BlackBerry Ajak Kamu Waspadai Rekayasa Sosial
JAKARTA, PCplus – Password dan enkripsi disebut-sebut sebagai bisa mencegah peretas (hacker) mencuri data berharga kita. Namun sebenarnya password dan enkripsi tidak selalu membantu. Mengapa? Sebab sebuah sistem hanya akan seaman rantai terlemahnya. Jadi peretas yang pintar biasanya akan mencari celah yang usaha dan resikonya paling sedikit. Apa itu?
Tak lain dari mekanisme rekayasa sosial. Rekayasa sosial, tulis Alex Manea (Direktur Keamanan BlackBerry) adalah tentang bagaimana memanipulasi orang lain untuk mengalahkan keamanan. Jadi seorang peretas bisa saja berpura-pura sebagai pekerja yang terpercaya menanyakan tentang informasi pribadi. Jebakan ini umumnya muncul sebagai email phising, di mana peretas menanyakan informasi pribadi dengan berpura-pura sebagai organisasi terpercaya.
Namun tak usah risau. Menurut Manea, untuk melindungi diri kita hanya perlu memperhatikan tiga hal sederhana berikut:
Rekomendasi Produk PCplus
-
Sale!
ASUS Zenbook 14 OLED UX3405MA-OLEDS511 – Ponder Blue
Rp16,999,000.00 Beli Sekarang -
GEEKOM Mini PC MiniIT11 Intel Core i7-11390H 16GB DDR4 512GB SSD Win11
Rp6,290,000.00 Beli Sekarang -
Sale!
ASUS ROG FLOW X13 GV301RA – R7RADA6T-O – R7-6800HS – SSD 512GB – 120HZ
Rp18,699,000.00 Buy product -
Sale!
Lenovo ideapad Slim 3i-14ITL6 – HYID i3-1115G4 SSD 256GB Arctic Grey
Rp5,899,000.00 Beli Sekarang
No. 1. Percaya tapi Verifikasi
Hubungan sosial dibangun dari kepercayaan. Kita mempercayai keluarga kita, teman kita dan perusahaan yang melakukan hubungan kerja dengan kita. Kita mengenali orang-orang dan organisasi-organisasi ini dari nama, gambar/foto dan tanda khas mereka. Tapi di internet, metode otentifikasi tradisional ini gampang sekali dipalsukan.
Beberapa tahun lalu, cerita Manea, ia diundang untuk berbicara di sebuah konferensi besar industri keamanan. Beberapa minggu kemudian, ia mendapatkan e-mail dari alamat Gmail yang tidak dikenal dengan lampiran yang memintanya mengisi informasi pribadi untuk reservasi kamar hotelnya. Setelah melihatnya beberapa kali, Manea meneruskan e-mail tersebut ke salah satu kontaknya di konferensi tersebut, yang mengonfirmasi bahwa permintaan tersebut memang absah. Ironis bukan, bahwa informasi sensitif diminta oleh sumber tidak terautentifikasi untuk sebuah konferensi keamanan?
Manea lalu menceritakan bagaimana tahun ini ia tampil di sebuah acara televisi yang menyorot latar belakang dan kepribadiannya. Beberapa minggu sebelum episode yang telah direkam sebelumnya tayang, Manea dihubungi oleh seseorang yang mengaku produser acara tersebut dan meminta data spesifik untuk digunakan dalam TV. Karena Manea belum pernah bertemu dengan orang itu dan tidak mengenali informasi kontaknya, Manea melontarkan pertanyaan sederhana: “Siapa yang berada pada urutan kedua pada episode saya?”
Inti cerita, kendati kedua situasi ini adalah kecurigaan yang tak terbukti, menurut Manea ia memilih untuk memverifikasinya karena:
1. Itu adalah e-mail tak terduga dari alamat yang tidak diketahui atau tidak terpercaya,
2. Mereka meminta informasi pribadi yang spesifik, dan
3. Waktu yang dibutuhkan untuk memverifikasi mereka cukup cepat dibandingkan dengan resiko yang harus dialami dengan tidak melakukannya.
No.2 : Baca Tautan Web dari Belakang
Kalau mendapatkan e-mail yang meminta data pribadi, coba perhatikan alamat web-nya (URL). Namun membacanya jangan dari kiri ke kanan, tapi dari kanan ke kiri. Mengapa? Karena pelaku phishing biasanya memanfaatkan fakta bahwa kebanyakan dari kita membaca dari kiri ke kanan.
Jadi sangat berhati-hatilah dengan URL seperti https://www.google.youcantotallytrustme.com. Kalau dibaca dari kanan ke kiri, sangat jelas bahwa website tersebut sebetulnya tidak dijalankan oleh Google, tapi oleh siapa pun yang mempunyai “youcantotallytrustme.com”. Siapa dia? Ya, siapa pun yang ingin menghabiskan CAD seharga $12 atau sekitar Rp. 170.000.
No.3 : Mengambil Satu Langkah ke Belakang
Kalau terburu-buru, biasanya siapa pun akan melakukan lebih banyak kesalahan. Karena itulah para penipu dan pelaku phishing biasanya melibatkan permintaan mendesak kepada kamu. Ini agar kamu tidak sempat berpikir panjang. Ini misalnya informasi bahwa kamu menang undian dan diharuskan langsung mengirimkan data pribadi sebagai verifikasi.
Namun sebelum mengklik suatu tautan atau memberikan informasi pribadi, ambilah satu langkah ke belakang dan pikirkan. Tanyakan pada diri sendiri mengapa sebuah perusahaan terkemuka mengirimkan pesan seperti itu dan mengapa pesan tersebut datang melalui e-mail atau pesan teks. Bila akunmu benar-benar perlu diverifikasi secepatnya, bukankah mereka akan menelepon kamu langsung? Dan mengapa tata bahasanya dan salah eja?
Nah kini kamu sudah tahu apa yang harus kamu kenali. Intinya, kata Manea, bila kamu tetap tenang dan percaya tapi memverifikasi segala sesuatunya, kamu dapat melindungi diri dari sebagian besar penipuan. Dan walaupun kita senang bila dapat mendapatkan uang ekstra seperti menolong pangeran Nigeria, memenangkan undian di Belanda, atau hanya bekerja dari rumah, kita juga cukup pintar untuk menyadari bahwa hal tersebut terlalu bagus untuk menjadi kenyataan.