Rekayasa sosial (keamanan)

Rekayasa sosial dalam konteks keamanan komputer merujuk pada aktivitas penggunaan pengintaian sederhana atau penipuan untuk memperoleh kata sandi atau akses secara langsung dari pengguna yang tidak waspada. Teknik ini lebih disukai oleh peretas dibandingkan metode serangan yang lebih sulit dan berisiko karena tidak memerlukan metode intrusi teknis yang rumit.

Pengguna manusia secara konsisten dianggap sebagai mata rantai terlemah dalam rantai keamanan komputer. Sebagian besar pengguna komputer dan sistem informasi bukan merupakan ahli komputer atau profesional keamanan siber, dan mayoritas mengetahui sangat sedikit tentang apa yang terjadi antara antarmuka mereka dengan data atau layanan yang mereka akses. Sulit untuk mengubah kebiasaan orang dalam skala besar agar menggunakan praktik yang direkomendasikan untuk pengaturan kata sandi, pemeriksaan surel secara cermat, penghindaran situs web berbahaya, dan pembaruan perangkat lunak.

Bentuk rekayasa sosial yang paling sederhana adalah menebak kata sandi login individu. Pengguna kerap menggunakan kata sandi yang mengandung urutan karakter umum atau mudah ditebak, antara lain nama sendiri atau nama anggota keluarga, kata-kata yang umum ditemukan dalam kamus, urutan angka yang berkaitan dengan tanggal lahir, bagian dari alamat tempat tinggal, atau nama tim olahraga favorit.

Praktik ini menjadi semakin berbahaya di era modern karena banyaknya informasi pribadi yang tersedia secara publik di internet. Sekilas pandang pada halaman media sosial seseorang biasanya mengungkapkan banyak informasi tentang orang tersebut, yang menjadikannya sumber sempurna bagi peretas untuk menyempurnakan tebakan kata sandi mereka. Data pribadi yang berguna untuk menebak kata sandi juga dapat diperoleh melalui praktik yang disebut dumpster diving, yaitu ketika peretas menggeledah tempat sampah pengguna target untuk mencari dokumen yang mengandung informasi sensitif.

Bentuk rekayasa sosial yang lebih interaktif melibatkan tingkat pengawasan atau pengintaian tertentu. Jika peretas memiliki akses fisik ke lokasi sistem target, mereka dapat mencoba mengamati pengguna saat sedang mengetikkan informasi login. Praktik ini dikenal secara populer sebagai shoulder surfing karena hanya melibatkan pengintipan secara diam-diam dari balik bahu pengguna.

Phishing adalah metode yang digunakan peretas untuk memperoleh informasi pengguna dengan cara menyerupai komunikasi sah, misalnya dari bank, akun belanja daring, atau departemen dalam organisasi korban sendiri. Istilah ini merupakan homonim dari kata "fishing" (memancing) dalam bahasa Inggris, dinamai demikian karena praktiknya serupa dengan menggantungkan kail di air sambil menunggu ikan menggigit.

Surel phishing yang canggih menggunakan tajuk surel palsu, bahasa yang meyakinkan, dan format yang hampir identik dengan surel sah. Jika pengguna target terjebak, mereka akan merespons surel tersebut dengan nama pengguna dan kata sandi, atau mengeklik tautan web yang menerima informasi tersebut dalam formulir yang tampak sah. Biasanya, ribuan surel disebarkan dalam satu serangan phishing dengan harapan setidaknya sebagian kecil penerima akan merespons.

Berbeda dengan phishing biasa yang mengirimkan surel identik dalam jumlah besar, spear-phishing menargetkan pengguna tertentu secara spesifik. Surel spear-phishing yang dilaksanakan dengan baik sering kali menyapa pengguna target dengan nama dan mengandung detail pribadi lainnya agar tampak lebih autentik. Oleh karena itu, biasanya ada riset atau rekayasa sosial yang mendahului serangan ini.

Dalam kebanyakan kasus, serangan jenis ini dilakukan karena peretas telah mengidentifikasi individu yang ditargetkan sebagai pemilik informasi, aset, atau akses komputer yang diminati secara khusus. Ketika serangan spear-phishing ditujukan kepada target bernilai tinggi dalam organisasi—biasanya eksekutif atau pejabat informasi dengan akses tertinggi—jenis serangan ini dikenal sebagai harpooning atau whaling (perburuan paus).

Serangan phishing, spear-phishing, dan harpooning tidak hanya dilakukan untuk memperoleh kata sandi, tetapi terkadang juga digunakan untuk mengumpulkan informasi lain atau mengirimkan perangkat lunak berbahaya ke sistem target.

Kerentanan manusia merupakan salah satu aspek keamanan yang jarang dibahas secara mendalam. Organisasi bisnis dan lembaga pemerintah menghabiskan banyak waktu dan sumber daya untuk melatih karyawan mengikuti prosedur keamanan informasi yang tepat, tetapi hanya dibutuhkan satu mata rantai lemah untuk memberikan celah bagi peretas mengakses seluruh sistem atau jaringan.

Satu contoh yang dicatat dalam sumber adalah kasus di mana sistem korporat berhasil dibobol setelah seorang peretas dengan sengaja meninggalkan flash drive USB di tempat parkir perusahaan. Ketika seorang karyawan yang tidak curiga menemukannya dan memasukkannya ke komputer kerja, ia secara tidak sengaja melepaskan virus ke dalam sistem.

Bahkan sistem keamanan yang paling canggih dan mahal—termasuk firewall dan sistem pencegahan intrusi jaringan—menjadi tidak berguna ketika seorang pengguna internal mengeklik tautan berbahaya, membuka virus dalam lampiran surel, memasukkan flash drive yang telah disusupi, atau memberikan kata sandi akses melalui telepon atau surel.

Penggunaan kata sandi yang dikonfigurasi dengan benar merupakan salah satu cara termudah bagi individu untuk melindungi diri dari serangan brute force sederhana pada login. Kata sandi yang lebih panjang dengan kompleksitas yang cukup serta campuran huruf, angka, dan karakter khusus setidaknya memperpanjang waktu yang dibutuhkan peretas untuk mencoba memecahkan kata sandi.

Praktik pengamanan surel juga dinilai penting. Pengguna disarankan untuk memeriksa pengirim surel secara menyeluruh guna memastikan identitas mereka yang sebenarnya. Peretas kerap menggunakan alamat surel palsu yang sangat mirip dengan pengirim sah, sehingga pengguna perlu memperhatikan perbedaan halus dalam format surel. Tautan yang disediakan dalam surel juga perlu dilihat dengan tingkat kecurigaan tertentu.