(NEXSTAR) – Biro Investigasi Federal pada hari Jumat mengeluarkan peringatan mengenai Scattered Spider, sebuah organisasi kejahatan siber ya...
(NEXSTAR) – Biro Investigasi Federal pada hari Jumat mengeluarkan peringatan mengenai Scattered Spider, sebuah organisasi kejahatan siber yang saat inimenargetkan industri penerbangan.Kelompok yang juga disebut berada di balik serangkaian serangan siber terhadap beberapa kasino di Las Vegas pada 2023 disebut sangat mengandalkan teknik "rekayasa sosial" untuk melakukan serangannya, sebuah taktik yang digunakan untuk memperoleh kepercayaan dari para korbannya.
"Dalam serangan rekayasa sosial, penyerang menggunakan interaksi manusia (keterampilan sosial) untuk memperoleh atau mencuri informasi tentang suatu organisasi atau sistem komputernya," kata Departemen Keamanan Dalam Negeri.Badan Keamanan Siber dan Infrastruktur(CISA) menjelaskan tentang jenis penipuan ini. Menurut CISA, penyerang kemudian dapat menggunakan informasi tersebut untuk berpura-pura sebagai sosok terpercaya yang bekerja di atau dengan perusahaan korban guna mendapatkan akses.
Contoh spesifik taktik rekayasa sosial Scattered Spider termasuk "meniru karyawan atau kontraktor untuk menipu meja bantuan TI agar memberikan akses," atau "meyakinkan layanan meja bantuan untuk menambahkan perangkat identifikasi multifaktor yang tidak sah ke akun yang telah diretas,"menurut FBI.
Tetapi rekayasa sosial dapat mengambil banyak bentuk—dan menargetkan individu biasa, bukan hanya perusahaan.
"Secara umum, lansia adalah yang paling rentan terhadap rekayasa sosial, tetapi mereka bukan satu-satunya korban," kata John Young, seorang ahli keamanan siber dan COO perusahaan enkripsiQuantum eMotion America.Orang-orang yang kesepian menjadi korban penipuan romantis; mereka yang menginginkan kepuasan instan rentan terhadap skema cepat kaya; dan orang-orang yang biasanya cerdas tetapi memiliki ketakutan akan kehilangan kesempatan bisa tertipu oleh penipuan investasi.
Jenis serangan ini juga sangat umum terjadi. Para penipu sering menghubungi calon korban melalui email dan pesan teks (dikenal juga sebagai penipuan phishing dan smishing) atau terkadang melalui telepon, mungkin saja menyamar sebagai bank atau perusahaan e-commerce, dan meminta korban untuk memverifikasi informasi pribadi atau kata sandi akun mereka.
Joseph Steinberg, seorang ahli keamanan siber dan penulis buku "Keamanan Siber untuk Pemula" ("Cybersecurity for Dummies"), mengatakan bahwa serangan-serangan ini memanfaatkan kelemahan dalam otak manusia.
“Kita tidak diciptakan untuk merasakan ancaman dari jarak jauh. ... Untuk bertahan hidup, sepanjang sejarah, kita tidak perlu khawatir tentang ancaman dari seseorang yang tak terlihat di 3.000 mil dari sini,” kata Steinberg kepada Nexstar.
Tapi orang cenderung lebih mempercayai teknologi daripada orang lain," tambahnya. "Jika saya mendatangi Anda di jalan dan mengatakan bahwa bankir Anda menyuruh saya memberi tahu Anda untuk mereset kata sandi Anda, Anda tidak akan pernah mempercayai saya. Tapi jika Anda menerima email yang tampak seperti dari [bank]? Situasinya bisa berbeda.
Ini juga semakin sulit untuk membedakan serangan rekayasa sosial (social engineering) dengan interaksi yang sah. Kecerdasan buatan telah memudahkan peretas untuk mengumpulkan informasi tentang target dan melancarkan serangan, seperti yang dicatat oleh tim keamanan siber di berbagai organisasi sepertiCrowdStrike, IBMdanUniversitas Yale.
AI bahkan dapat memungkinkan pelaku jahat untuk membuat deepfake (yakni foto, video, atau klip audio sintetis yang hampir tidak bisa dibedakan dari yang asli) guna mencoba menipu korban. Steinberg mengatakan bahwa dirinya telah melihat taktik ini dipraktikkan melalui telepon, dengan para penipu menggunakan audio deepfake untuk menirukan suara kerabat korban yang meminta uang atau informasi sensitif.
“Setiap kali saya melihatnya dipertunjukkan, itu berfungsi,” katanya. “AI-nya memang sebagus itu.”
CISA menawarkan sejumlahtips untuk mencegah kemungkinan menjadi korbandari serangan rekayasa sosial (social engineering), termasuk membatasi jumlah informasi pribadi yang Anda bagikan secara online, atau menghubungi langsung bank/perusahaan (menggunakan nomor telepon yang disediakan melalui saluran resmi perusahaan) setelah menerima email atau pesan teks mencurigakan, untuk memverifikasi keasliannya.
Kini bahwa AI telah menjadi bagian dari situasi ini, Steinberg juga menyarankan untuk membuat rencana guna memverifikasi identitas anggota keluarga mereka sendiri—terutama anak-anak mereka—jika menerima panggilan mencurigakan dari seseorang yang mengaku sebagai kerabat dekat.
"Saya akan bertanya kepada mereka beberapa informasi yang hanya diketahui oleh anak saya," kata Steinberg.
Dengan memahami alat-alat ini, kemungkinan menjadi korban setidaknya diminimalkan, meskipun tidak pernah sepenuhnya dihilangkan.
“Yang terpenting adalah memahami bahwa Anda adalah target,” kata Steinberg. “Jika Anda percaya bahwa orang mungkin mencoba menipu Anda, Anda akan bertindak berbeda.”
Young juga mengatakan bahwa pola pikir skeptis sangat bermanfaat bagi populasi rentan untuk diadopsi.
Saya mengajar kelas sukarela untuk AARP kepada warga lanjut usia, dan ketika saya menjelaskan bahwa di masa lalu penipu dikenal sebagai seniman penipu, sesuatu yang membuat mereka memahami," katanya. "Itu benar; para penipu saat ini hanyalah nama lain dari para seniman penipu yang telah menggunakan bujuk dan keterampilan rekayasa sosial mereka sejak dahulu kala.
Hak Cipta 2025 Nexstar Media, Inc. Seluruh hak dilindungi undang-undang. Materi ini tidak boleh diterbitkan, disiarkan, ditulis ulang, atau didistribusikan kembali.Untuk berita terbaru, cuaca, olahraga, dan video streaming, kunjungi KOIN.com.
COMMENTS