Beranda  »  Tata Laksana » Untuk Umum   »   Social Engineering Manfaatkan Kelemahan Manusia

Social Engineering Manfaatkan Kelemahan Manusia

Oleh: Melekmedia -- 23 November, 2021 
Tentang: , , ,  –  Komentar Anda?

Rekayasa sosial

Penipuan masih dan akan selalu jadi ancaman. Bentuknya bisa berupa “social engineering“, memanfaatkan aspek psikologis baik di ranah daring maupun luring demi mendapatkan data pribadi.

Banyak fitur di media sosial menarik pengguna untuk ikut terlibat, contohnya fitur “Add Yours” dari Instagram yang menghebohkan netizen Indonesia. Sayangnya, pengguna sampai lupa ada beberapa informasi yang seharusnya haram dibagikan ke publik.

Lantaran fitur seperti ini, data-data pribadi secara sukarela disebar ke publik. Stiker lewat Stories yang diumumkan Instagram per 1 November 2021 ini memungkinkan pengguna memulai tren atau tantangan. Bisa berbentuk gambar atau video (disertai teks), melalui Instagram Stories, agar diikuti pengikutnya (follower).

Salah satu kasus mencuat ketika tantangan yang direspons adalah variasi nama panggilan pengguna. Beramai-ramai Instagramer menyebarkan nama panggilannya kepada publik. Rupanya bukan sekadar publik pengguna biasa yang memantau, tetapi juga pelaku kejahatan.

Hebohlah pengakuan penipuan lantaran nama panggilan ini. Seseorang mengaku dikontak oleh pelaku penipuan yang menyaru sebagai temannya, lalu meminjam uang. Karena si penipu menyebut si korban dengan nama panggilan yang (awalnya) hanya diketahui oleh teman akrab, si korban tak berpikir panjang.

Belum diketahui persisnya bagaimana kejadian ini berawal, tapi diduga kuat tantangan “variasi nama panggilan kamu” telah dimanfaatkan pelaku. Si korban ingat pernah mengikuti tantangan tersebut di Instagram. Selain tantangan ini masih ada tantangan lain yang ramai beredar, mengungkap tanggal lahir, hingga nama pasangan.

Terlepas kasus di atas sebuah aksi terencana untuk mencuri data pribadi, atau hanya kebetulan belaka, ini adalah cara sempurna memanipulasi pengguna menyerahkan data pribadinya. Data seperti tanggal lahir, nama orang tua sebelum menikah, atau info lain yang lazim menjadi “super password” dalam urusan kependudukan.

Ternyata ada penjelasan mengapa pengguna, atau aspek manusia, menjadi celah keamanan yang paling rentan dimanfaatkan pelaku kejahatan.

Kesalahan fitur atau pengguna?

Fitur baru Instagram ini sudah menampakkan celahnya sejak awal diluncurkan. Awal November lalu muncul utas tantangan bertajuk “Kami akan menanam 1 pohon untuk setiap gambar hewan peliharaan”. Setelah lebih dari 4 juta kiriman turut berpartisipasi mengirim gambar hewan peliharaan mereka, mulai muncul pertanyaan, siapa sebenarnya yang akan menanam pohon seperti yang dijanjikan?

Akun Instagram Plant A Tree Co mengaku bertanggung jawab atas tren tersebut. Mereka mengatakan bahwa kiriman tersebut dimulai untuk meningkatkan kesadaran tentang menanam pohon. Belakangan mereka menyadari kampanye itu meledak melebihi harapan mereka, dan tidak cukup sumber daya untuk menanam seperti yang dijanjikan. Merekapun menghapusnya.

“Kami hanya ingin mencoba fitur stiker Instagram baru dan berpikir dapat menggunakannya secara menyenangkan dan bermanfaat bagi lingkungan. Jadi kami membuat postingan meski belum terlalu paham cara kerja ‘Add Yours’,” kata Zack Saadioui, sarjana ilmu komputer berusia 23 tahun di belakang aksi Plant A Tree Co itu kepada VICE.

Namun stiker itu telanjur terus menyebar, tanpa nama, dan tak terkendali. Instagram yang menyadari insiden ini, akhirnya turun tangan. “Utas ‘Tanam satu pohon untuk setiap gambar hewan peliharaan’ ini dinonaktifkan untuk membatasi kesalahpahaman tentang siapa yang membuatnya,” kata juru bicara Meta, perusahaan induk Instagram seperti dikutip BBC Newsround.

Lalu apakah dalam kasus Instagram, berarti fitur tersebut memiliki celah keamanan? Secara teknis, mungkin tidak. Belum ada berita tentang data pengguna yang dicuri dari server Instagram dalam kasus tersebut. Kemungkinannya, ini terjadi karena pengguna secara tak sadar masuk ke dalam “perangkap”.

Anggap saja bahwa pembuat utas tak bermaksud jahat, sekadar seru-seruan di linimasa. Masalahnya, jenis informasi yang dijadikan tantangan adalah informasi yang sensitif. Godaan untuk turut berpartisipasi dalam ajang seru-seruan di linimasa, telah membuat pengguna lengah.

Trik yang sangat menggoda, kini jadi salah satu modus dalam penipuan. Penipuan di internet kini tidak sekadar melibatkan urusan teknis dalam sistem komputer (misalnya, packet sniffing dan pengumpulan data), juga mengeksplorasi fitur psikologis pengguna. Social engineering termasuk dalam ekspoitasi dari sisi psikologis.

Social engineering, atau diterjemahkan sebagai rekayasa sosial, sempat populer di kalangan hacker atau peretas. Misalnya saat mencuri password semakin sulit dilakukan secara teknis, maka rekayasa sosial bisa membuat pemilik password (tanpa sadar) menyerahkan kata sandinya secara sukarela.

Rekayasa sosial dan beragam bentuknya

Teknik rekayasa sosial seperti ini dipilih dengan mengincar mata rantai terlemah dalam sistem keamanan: manusia. Berbagai cara, daring maupun luring, digunakan untuk memanipulasi pengguna, misalnya agar mentransfer uang, persis seperti yang sedang diramaikan netizen.

Metode seperti ini belakangan sering ditemukan di Indonesia. “Tren keamanan digital saat ini, kebanyakan yang terjadi sekarang itu penipuan dengan teknik social engineering. Istilahnya memang keren, padahal artinya penipuan,” kata CEO Digital Forensic Indonesia, Ruby Alamsyah, dalam diskusi virtual yang ditayangkan lewat akun YouTube AJI Indonesia, Selasa (16/11/2021).

Pernyataan Ruby Alamsyah itu seperti mengkonfirmasi laporan Proofpoint pada 2019 bertajuk The Human Factor. Laporan itu menunjukkan 99 persen serangan siber menggunakan teknik rekayasa sosial untuk mengelabui pengguna agar menginstal malware. Lewat peranti jahat inilah, data-data sensitif dikirim ke pelaku kejahatan.

Menginstal malware hanya salah satu contoh. Masih banyak jenis manipulasi psikologis yang menargetkan manusia dalam rekayasa sosial. Di antaranya phishing, yang menjerat korban lewat situs tiruan. Saat korban “terperangkap”, merasa mengisi data pribadi ke situs yang disangkanya resmi, pelaku memanen data-data tersebut.

Metode phishing pun bermacam-macam. Di antaranya angler phishing, serangan yang dilakukan melalui akun customer service palsu via media sosial. Ada pula BEC (business email compromise), yang mengirim email dengan mengaku sebagai karyawan senior atau bahkan atasan di tempat kerja.

Kemudian ada yang menggunakan pendekatan pharming, atau mengarahkan lalu lintas web dari situs yang sah ke situs tiruan yang berbahaya (untuk mencuri data yang diserahkan pengguna). Ada lagi spear phishing, serangan yang menargetkan organisasi atau individu tertentu.

Lain lagi dengan metode tabnabbing atau reverse tabnabbing. Cara ini lebih canggih, karena pelaku menarget tab peramban yang sedang menampilkan situs resmi atau sah, sehingga tidak menimbulkan kecurigaan pengguna. Situs resmi tersebut (secara tidak sengaja) memuat tautan ke halaman baru (target), yang telah direkayasa pelaku.

Saat pengguna mengeklik tautan ke situs target, halaman baru terbuka, tetapi memicu perintah untuk membuat tiruan dari halaman sah yang sudah terbuka sebelumnya–menggantinya dengan situs phishing. Karena pengguna awalnya berada di halaman situs yang sah, mereka cenderung tidak menyadari situs sah tersebut telah jadi phishing.

Cara lainnya, penipuan dengan metode whaling atau CEO fraud. Serangan phishing ini menargetkan individu berprofil tinggi, seperti anggota DPR atau pejabat tinggi di pemerintahan maupun lembaga swasta. Dengan berbagai kecanggihan teknik rekayasa sosial, siapapun bisa jadi korban.

Mengapa cara ini efektif

Ahli hukum Jonathan J. Rusch, pernah menjelaskan di situs Internet Society mengapa penipuan seperti beragam metode phishing berhasil mengelabui korban. Menurutnya ada tiga aspek psikologi yang paling berpengaruh: Rute alternatif menuju persuasi; Sikap dan keyakinan; serta Teknik mempengaruhi dan persuasi. Ketiga aspek, bisa disebut sebagai kelemahan yang “sangat manusiawi”.

Pertama, dalam hal rute menuju persuasi. Saat seseorang berusaha membujuk orang lain untuk melakukan sesuatu, psikologi sosial mengidentifikasi dua rute alternatif yang dapat digunakan oleh pembujuk: Rute pertama, saat persuasi menyusun argumen sistemik dan logis untuk merangsang respons yang menguntungkan, mendorong pendengar atau pembaca berpikir secara mendalam, dan menyatakan persetujuan.

Sebaliknya, ada rute periferal untuk persuasi, yang bergantung pada isyarat mental yang mengarahkan jalan pintas, sehingga melewati argumen logis dan kritis, kemudian berusaha untuk memicu penerimaan tanpa berpikir mendalam tentang masalah tersebut.

Rute pertama tidak mungkin dilalui penjahat atau pelaku penipuan, karena pasti melibatkan argumentasi yang sistemik dan logis. Pelaku penipuan akan memilih skema rute periferal ke persuasi. Salah satu caranya, dengan membuat beberapa pernyataan yang memicu emosi yang kuat, seperti kegembiraan atau ketakutan.

Misalnya, memikat calon korban dengan janji akan hadiah yang cukup besar senilai ratusan atau ribuan rupiah, yang akan membuat calon korban langsung heboh. Gelombang emosi yang kuat ini, seperti bentuk gangguan lainnya, menghambat kemampuan korban untuk berpikir logis, misalnya untuk membantah.

Dimensi kedua dari psikologi sosial dalam penipuan melibatkan perbedaan antara sikap dan keyakinan korban tentang orang yang menipunya. Korban cenderung percaya pada siapa (penipu) yang berbicara dengan mereka, bukan tentang apa (isi pesan) yang dibicarakan.

Dalam transaksi komersial yang umum, pembeli dan penjual mungkin berada pada tingkat keyakinan yang berbeda tentang harga yang sesuai untuk barang atau jasa yang akan ditransaksikan. Namun, pada akhirnya masing-masing memiliki harapan yang sama bahwa semua pihak akan mendapatkan apa yang diinginkan.

Sebaliknya, dalam transaksi penipuan, hanya korban yang percaya bahwa dia dan pemberi barang atau jasa memiliki harapan yang sama. Bahkan sebelum menjadi korban penipuan, mereka mungkin sudah menyerah pada godaan — disebut efek konsensus palsu — bahwa orang lain memiliki perasaan dan ide yang sama dengan mereka.

Eksperimen psikologi sosial menunjukkan bahwa untuk beberapa orang yang cenderung tidak meneliti pesan persuasif dengan cermat, sikap mereka setelah terpapar pesan tidak terlalu bergantung pada hasil penelaahan pesan, ketika mereka menganggap sumbernya lebih jujur.

Dengan demikian, beberapa korban penipuan mungkin cenderung bergantung terutama pada keyakinan atau kesan bahwa orang yang berurusan dengan mereka jujur, dan tidak terlalu memikirkan isi pesan.

Dimensi ketiga, terkait aspek pengaruh psikologis yang dimanfaatkan penjahat terhadap korban. Sejumlah literatur dalam psikologi sosial menunjukkan setidaknya ada enam faktor yang mempengaruhi proses persuasi untuk membujuk atau mempengaruhi orang lain. Keenam faktor ini memudahkan penjahat menjalankan aksinya.

Rusch mengutip rumusan Robert B. Cialdini, dalam Influence (1993), tentang keenam faktor yang bisa menjelaskan mengapa rekayasa sosial berhasil mengelabui korbannya.

1. Otoritas

Dalam situasi yang tepat, orang menjadi sangat responsif terhadap penegasan otoritas, bahkan ketika orang yang mengaku berada dalam posisi otoritas itu tidak hadir secara fisik. Dalam sebuah studi, sejumlah perawat pernah diuji oleh dokter gadungan untuk memberikan obat dengan dosis tertentu kepada pasien tertentu.

Setidaknya ada empat faktor seharusnya mencegah perawat mempercayai begitu saja instruksi lewat telepon dari dokter gadungan tersebut. (1) Instruksi itu berasal dari “dokter” yang belum pernah bertemu atau berbicara dengan perawat; (2) “dokter” itu mengirimkan resep melalui telepon, yang melanggar kebijakan rumah sakit; (3) obat yang bersangkutan tidak diizinkan untuk digunakan; dan (4) dosis yang ditentukan oleh “dokter” itu jelas-jelas berbahaya, dua kali lipat dari dosis harian maksimum.

Namun, apa yang terjadi. Dalam 95 persen kasus, perawat tetap menjalankan instruksi itu, hingga akhirnya pengamat penelitian menghentikan mereka untuk memberikan dosis palsu itu kepada pasien.

2. Kelangkaan

Penelitian oleh Dr. Jack Brehm dari Universitas Stanford menunjukkan bahwa orang semakin menginginkan barang itu ketika mereka merasa bahwa kebebasan untuk mendapatkannya dibatasi atau mungkin memang terbatas karena beberapa kondisi.

Ini yang membuat orang-orang sangat responsif bila barang tersebut sangat mereka inginkan. Keyakinan bahwa orang lain mungkin bersaing untuk barang langka dapat meningkatkan keinginan orang tersebut, bahkan dengan cara-cara yang tidak masuk akal.

3. Kesukaan dan kesamaan

Ini adalah kecenderungan manusiawi, bahwa terhadap seseorang yang memiliki karakteristik identik atau mirip dengan kita sendiri — tempat lahir, atau selera olahraga, musik, seni, atau minat pribadi lainnya — memberikan insentif yang kuat untuk mengadopsi mentalitas. jalan pintas, dalam berurusan dengan orang itu.

Unsur-unsur persamaan itu menimbulkan anggapan bahwa mereka yang mirip secara identitas atau nasib ini adalah orang yang bisa dipercaya, sehingga menghilangkan rasa curiga. Ini membuat orang cenderung menurunkan rasa kehati-hatian mereka.

4. Pertukaran

Naluri manusiawi menyatakan bahwa jika seseorang memberi (atau berjanji untuk memberi) sesuatu, kita merasakan kecenderungan yang kuat untuk membalas kebaikan itu dengan memberikan sesuatu. Bahkan saat balasan itu jauh lebih mahal daripada bantuan asli.

Meskipun bantuan yang ditawarkan tersebut tidak diminta, orang yang mendapat bantuan akan merasakan ada kewajiban untuk menghormati aturan “timbal balik” ini, semacam utang budi yang harus dibalas. Dengan mudah ia akan menyetujui balasan saat ditagih oleh pemberi tawaran bantuan.

5. Komitmen dan konsistensi

Jika kita berjanji untuk melakukan sesuatu, dan gagal memenuhi janji itu, hampir pasti kita dianggap tidak dapat dipercaya. Oleh karena itu, manusia cenderung bersusah payah untuk bertindak secara konsisten, meski dalam kondisi tertentu akhirnya menyadari bahwa beberapa konsistensi sebenarnya adalah tindakan bodoh.

Salah satu praktik sosial yang membuat kita rentan terhadap daya tarik konsistensi adalah penggunaan tulisan. Seorang psikolog sosial, Profesor Robert B. Cialdini, mengamati bahwa kecuali ada bukti kuat yang bertentangan, “Orang memiliki kecenderungan alami untuk berpikir bahwa sebuah pernyataan tertulis mencerminkan sikap yang sebenarnya dari sang penulis.”

Maka, saat seseorang menerima pernyataan tertulis yang dianggap meyakinkan, ia cenderung percaya pada apa yang telah ditulisnya saat merespons dengan pernyataannya sendiri. Ini menambah kesan bahwa kedua belah pihak telah menunjukkan sikap dan keyakinan mereka yang sebenarnya.

5. Bukti sosial

Dalam banyak situasi sosial, salah satu jalan pintas yang diandalkan untuk menentukan tindakan yang paling tepat, adalah dengan melihat apa yang dilakukan atau dikatakan orang lain. Fenomena ini dikenal sebagai “bukti sosial”, mampu mendorong manusia mengambil tindakan meski bertentangan dengan kepentingannya sendiri.

Pembenaran bahwa apa yang ia lakukan merujuk pada apa yang sudah dilakukan orang lain, membuatnya mengambil tindakan tersebut tanpa meluangkan waktu untuk mempertimbangkannya lebih dalam. Kultus dari Kuil Jonestown ke Gerbang Surga, misalnya, membuktikan tentang efek dari fenomena ini dalam situasi yang tepat.

Bagaimana melawannya

Mengurangi ancaman rekayasa sosial adalah komponen penting dari program keamanan siber. Selain memperkuat pertahanan dari sisi sistem, manusia adalah celah yang paling sulit diamankan. Ini karena metode untuk memanfaatkan celah keamanan pada manusia terlalu beragam dan sulit diduga.

Setidaknya ada empat hal penting yang disarankan sebuah lembaga bernama IT Governance, yang menyediakan pengelolaan risiko di dunia maya, dalam rangka meningkatkan pertahanan dari rekayasa sosial. Tips dari mereka konteksnya untuk staf perusahaan, tetapi diringkas kembali di sini agar bisa dimanfaatkan publik yang lebih luas.

Budaya keamanan yang positif

Bila merasa menjadi korban rekayasa sosial, penting bagi korban untuk melaporkan insiden sesegera mungkin. Bila data pribadinya yang tersebar, setidaknya ia melaporkan kejadian tersebut ke penyedia layanan. Misalnya, bila terjadi di Instagram, segeralah melaporkan kiriman yang dicurigai telah melakukan rekayasa sosial, ke pihak Instagram.

Bila penipuan itu terjadi di luar jaringan, sebaiknya segera melaporkan ke polisi. Meskipun, saat ini citra kepolisian sedang tak menggembirakan dalam hal menindaklanjuti laporan warga, kita tak punya pilihan lain. Mengumumkan ke publik lewat media sosial, sebaiknya jadi pilihan terakhir, dengan mempertimbangkan segala risikonya.

Mewaspadai teknik-teknik rekayasa sosial

Serangan rekayasa sosial tidak selalu mudah dideteksi, jadi penting untuk memahami taktik yang mereka gunakan, seperti:

  • Menyamar sebagai entitas tepercaya, seperti merek atau orang yang dikenal;
  • Menciptakan rasa urgensi yang salah untuk membingungkan korban, seringkali dengan memprovokasi mereka menjadi ketakutan atau kegembiraan berlebih sehingga bertindak cepat tanpa berpikir dengan benar; dan
  • Mengambil keuntungan dari keingintahuan alami orang, rasa berhutang budi, atau respons terkondisi terhadap otoritas.

Biasakan juga untuk senantiasa:

  • Curiga terhadap komunikasi yang tidak diminta dan orang yang tidak dikenal;
  • Memeriksa apakah email benar-benar berasal dari penerima yang disebutkan (periksa ulang nama pengirim dan perhatikan adanya kesalahan ejaan dan tata bahasa dalam penulisan);
  • Hindari membuka lampiran email yang mencurigakan;
  • Berpikirlah berkali-kali sebelum memberikan informasi sensitif;
  • Periksa keamanan situs web sebelum mengirimkan informasi, meskipun tampaknya sah; dan
  • Perhatikan URL, dan ‘salah ketik’ (situs yang terlihat asli tetapi alamat webnya sedikit berbeda dari situs sah yang mereka tiru).

Tips tersebut mungkin bukan obat paling mujarab, tetapi semoga membantu mencegah Anda menjadi korban serangan dan meminimalkan kerusakan dari setiap serangan yang berhasil.

*Photo by Sebastiaan Stam from Pexels

Komentar Anda?

  ×  4  =  16


Topik

Komentar

Gabung Melekmedia!