2. Mengenal SOCENG
Social Engineering atau rekayasa sosial adalah seni memanipulasi manusia agar melakukan
tindakan atau membocorkan informasi yang penting
Serangan ini bersifat non-teknis dan sangat bergantung kepada interaksi manusia
Serangan ini dipopulerkan oleh Kevin Mitnick, siapa Kevin Mitnick ? Kevin Mitnick adalah peretas
paling terkenal di dunia, penulis terlaris, dan pembicara keamanan dunia maya terkemuka. Pernah
menjadi salah satu orang yang Paling Dicari FBI karena dia meretas 40 perusahaan besar hanya
untuk tantangan, Kevin sekarang menjadi konsultan keamanan tepercaya di Fortune 500 dan
pemerintah di seluruh dunia.
Dalam Aksinya :
• Ia Mengaku mengakses jaringan pribadi secara ilegal dan memiliki dokumen palsu.
• Dan Ia mengklaim hanya menggunakan social engineering tanpa bantuan perangkat lunak
3. Persamaan SOCENG
dan HIPNOTIS
Social Engineering dan Hipnotis sama-sama merupakan seni untuk memanipulasi manusia dengan cara
mengubah aktivitas di daerah otak yang terkait dengan perhatian atau kewaspadaan untuk melakukan tindakan
atau membocorkan informasi yang penting, walapun Hipnotis lebih banyak dilakukan secara bertatap muka atau
bertemu langsung dan mengakibakan korbannya kehilangan kesadaran atau kewaspadaan.
Pada saat terjadinya Soceng dan dihipnotis, seseorang akan mencapai tingkat fokus atau konsentrasi yang sangat tinggi,
sehingga sugesti yang diberikan kepadanya akan lebih mudah diterima.
Menurut dr. David Spiegel, seorang spesialis kesehatan jiwa sekaligus profesor psikiatri dan ilmu perilaku dari Stanford
University, ada sekitar 25 persen orang yang tidak mudah dihipnotis. Spiegel menjelaskan dalam Archives of General
Psychiatry bahwa terdapat perbedaan di area otak pada orang-orang yang tidak mudah dihipnotis dengan orang-orang
yang mudah dihipnotis. Pada orang yang tidak mudah dihipnotis, area otak aktif yang terkait dengan kontrol eksekutif dan
perhatian cenderung memiliki aktivitas yang lebih sedikit. Sementara, orang yang mudah dihipnotis memiliki area otak aktif
yang lebih besar di bagian kontrol eksekutif dan bagian yang berperan dalam memusatkan perhatian. Jadi dengan kata
lain, orang yang lebih mudah berkonsentrasi pada satu hal dalam satu waktu justru cenderung lebih mudah terhipnotis.
Sedangkan orang yang sulit berkonsentrasi akan lebih sulit dihipnotis. Hal ini terbalik dengan teori yang banyak dipercaya
awam, yaitu justru orang yang susah konsentrasi yang mudah dihipnotis.
4. Apa Saja Kelemahan
Pada Manusia
Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi
dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan
akan langsung memberikan tanpa merasa sungkan;
Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman
baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan
langsung memberikannya tanpa harus merasa curiga; dan
Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari
orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi
korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung
memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.
8. Apa itu Pretexting
• Pretexting adalah teknik yang digunakan
hacker dengan cara berbicara layaknya para
ahli. Dengan teknik ini seorang hacker atau
pelaku penipuan akan berbicara secara lancar
layaknya seorang ahli atau layaknya seorang
telemarketing atau customer service
• Informasi yang ditarget:
Kode OTP
No. Rekening
Data Pribadi Sensitif lainnya
No. ID / Member
No. Kartu Kredit / Debet & Kode CVV/CVC
9. Remote Attacks
Lebih mudah dieksekusi
Tidak perlu pengetahuan lokasi / site
Risiko ketahuan kecil
Risiko tertangkap bisa diminimalkan
Mudah untuk dipelajari
10. Caller ID Spoofing
Menipu lewat telepon dengan Caller ID
tertentu untuk membuat kepercayaan
target
Menggunakan layanan Caller ID
spoofcard.com; spooftel.com
Mudah, tinggal membeli pulsa
Murah, $10 per 45 menit
11. Employee Calling
Digunakan untuk mendapatkan informasi
spesifik yang dimiliki oleh seseorang di
organisasi tertentu
Biasanya mentarget sebagai non-IT
Menghindari pertanyaan teknis
Contoh : Sales, Marketing, Akunting
Informasi yang dicari : Username
Password
Hak Akses
12. Employee Calling
Jika orang yang ditarget tidak kooperatif
atau mencurigai
Tidak langsung putuskan sambungan
telpon akan menimbulkan curiga
Say you have another call
Call them back
Thank them and dont wait for response
13. Calling Helpdesk
Helpdesk bisa memberi banyak informasi
Helpdesk internal hanya bisa diakses karyawan
• Bisa dilakukan lewat telpon
Tujuan informasi dari helpdesk:
• Reset password
• Informasi terkait proses, struktur organisasi, dsb
Informasi yang didapat mungkin kecil
• Jika dikumpulkan akan berharga
16. Username
Apa itu Phising
• Phising adalah teknik Pengelabuan
untuk mendapatkan informasi atau data
sensitif, dengan menyamar sebagai
entitas asli yang dapat dipercaya.
• Informasi yang ditarget:
Password
PIN / Kode OTP
ID
Dll.
17. Email Phising
Password Strength Survey
Offering Products or Gift
Send Files
Security Update
etc.
Mentarget user dengan modus
18.
19. Web Phising
Register domain yang serupa:
• www.kilkbca.co.id (hrsnya klik)
• www.ibank-bni.co.id (hrsnya pake ttk)
Akun helpdesk di FB, Twitter :
• @helpdesk_ovo, @ovo.id
• @gojek.id
Web Phising adalah
upaya memanfaatkan
website palsu untuk
mengelabui calon
korban. Website
untuk phising akan
terlihat mirip dengan
website resmi dan
menggunakan nama
domain yang mirip.
Hal ini disebut
domain spoofing.
20.
21. Ciri-Ciri Phising
01 Meniru Merek Tepercaya
02 Mengandung Kesalahan dan Salah Ketik
03 Penggunaan Taktik Menakut-nakuti
04 Dikirim dari Alamat Email yang Tidak Resmi
05 “Terlalu Bagus untuk Menjadi Nyata”
22. Bagaimana Sebuah Aksi
Phising Dijalankan?
Pelaku Memilih Calon Korban & Menentukan Tujuan Phising
Korban yang disukai adalah pengguna platform pembayaran online seperti PayPal, Ovo, dan lainnya.
Tujuan Phising apakah akan menarget username dan password pengguna untuk menguasai akun. Apa
malah mendapatkan semua informasi korban melalui sebuah prosedur yang disiapkan.
Data Korban akan Dimanfaatkan
pelaku akan memanfaatkan data yang telah
diterima.
Calon Korban Mengikuti Instruksi Pelaku
JIka calon korban melakukan instruksi yang diberikan pelaku, maka
pelaku akan berhasil mencapai tujuannya.
Pelaku Membuat Website Phising & Calon Korban Mengakses Website Phising
Untuk melancarkan aksinya, pelaku akan mulai menyiapkan website palsu untuk
melakukan aksi phising. Langkah ini biasanya didahului dengan mengajak calon korban
melalui email phising atau link yang disebarkan via SMS atau akun media sosial.
Cara kerja phising adalah memanipulasi
informasi dan memanfaatkan kelalaian
korban.
23. Apa saja Data Korban yang bisa dimanfaatkan
1
Menjual informasi
yang didapatkan ke
pihak ketiga yang
membutuhkan data
calon konsumen,
untuk kepentingan
politik atau iklan
penjualan produk
Menggunakan data
yang dimiliki untuk
mencoba
membobol akun
yang dimiliki atau
akun lain.
Menjalankan aksi
penipuan. Misalnya
Meminjam Uang
atau meminta untuk
mengirimkan
sejumlah uang
dengan iming-iming
memenangkan
undian.
Melakukan
pinjaman online
mengatasnamakan
korban dengan
menggunakan data
diri lengkap korban.
2 3 4
24. Tips Agar Tidak Menjadi Korban Phising
Update Informasi
Terkait Phising
Selalu Update
Informasi terkait
Phising, terutama
tentang jenis
phising terbaru
1
Jangan Asal Klik
Link
Kuncinya agar tdk
menjadi korban
adalah jangan
melakukan klik
pada link yang
disiapkan oleh
pelaku phising
2
Pastikan
Keamanan
Website
Jangan kunjungi
website yang tidak
aman, Hanya
lakukan transaksi
pada website yang
menggunakan SSL
saja.
3
Gunakan Browser
Versi Terbaru
selalu gunakan
versi browser
terbaru yang dapat
melindungi
keamanan data
dan privasi kalian.
4
yaitu website yang ditandai dengan
penggunaan protokol HTTPS
25. Tips Agar Tidak Menjadi Korban Phising
Cek Akun Online
Secara Rutin
Selalu melakukan
perubahan
password secara
berkala di akun
online yang dimiliki
seperti email, dll.
5
Gunakan
Two-Factor
Authentication
Selalu aktifkan Two
-Factor Authentic-
ation (2FA),
gunakan verifikasi
2 langkah, yaitu
password dan
ponsel kalian.
6
Waspada Ketika
Dimintai Data
Pribadi
jangan pernah
memberikan data
pribadi ketika
mengakses sebuah
website. Kecuali
Website resmi dan
data dibutuhkan.
7
Scan Malware
secara Berkala
Gunakanlah
software anti-
malware yang akan
men-scan secara
otomatis sesuai
dengan setting-an
yang dilakukan
8
26. Laporkan serangan tersebut ke semua pihak terkait. Di antaranya:
penyedia email kalian, bank, dan komisi antipenipuan di negara
Anda (Federal Trade Commission di AS, misalnya).
Jangan Panik dan Laporankan Masalahnya
Langkah pertama adalah melakukan pemindaian sistem yang
lengkap. Jika kalian terkena malware, malware itu mungkin
memata-matai aktivitas kalian atau mencegat data kalian.
Gunakan antivirus kalian untuk mengkarantina dan menghapus
infeksi sebelum kalian melakukan hal lain.
Segera ubah semua kata sandi kalian. Malware canggih dapat
mencegat informasi kata sandi dalam hitungan detik, jadi lebih
baik aman daripada menyesal. Pilih kombinasi kata sandi yang
unik dan rumit yang menggunakan berbagai simbol dan huruf
dalam huruf besar dan kecil.
Jalankan Pemindaian Sistem Lengkap dan Ubah Kata Sandi
Apa yang dilakukan jika sudah
terkena Phising