Interaksi antarmanusia merupakan sesuatu yang tidak terhindarkan di kehidupan. Hal ini wajar mengingat posisi manusia sebagai makhluk sosial. Walaupun begitu, tahukah kamu kalau orang lain dapat memanfaatkan interaksi tersebut untuk keuntungan pribadi? Fenomena ini kita kenal sebagai social engineering.
Istlahnya terdengar asing, ya? Padahal, bentuknya ada banyak dan mungkin tanpa sadar sering kamu alami. Lantas, apa, sih, social engineering itu? Apakah benar tindakan ini mengincar orang-orang dengan jabatan penting? Yuk, cari tahu jawabannya di bawah ini!
Daftar Isi
1. Apakah Merupakan Jurusan Keteknikan dalam Ilmu Sosial?
Mendengar istilahnya, mungkin kamu langsung teringat jurusan keteknikan. Nyatanya, social engineering sama sekali gak ada hubungannya dengan jurusan di perkuliahan, lo!
Social engineering atau rekayasa sosial adalah berbagai bentuk tindakan memanipulasi orang lain untuk mendapatkan informasi sensitif atau data berharga. Tindakan ini juga bisa membantu pelaku masuk ke sebuah sistem rahasia secara ilegal lewat hubungan interaksi antarmanusia.
Biasanya, rekayasa sosial erat kaitannya dengan salah satu kegiatan dari dunia IT, yaitu hacking (peretasan). Bedanya, yang menjadi korban peretasan di sini adalah manusia (human hacking).
Nantinya, setelah mendapatkan sesuatu dari korban, pelaku melanjutkan proses rekayasa ke kegiatan peretasan melalui komputer. Ini adalah cara hacker menggabungkan antara hal-hal teknis (computer hacking) dengan nonteknis (human hacking).
Mau jadi HRD? Simak panduan lengkap Human Resource Development di sini.
2. Alasan Social Engineering Banyak Digunakan dalam Tindak Kejahatan
Masalah pada keamanan suatu sistem komputer merupakan hal yang merepotkan dan sangat berbahaya. Walaupun begitu, perbaikan dan pendeteksiannya masih tergolong mudah untuk kita lakukan ketimbang social engineering.
Analis keamanan jaringan tidak dapat melihat “kode” yang menjadi sumber masalah pada kegiatan rekayasa sosial. Hal ini tentu saja karena “kode”-nya terdapat di pikiran dan perasaaan manusia.
Terkadang, korban tidak menyadari bahwa dirinya merupakan sasaran empuk social engineering. Pelaku kerap melakukan bujuk rayu supaya korban dapat memberikan informasi yang ia miliki terkait sistem komputer, seperti titik lemah, protokol, maupun kata kunci dalam komputer.
Selain melakukan bujuk rayu, pelaku juga mungkin menyogok korban atau berpura-pura menjadi seseorang yang memiliki kekuasaan tinggi sehingga berhak bertanya kepada korban.
Hal ini makin parah jika terdapat minimal 1 dari 2 kombinasi ini, yaitu korban social engineering berada pada posisi penting di perusahaan atau korban tidak paham hal-hal teknis. Ketidakpahaman akan dunia IT membuat banyak orang tidak tahu mana data pribadi dan mana yang tidak.
Selain itu, sifat dasar manusia yang senang membantu semakin mempermudah serangan manipulasi ini. Dalam hal ini, ketika pelaku meminta pertolongan, orang-orang tertentu mungkin akan segera membantunya.
Setelah selesai, mereka masih tetap tidak menyadari bahwa mereka baru saja melakukan kesalahan. Mereka justru merasa senang telah membantu. Hal-hal seperti ini sulit terdeteksi dan bisa terjadi pada siapa saja, bahkan jabatan setingkat manajer atau direktur sebuah sistem komputer.
Mau lancar Bahasa Inggris? Baca panduan lengkap bahasa Inggris, TOEFL, IETLS & Beasiswa ini.
3. Proses Terjadinya Social Engineering
Menurut Islam Abdalla Mohamed Abass (2018), terdapat 4 tahapan terjadinya social engineering. Keempat tahap tersebut adalah sebagai berikut:
a. Mengumpulkan informasi
Sebelum benar-benar melakukan manipulasi, pelaku (atau bisa jadi hacker) mencari informasi atau hal-hal penting yang mungkin calon target ketahui. Ini meliputi nama, jabatan, proyek dan pekerjaan sehari-hari, perusahaan tempat bekerja, hingga teman dan hubungan bisnis lainnya.
Saat ini, sangat mudah bagi hacker untuk menemukan informasi tersebut dari media sosial. Hacker mungkin tak perlu repot-repot mendapatkannya karena calon target justru menge-post-nya secara sukarela.
Biasanya, kumpulan informasi tersebut tersedia secara terpisah. Ketika terpisah, satuan datanya mungkin tidak terlihat penting, tetapi, di tangan seorang hacker, gabungan semuanya adalah “gerbang baru” untuk langkah selanjutnya.
b. Membangun relasi dan kepercayaan
Setelah mendapatkan informasi yang cukup, hacker dapat mendekati target. Pada tahap ini, hacker belum melakukan apa pun yang mencurigakan, bahkan memang belum melakukan manipulasi sama sekali.
Ia hanya muncul layaknya orang biasa yang berinteraksi dengan target. Fungsinya adalah untuk membangun kepercayaan dengan target. Sebab, kepercayaan yang besar membuat target lebih fleksibel dalam melakukan apa pun sesuai keinginan.
Pendekatan dapat terjadi melalui dunia maya, saluran komunikasi (telepon), atau secara tatap muka. Penipuan melalui telepon yang meminta kamu mengklik suatu link website scam adalah salah satu contoh social engineering melalui telepon atau dunia maya.
c. Eksploitasi hubungan dengan korban
Ketika kepercayaan sudah mulai terbentuk, pelaku mulai mengganti topik pembicaraan tanpa sepengetahuan korban. Dari sinilah berbagai tindakan manipulasi mulai terjadi.
d. Eksekusi
Pada tahap terakhir, hacker memanfaatkan informasi yang berhasil ia kumpulkan untuk akhirnya mengambil keuntungan dari sebuah sistem komputer.
Mau jadi Product Manager? Baca panduan lengkap Product Manager berikut.
4. Macam Teknik Social Engineering
Ada banyak sekali cara memanipulasi orang lain dalam social engineering. Mengutip dari Imperva, terdapat 5 teknik social engineering yang paling populer.
- Baiting: pelaku memancing target untuk masuk ke sebuah perangkap berupa link menuju suatu website, tempat penyimpanan data, atau gambar iklan dari situs web tertentu. Akibatnya, komputer bisa terinfeksi malware.
- Scareware: hacker menakut-nakuti target dengan mengatakan bahwa sistem komputernya telah terinfeksi malware—padahal tidak. Pelaku lantas menyuruh korban untuk mengunduh aplikasi ataupun mengklik suatu link yang sebenarnya berisi malware.
- Pretexting: pelaku berpura-pura sebagai teman, rekan kerja, atau atasan untuk mengetahui informasi penting dari korban.
- Phising: mirip dengan baiting. Bedanya, perangkap phising menggunakan ketakutakan-ketakutan manusia. Manusia yang takut akan tanpa pikir panjang mengklik perangkap phising.
- Spear Phising: merupakan versi lanjutan phising di mana perangkap dapat dikustomisasi. Alhasil, perangkap yang muncul seakan-akan berasal dari sistem komputer itu sendiri dan ditujukan untuk sistem tersebut.
Mau jadi Sales atau Business Development? Baca panduan lengkap Sales & Business Development berikut
5. Cara Melindungi Diri dari Social Engineering
Mencegah, mengatasi, dan memitigasi social engineering tidaklah semudah melakukan pekerjaan pada sisi teknis komputer. Ketika mengoptimalkan keamanan dari sisi teknis, kita mungkin dapat mengganti baris kode, merestrukturisasi jaringan fisiknya, serta mengganti atau menambah hardware yang lebih baru.
Pada rekayasa sosial, kita mungkin dapat memecat atau memblokir kontak karyawan yang menjadi pelaku. Namun, saat itu terjadi, semuanya sudah terlambat karena sistem komputer sudah terlanjur jebol.
Satu-satunya cara terbaik adalah dengan membangun kepercayaan yang sangat hati-hati dengan rekan kerja, teman, atau kenalan di media sosial. Dalam hal ini, sebaiknya jangan terlalu mudah percaya dengan orang lain.
Selain itu, jangan mengklik ataupun mengikuti prosedur tertentu dari orang yang tak dikenal. Beberapa institusi dan perusahaan sudah melakukan serangkaian aturan/protokol untuk mencegah pelanggannya jatuh ke lubang social engineering.
Sebagai contoh, pihak bank akan menyodorkan nomor resmi perusahaan serta mendorongmu agar tidak langsung percaya apabila ada orang yang menelepon dan mengaku sebagai pihak bank.
Dari informasi di atas, kamu harus lebih berhati-hati dalam berinteraksi dengan orang lain agar tidak terkena social engineering. Oleh karena itu, penting bagimu untuk tidak gagap teknologi supaya tidak mudah ditipu di zaman yang serba digital ini.
Mau belajar soal dunia digital? Atau, mau menguasai skill yang trending di zaman industri 4.0 ini? Yuk, join bootcamp-nya MySkill! Mulai dari copywriting, data science, hingga web development, semuanya ada!
Selain itu, kamu juga bakal belajar langsung dari praktisi yang pastinya sudah expert banget. Penasaran?
Mari terus belajar dan kembangkan skill di MySkill
Dibuat oleh tim MySkill, startup pengembangan skill dan karir terbesar di Indonesia. MySkill juga mendapatkan penghargaan dari LinkedIn sebagai Top Startup Indonesia pada 2022 dan 2023. Beberapa sumber referensi tulisan di blog MySkill seperti: Kompas, IDN Times, Forbes, Indeed, Semrush, Hubspot, AIHR, Nielsen Norman Group, Xero, Atlassian, Canva, W3, Grammarly dan sebagainya.