1. Konsep dan Prinsip Dasar Social Engineering

1.1 Definisi

Social engineering adalah serangkaian teknik manipulasi sosial dan psikologis yang bertujuan memancing korban untuk mengungkapkan informasi rahasia atau melakukan tindakan tertentu. Teknik ini dapat dilakukan melalui media elektronik (email, telepon, SMS), interaksi langsung, maupun kombinasi keduanya.

1.2 Prinsip Psikologi (Cialdini)

  • Reciprocity (Timbal Balik): Orang merasa wajib membalas budi, sehingga penyerang menawarkan bantuan atau “hadiah” kecil terlebih dahulu.
  • Commitment & Consistency: Setelah membuat komitmen kecil, korban cenderung konsisten dengan tindakan berikutnya.
  • Social Proof: Orang meniru tindakan mayoritas atau figur yang dihormati.
  • Authority: Klaim berpura-pura sebagai figur berwenang untuk menimbulkan kepatuhan.
  • Liking: Orang lebih mudah dimanipulasi oleh pihak yang mereka sukai atau dengan penampilan ramah.
  • Scarcity: Penekanan urgensi atau keterbatasan waktu memicu keputusan cepat.

2. Teknik Utama Social Engineering

  • Phishing, Spear Phishing, Whaling: Email penipuan untuk mencuri kredensial. Whaling menarget eksekutif.
  • Vishing & Smishing: Penipuan melalui panggilan dan SMS.
  • Pretexting: Menciptakan skenario palsu, seperti mengaku staf TI.
  • Baiting: Menyebar USB berisi malware.
  • Quid Pro Quo: Menawarkan bantuan palsu demi data.
  • Tailgating & Piggybacking: Menyelinap ke area terbatas mengikuti orang sah.
  • Watering Hole: Menginfeksi situs yang sering dikunjungi target.
  • QRLJacking: Menyalahgunakan login QR code untuk mengambil alih sesi.

3. Tahapan Serangan Social Engineering

  • Pengintaian (Reconnaissance): Mengumpulkan informasi target.
  • Pembangunan Hubungan (Engagement): Interaksi awal untuk menumbuhkan kepercayaan.
  • Eksploitasi: Menjalankan teknik manipulasi untuk mendapat akses.
  • Pasca-Eksploitasi: Mempertahankan akses dan melancarkan aksi lanjutan.

4. Faktor Psikologis yang Dieksploitasi

Serangan social engineering memanfaatkan bias kognitif dan motivasi emosional, termasuk ketergesaan, rasa ingin membantu, dan kebutuhan untuk diterima dalam kelompok. Memahami faktor-faktor ini sangat penting dalam membangun pertahanan manusia yang kuat.

5. Pencegahan dan Mitigasi

  • Pelatihan dan Kesadaran: Edukasi rutin dan simulasi phishing.
  • Kebijakan & Prosedur: SOP yang jelas untuk respons insiden dan pelaporan.
  • Teknologi Pendukung: Filter email, autentikasi multi-faktor, dan pengawasan sistem.
  • Audit & Uji Coba: Pengujian berkala untuk menilai ketahanan terhadap social engineering.