Cyberthreat.id – Serangan rekayasa sosial (social engineering/social hacking) hampir selalu dipakai peretas (hacker) dalam setiap serangan sibernya.

Berdasarkan statistik terkait kejahatan siber yang terjadi dari tahun ke tahun, teknik social engineering termasuk yang digunakan, kata Kepala Pusat Studi Forensik Digital Universitas Islam Indonesia (UII) Yogyakarta Yudi Prayudi dalams sedaring bertajuk “Sosial Engineering Attack: The Art of Humans Hacking”, Kamis (6 Agustus 2020).

Secara definisi, dalam konteks keamanan, serangan rekayasa sosial adalah menggunakan berbagai macam cara untuk menipu, memanipulasi target dengan harapan mereka memberikan informasi pribadi, detail akses/otorisasi atau kredensial.

Menurut Yudi, dengan seringnya rekayasa sosial dipakai dalam peretasan, setiap organsiasi perlu memperhatikan pencegahannya. Kuncinya, kata dia, edukasi yang dilakukan secara terus menerus.

“Program-program edukasi memang harusnya dilakukan secara berkala dan terstruktur,” ujar Yudi.

Untuk perusahaan atau institusi pemerintah, menurut dia, sangat perlu membekali staf-stanya untuk mengenali teknik social engineering bekerja.

Investasi edukasi seperti ini jarang dilakukan oleh perusahaan/pemerintahan.

“Perusahaan/institusi yang sudah sadar bahwa salah satu vulnerability dalam sistem keamanan itu lewat teknik social engineering, ya dia investasi di edukasi tadi. Edukasi macam-macam,” kata Yudi.

Ia kadang menyayangkan perusahaan atau institusi pemerintah kerap kali investasi hanya menguatkan keamanan dari sisi tools atau alatnya, bukan dari segi edukasi kepada manusia.

“Investasi teknologi/alat ya memang mahal-mahal semua, sementara investasi terhadap edukasinya itu sendiri kadang-kadang lemah, bahkan mungkin terabaikan. Maka disitu salah satu pintu celah yang punya potensi yang sama juga terkait dengan sekuriti itu terkait cara manusianya,” Yudi menegaskan.

Metode edukasinya, menurut Yudi, bisa saja menerapkan pelatihan ala rekrutmen satpam. “Sekolah jadi ‘satpam’ kan agar dia bisa curiga sama orang, di mana tipe orang itu seperti apa, karakteristik maling itu seperti apa gitu, ya,”

Ia juga menilai ada baiknya dibuat kursus pendek bagi staf, minimal memahami karakteristik perilaku-perilaku orang di dunia siber.

Bisa pula, kata dia, menyewa konsultan eksternal, seperti Phishing-as-a-Service untuk melakukan pengujian terhadap karyawan, apakah mereka sudah sadar dan paham terhadap phishing atau belum.

“Ini bisa menjadi feedback sejauh mana edukasi phishing ke staf tersebut berhasil.” ujar dia.[]

Redaktur: Andi Nugroho