penyerang membuat narasi yang didukung oleh penelitian yang cukup tentang target sehingga mudah dipercayai dan tidak mungkin menimbulkan kecurigaan.

Cara Mengidentifikasi Serangan Rekayasa Sosial

Sumber: Xiph Cyber

Membela diri terhadap rekayasa sosial dimulai dengan kesadaran diri. Luangkan waktu sejenak untuk berpikir sebelum merespons atau mengambil tindakan, karena penyerang mengandalkan reaksi cepat. Berikut beberapa pertanyaan yang perlu dipertimbangkan jika Anda mencurigai serangan rekayasa sosial:

• Periksa Emosi Anda: Apakah emosi Anda meningkat? Anda mungkin lebih rentan jika merasa tidak biasa ingin tahu, takut, atau terangsang. Emosi yang meningkat dapat mengaburkan penilaian, sehingga penting untuk mengenali tanda-tanda bahaya ini.
• Memverifikasi Pengirim Pesan: Apakah pesan berasal dari pengirim yang sah? Periksa alamat email dan profil media sosial untuk perbedaan halus, seperti nama yang salah eja. Jika memungkinkan, verifikasi dengan pengirim yang seharusnya melalui cara lain, karena profil palsu umum.
• Konfirmasi Identitas Pengirim: Apakah teman Anda benar-benar mengirim pesan tersebut? Konfirmasi dengan orang tersebut apakah mereka mengirim pesan tersebut, terutama jika melibatkan informasi sensitif. Mereka mungkin tidak menyadari adanya peretasan atau kepalsuan.
• Periksa Detail Situs Web: Apakah situs web memiliki detail yang aneh? Perhatikan ketidakberaturan dalam URL, kualitas gambar, logo yang usang, atau kesalahan ketik di halaman web. Jika ada yang terasa aneh, tinggalkan situs web segera.
• Evaluasi Keaslian Penawaran: Apakah penawaran tersebut terlalu bagus untuk menjadi kenyataan? Berhati-hatilah terhadap penawaran yang menggiurkan, karena seringkali mereka memotivasi serangan rekayasa sosial. Tanyakan mengapa seseorang menawarkan barang berharga untuk keuntungan minimal bagi mereka, dan tetap waspada terhadap pengumpulan data.
• Periksa Lampiran dan Tautan: Apakah lampiran atau tautan terlihat mencurigakan? Jika tautan atau nama file terlihat tidak jelas atau di luar konteks, pertimbangkan kembali legitimasi seluruh komunikasi itu. Tanda bahaya dapat mencakup waktu yang aneh, konteks yang tidak biasa, atau elemen mencurigakan lainnya.
• Permintaan Verifikasi Identitas: Bisakah orang tersebut membuktikan identitasnya? Jika seseorang meminta akses, terutama secara langsung, bersikeraslah pada verifikasi identitas. Pastikan mereka dapat membuktikan afiliasi mereka dengan organisasi yang diklaim, baik secara online maupun tatap muka, untuk mencegah menjadi korban pelanggaran fisik.

Kesimpulan

Lanskap serangan rekayasa sosial yang terus berkembang membutuhkan kewaspadaan konstan dari pengguna Web3. Sementara inovasi telah merevolusi kehidupan kita, itu juga menjadi pedang bermata dua, memberdayakan baik kemajuan maupun pelaku jahat. Saat tanggung jawab untuk melindungi aset digital kita ada di pundak kita, langkah-langkah proaktif sangat penting.

Artikel ini telah memberi Anda pengetahuan berharga untuk mengidentifikasi dan melawan upaya rekayasa sosial. Ingatlah, melambat dan berpikir secara kritis sebelum mengambil tindakan apa pun adalah pertahanan kunci Anda. Terapkan langkah-langkah pencegahan yang tercantum, seperti memeriksa saluran komunikasi, menerapkan otentikasi multi-faktor, memperkuat kata sandi, dan tetap terinformasi tentang teknik phishing yang berkembang.

Kita dapat secara bersama-sama membangun lingkungan Web3 yang lebih aman dan bertanggung jawab dengan berhati-hati dan proaktif. Ingat, tanggung jawab ada pada setiap individu untuk melindungi diri dan aset digital mereka. Jadi tetap waspada, tetap terinformasi, dan tetap aman!