Melindungi informasi perusahaan, jaringan, dan workstation dari ancaman eksternal dan internal yang terus berubah adalah tugas yang mirip dengan menembak target yang bergerak. Dan rekayasa sosial mengubah pekerjaan ini menjadi prestasi yang hampir mustahil. Kegiatan yang bertujuan "meretas" kesadaran manusia, sebagai suatu peraturan, tidak terlihat dan dapat menembus sangat dalam ke dalam sistem perusahaan.
Apa itu rekayasa sosial?
Dalam pengertian yang luas, konsep ini mencakup situasi di mana para penjahat memainkan karakteristik jiwa manusia dan memanipulasi individu sehingga mereka melanggar prosedur dan protokol keselamatan yang biasa. Penyerang tidak mencoba menembus jaringan perusahaan melalui kerentanan sistem. Serangan mereka ditujukan pada orang-orang. Dan mereka sendiri membagikan informasi rahasia yang memberikan akses ke ruang kantor, sistem atau jaringan.
Sekalipun organisasi tersebut memiliki sistem pertahanan, firewall, dan prosedur cyber terbaik, mungkin suatu hari nanti penjahat cyber telah berhasil mendapatkan data sensitif yang penting.
Struktur serangan
Serangan menggunakan metode rekayasa sosial selalu dipikirkan dan disesuaikan dengan karakteristik individu dari target serangan, berbeda dengan serangan phishing biasa dengan email acak massal atau panggilan ke ribuan orang. Ini membutuhkan lebih banyak persiapan, tetapi peluang untuk sukses meningkat secara signifikan.
Pertama, penyerang mencari informasi spesifik tentang perusahaan target, struktur organisasinya, dan karyawannya. Tindakan mereka dapat diarahkan terhadap karyawan departemen tertentu atau terhadap orang dengan tingkat akses yang rendah ke sistem di mana Anda dapat mencapai tingkat yang lebih tinggi. Idenya bukan untuk mencari hubungan yang lemah dalam sistem keamanan, tetapi untuk menemukan orang yang rentan. Bermain dalam ketakutan, keserakahan, atau keingintahuannya, para penyerang memaksanya untuk melanggar protokol.
Untuk melakukan ini, penjahat mencari informasi dalam sumber online dan offline dan mengidentifikasi calon korban. Internet dan media sosial sangat menyederhanakan akses ke data tersebut.
Jadi, titik awal yang baik untuk tindakan tidak langsung adalah bagan organisasi. Jejaring sosial seperti LinkedIn dan Facebook adalah gudang informasi. Misalnya, di LinkedIn, sangat mudah untuk menemukan daftar orang yang bekerja di divisi tertentu perusahaan. Selanjutnya, Anda dapat mengamati perilaku mereka di Facebook untuk menghitung individu yang paling mudah tertipu. Setelah itu, tetap mendapatkan informasi kontak mereka (alamat email, nomor telepon).
Penyerang berusaha untuk mendapatkan kepercayaan dari korban atau bermain pada perasaan takut dan tergesa-gesa sehingga orang tersebut tidak punya waktu untuk memikirkan situasi dengan baik.
Contoh skenario serangan:
- Menggunakan alamat pengirim palsu, penyerang membuat orang percaya bahwa surat itu dikirim oleh manajer puncak (misalnya, direktur umum), seorang karyawan, atau mitra bisnis. Selanjutnya, malware diluncurkan dengan mengeklik lampiran atau tautan di badan pesan. Atau, surat itu menetapkan permintaan untuk segera memberikan informasi rahasia. Bayangkan Anda menerima surat dari direktur perusahaan atau kolega, di mana dia meminta Anda untuk membagikan pendapat Anda tentang dokumen terlampir. Reaksi pertama Anda adalah mengunduh file. Contoh lain: Anda menerima surat dari penyedia reguler di mana ia mengeluh bahwa data otorisasinya tidak berfungsi, dan dia membutuhkan bantuan Anda untuk memasuki segmen tertentu dari sistem. Dalam situasi ini, Anda mungkin juga memiliki keinginan impulsif untuk membantu. Kenapa tidak Pada akhirnya, penyedia benar-benar memiliki akses. Dan Anda tidak ingin menjadi orang yang mengganggu pengiriman yang mendesak.
- Seorang karyawan dapat menerima "panggilan balik" dari "dukungan teknis". Penyerang memanggil kelompok karyawan organisasi dan menyatakan keinginan untuk mengumpulkan informasi tentang permintaan yang dikirim ke tim dukungan sebelumnya. Ada kemungkinan bahwa ia akan benar-benar menemukan orang yang mengirim permintaan semacam itu atau yang hanya ingin membantu. Ketika korban yang mudah tertipu ditemukan, penjahat menipu dia untuk memasukkan informasi login atau mencoba menginstal malware dari jarak jauh.
- Simulasi panggilan dari departemen TI tentang pelanggaran kebijakan keamanan atau kebocoran informasi otorisasi. Korban diminta untuk memberikan informasi pribadi untuk "mengatur ulang kata sandi", menginstal file, menjalankan perintah atau mengikuti tautan untuk memeriksa apakah ada data dalam daftar kata sandi yang dikompromikan. Pada kenyataannya, tindakan ini akan mengarah pada pemasangan malware.
- Panggilan dari "auditor", "petugas penegak hukum" atau pejabat pemerintah lainnya yang "memiliki hak" untuk mendapatkan akses ke informasi sensitif.
- Untuk meyakinkan korban bahwa mereka menelepon dari perusahaan tertentu, para penjahat menggunakan jargon profesional tertentu atau musik "ketukan" telepon.
- Penjahat meninggalkan USB drive dengan tanda yang menarik ("gaji" atau "perkiraan biaya") di tempat yang mencolok di tempat perusahaan, misalnya, di tempat parkir, di lift atau tempat umum lainnya. Seorang karyawan yang menemukan flash drive dapat mentransfernya ke layanan keamanan, atau karena penasaran menghubungkannya ke kantor atau komputer di rumah. Dengan satu atau lain cara, malware yang tertanam akan menemukan jalannya ke sistem.
- Seorang penyerang dapat memasuki gedung tertutup dengan seorang karyawan yang memiliki kartu kunci. Dalam kasus ini, pelaku bertindak seolah-olah ia benar-benar memiliki hak akses ke tempat itu. Untuk melakukan ini, ia dapat mengenakan seragam perusahaan atau memegang kartu yang terlihat seperti aslinya.
- Penyerang mendapatkan akses dengan menginfeksi kelompok situs web tertentu yang dipercaya oleh karyawan. Dalam hal ini, mereka memalsukan tautan menggunakan nama domain yang mirip dalam tampilan dan suara.
- Penyerang menyamar sebagai pekerja teknis, petugas kebersihan, atau penjaga keamanan dalam upaya untuk tidak menarik terlalu banyak perhatian selama pencurian informasi.
Mengapa serangan rekayasa sosial lebih berbahaya?
Pendekatan rekayasa sosial selalu lebih kompleks daripada serangan cyber lainnya, dan oleh karena itu mereka menimbulkan ancaman yang signifikan. Berikut adalah beberapa alasan yang membuat rekayasa sosial lebih berbahaya daripada serangan lain:
- Penyerang selalu berusaha menciptakan situasi yang sepenuhnya alami pada pandangan pertama. Sumber mereka terlihat seperti mereka dapat dipercaya. Pemalsuan hanya dapat dikenali jika Anda selalu waspada.
- Penjahat sering menerima informasi dari karyawan perusahaan di luar tempat kerja mereka, di lingkungan yang lebih santai dan nyaman. Misalnya, ketika bertemu di bar, taman, pusat kebugaran, dan tempat-tempat serupa lainnya.
- Tindakan firewall dan keamanan siber tidak efektif, karena penjahat tidak mencoba mengeksploitasi kerentanan dalam perangkat lunak atau sistem perusahaan. Sebaliknya, mereka memprovokasi karyawan biasa untuk membuat kesalahan, dan penetrasi selanjutnya ke dalam sistem terjadi di bawah kedok kredensial pengguna legal.
- Jika penjahat berhasil mendapatkan akses, maka serangan berlangsung secara bertahap, melewati kemungkinan fungsi mengenali aktivitas abnormal. Penyerang bersembunyi di tempat yang mencolok dan bergabung dengan sistem, mempelajari titik lemah dan titik aksesnya selama beberapa waktu. Mereka berusaha keras untuk mendapatkan pijakan, memperluas kemampuan mereka, menembus segmen lain, mengumpulkan dan menyiapkan data sebanyak mungkin untuk transmisi di luar, termasuk dengan kedok lalu lintas jaringan biasa.
- Penyerang kadang-kadang menghancurkan bukti keberadaan mereka ketika mereka bergerak melalui sistem, menghapus malware dari segmen-segmen di mana mereka telah memperoleh informasi penting.
- Penyerang dapat meninggalkan titik masuk tersembunyi (yang disebut backdoor), memungkinkan mereka untuk kembali ke sistem kapan saja.
- Penyerang dapat menyusup ke sistem melalui karyawan dari organisasi eksternal dengan tingkat akses tertentu. Ini adalah, misalnya, mitra bisnis atau penyedia layanan penyimpanan cloud. Karena perusahaan yang ditargetkan oleh serangan itu tidak dapat mengendalikan prosedur keamanan mitra atau penyedia layanan, risiko kehilangan data meningkat. Contoh nyata adalah kebocoran data di Target raksasa ritel.
- Rekayasa sosial sangat berbahaya bila dikombinasikan dengan serangan lintas platform. Melacak kasus semacam itu bahkan lebih sulit. Komputer rumah atau perangkat pribadi korban umumnya jauh lebih tidak aman daripada jaringan kantor. Melalui peretasan mereka, malware juga dapat mencapai komputer kerja yang lebih aman, dan melaluinya ke bagian lain dari sistem perusahaan.
- Alat perlindungan anti-malware konvensional bisa tidak efektif, karena penyerang mendapatkan akses ke perangkat lunak yang diizinkan dalam sistem dan menggunakannya untuk penetrasi lebih lanjut.
Tindakan pencegahan keamanan
Serangan menggunakan metode rekayasa sosial cukup canggih, dan tidak mudah untuk menghentikannya atau setidaknya mendeteksinya. Seperti disebutkan sebelumnya, sistem deteksi retasan dalam hal ini mungkin tidak cukup efektif. Namun, ada beberapa
praktik yang berguna dalam mencegah serangan:
- Perusahaan harus secara teratur melatih karyawan dengan memberi tahu mereka tentang teknik rekayasa sosial yang umum. Memodelkan situasi dengan membagi karyawan ke dalam tim penyusup dan pertahanan bisa efektif. Kapan pun memungkinkan, karyawan perusahaan mitra harus dilibatkan dalam proses ini.
- Sangat berguna untuk mengatur email aman dan gateway web yang memfilter tautan jahat.
- Surat harus dipantau dan diterima dari jaringan eksternal, non-perusahaan.
- Anda dapat mengkonfigurasi sistem notifikasi untuk mendeteksi nama domain yang mirip dengan nama perusahaan.
- Jaringan perusahaan harus dibagi menjadi beberapa elemen yang terpisah. Kontrol atas akses kepada mereka harus diperketat, dan wewenang harus diberikan hanya sesuai dengan tingkat kebutuhan resmi karyawan. Ketika mengelola hak akses harus didasarkan pada prinsip nol kepercayaan.
- Sistem utama dengan informasi penting dan akun karyawan yang bekerja dengan data rahasia harus dilindungi menggunakan otentikasi dua atau multi-faktor.
- Penting untuk meminimalkan akses luas dan redundansi wewenang.
- Penting untuk mengkonfigurasi pemantauan akses ke sistem, analisis data yang diperoleh dan penentuan aktivitas abnormal.
- Penting untuk secara teratur memeriksa lalu lintas internal untuk tren abnormal untuk mendeteksi penyalinan data yang lambat dari sistem. Itu harus dicatat dan menyelidiki situasi ketika seorang karyawan dengan akses ke data tertentu secara teratur menyalinnya setelah jam kerja. Atau seperti itu, ketika data disalin dari kantor, dan karyawan telah meninggalkan tempat itu. Upaya untuk mengumpulkan informasi orang dalam juga harus diperhatikan dan dilacak.
- Daftar pengguna harus diaudit secara teratur dan ditandai dengan akun yang paling banyak diakses, terutama yang administratif. Perhatian khusus harus diberikan pada verifikasi Active Directory, karena banyak aktivitas jahat meninggalkan jejak pada sistem ini.
- Anda perlu memonitor permintaan LDAP yang abnormal atau berlebihan. Intelijen dengan bantuan mereka adalah bagian penting dari serangan, karena struktur jaringan perusahaan yang berbeda berbeda, dan penyerang secara terpisah mempelajari masing-masing. Perilaku ini sangat berbeda dari pola perilaku pengguna biasa dan mudah dikenali.
- Akan bermanfaat untuk membatasi rentang program tepercaya untuk server dengan tugas rendah.
- Penting untuk menginstal tambalan baru di semua workstation.
- Penilaian risiko harus dilakukan secara teratur.
- Perusahaan seharusnya telah mengembangkan dan menerapkan prosedur untuk perubahan resmi agar diproses segera untuk menangani permintaan mendesak dari manajemen. Semua karyawan dengan akses ke informasi rahasia harus terbiasa dengan mereka dan versi terbaru mereka.
- Jika serangan terdeteksi, pintu belakang harus ditemukan dan dihilangkan.
Penyerang harus melakukan upaya serius untuk mengoordinasikan serangan. Namun, ada banyak situs web dan forum online khusus di Internet yang membantu para penjahat yang tidak berpengalaman meningkatkan keterampilan rekayasa sosial mereka dengan perangkat lunak yang sudah jadi dan informasi teoritis terperinci. Karena itu, melindungi suatu organisasi dari aktivitas ilegal semacam itu akan membutuhkan peningkatan aktivitas dan perhatian. Tetapi semua upaya akan membuahkan hasil sepenuhnya, karena ini adalah cara untuk menghindari insiden seperti apa yang terjadi di Target.
