Siapa pun yang memiliki telepon dan dapat menerima panggilan rentan terhadap serangan dalih. Penyerang yang berpura-pura dapat menelepon Anda dengan alasan palsu, seperti berpura-pura menjadi bagian dari departemen teknis perusahaan atau tim lain yang memiliki akses ke kata sandi, untuk memanipulasi Anda dan mendapatkan informasi. Penyerang ini dapat menjual atau menyalahgunakan data ini, jadi Anda harus melindungi informasi Anda secara aktif.
Jadi apa itu berpura-pura? Bagaimana Anda bisa melindungi diri sendiri?
Apa itu Pretexting?
Berpura-pura, salah satu bentuk rekayasa sosial, terjadi ketika peretas menggunakan cara menipu untuk mencoba dan mendapatkan akses ke sistem, jaringan, atau informasi apa pun. Penyerang memunculkan skenario palsu, yang dikenal sebagai dalih, berpura-pura menjadi seseorang yang berpengalaman, seperti personel TI, manajer SDM, atau bahkan agen pemerintah. Serangan ini dapat terjadi secara online dan secara langsung.
Pretexting dimulai di Inggris pada awal tahun 2000-an ketika jurnalis yang mencari berita menarik tentang selebritas menggunakan tindakan ekstrem untuk memata-matai mereka. Persaingan antara merek berita sangat sengit, membuat jurnalis menemukan cara baru untuk mendapatkan informasi pribadi.
Pertama, sesederhana mengintai pesan suara selebritas target. Pesan suara datang dengan PIN default yang tidak mau diubah oleh banyak pengguna, dan jurnalis mengeksploitasi ini. Jika PIN default telah diubah, beberapa bahkan menelepon target mereka dan berpura-pura menjadi teknisi dari perusahaan telepon. Mereka akan mendapatkan PIN voicemail dan mendapatkan akses ke informasi yang tersembunyi di sana.
Secara umum, skenario dalih biasanya terasa seperti membutuhkan banyak urgensi atau simpati dari calon korban. Penyerang dapat menggunakan email, panggilan telepon, atau pesan teks untuk menghubungi target mereka.
Elemen Serangan Berpura-pura
Dalam skenario dalih, ada dua elemen utama: "karakter" yang dimainkan oleh scammer dan "situasi yang masuk akal" dimaksudkan untuk membodohi target agar percaya bahwa karakter tersebut memiliki hak atas informasi yang mereka miliki setelah.
Bayangkan Anda mencoba memproses transaksi, dan tidak berhasil. Anda tidak mendapatkan pizza yang Anda pesan, dan toko online tutup. Sungguh mengecewakan! Tapi itu belum semuanya. Beberapa menit kemudian, karena kesalahan yang tidak dapat dijelaskan, Anda mengetahui bahwa akun Anda telah didebit.
Segera setelah itu, penyerang menelepon dan berpura-pura menjadi agen layanan pelanggan dari bank Anda. Karena Anda sedang menunggu telepon, Anda terjebak dalam situasi yang masuk akal ini dan memberikan informasi kartu kredit Anda.
Bagaimana Cara Kerja Pretexting?
Pretexting memanfaatkan kelemahan dalam verifikasi identitas. Selama transaksi suara, identifikasi fisik hampir tidak mungkin dilakukan, sehingga institusi menggunakan metode lain untuk mengidentifikasi pelanggan mereka.
Cara-cara tersebut antara lain meminta verifikasi tanggal lahir, kerabat terdekat, jumlah keturunan, alamat kontak, nama gadis ibu, atau nomor rekening. Sebagian besar informasi ini dapat diperoleh secara online dari akun media sosial target. Pretexters menggunakan informasi ini untuk "membuktikan" keaslian karakter mereka.
Penipu menggunakan informasi pribadi Anda untuk membuat Anda mengungkapkan informasi yang lebih sensitif yang dapat mereka gunakan. Mendapatkan informasi pribadi ini memerlukan penelitian yang cermat karena semakin spesifik data yang diperoleh, semakin Anda terdorong untuk menyerahkan informasi yang lebih berharga lagi.
Scammers juga memiliki sumber informasi langsung selain media sosial. Mereka bisa memalsukan nomor telepon atau email nama domain organisasi yang mereka tiru untuk menambah kredibilitas pada situasi yang masuk akal untuk dijual ke target.
3 Teknik Pretexting Terkemuka
Ada berbagai teknik dalih yang digunakan penipu dan peretas untuk mendapatkan akses ke informasi sensitif.
1. Vishing dan Smishing
Teknik ini sangat mirip. Serangan vishing melibatkan penggunaan panggilan suara untuk membujuk korban agar memberikan informasi yang dibutuhkan oleh scammer. Penipuan yang menghancurkan, sebaliknya, gunakan SMS atau pesan teks.
Vishing memiliki peluang sukses yang lebih tinggi karena target lebih cenderung mengabaikan pesan teks daripada panggilan langsung dari personel yang tampaknya penting.
2. Umpan
Umpan melibatkan penggunaan hadiah besar untuk mengumpulkan informasi dan juga dapat mencakup memalsukan sumber tepercaya.
Penipu dapat berpura-pura menjadi pengacara yang mengklaim bahwa Anda memiliki warisan dari kerabat jauh dan memerlukan detail keuangan Anda untuk memproses transaksi. Personel berpangkat tinggi dari organisasi sasaran juga bisa menjadi korban.
Manuver umum lainnya adalah mengantarkan amplop berisi flash drive dengan logo perusahaan dan pesan untuk mengerjakan proyek mendesak. Flash drive akan sarat dengan malware yang akan digunakan peretas untuk mendapatkan akses ke server perusahaan.
3. Scareware
Dalam metode ini, para peretas menggunakan rasa takut sebagai taktik. Contoh penting adalah pop-up di situs tidak aman, memberi tahu Anda bahwa ada virus di perangkat Anda dan kemudian meminta Anda mengunduh program antivirus yang sebenarnya adalah malware. Scareware juga dapat didistribusikan menggunakan email dan tautan dalam pesan teks.
Cara Melindungi Diri Anda dari Serangan Berpura-pura
Serangan pretexting sangat lazim sehingga hampir tidak ada cara untuk menghentikannya sepenuhnya. Namun, langkah-langkah dapat diambil untuk mengekang mereka secara signifikan.
Salah satu langkahnya adalah analisis email. Melihat nama domain email dapat memberikan wawasan apakah itu palsu atau asli. Namun, serangan dalih bisa domain email spoof jadi terlihat hampir identik dengan aslinya, sehingga sangat sulit untuk menemukan dalih ini.
Namun dengan kemajuan teknologi AI yang kompleks, analisis email menjadi lebih mudah diakses. AI sekarang bisa menemukan pola phishing dan mencari tanda-tanda dalih. Itu dapat mengidentifikasi anomali dalam lalu lintas dan nama tampilan email palsu, serta frasa dan teks yang umum dengan serangan dalih.
Pendidikan pengguna, tentu saja, penting. Tidak seorang pun boleh menanyakan kata sandi bank, pin kartu kredit, atau nomor seri Anda. Anda harus segera melaporkan permintaan untuk semua ini kepada pihak yang berwenang. Selanjutnya, ingatkan keluarga, teman, dan karyawan Anda untuk tidak mengklik tautan yang tidak dikenal dan untuk menghindarinya mengunjungi situs web yang tidak aman sudah cukup untuk mencegah masuknya malware ke dalam perusahaan Anda server.
Jangan Jatuh karena Penipuan Berpura-pura
Memancing operasi dalih mungkin tidak mudah, tetapi ada langkah-langkah sederhana yang dapat Anda ambil untuk menghindari jatuhnya korban. Jangan mengklik tautan di situs web yang tidak aman, dan jangan mengungkapkan detail login Anda kepada siapa pun. Ada saluran layanan pelanggan terverifikasi di platform online bank Anda. Saat agen layanan pelanggan menghubungi Anda, pastikan nomornya sesuai dengan saluran resmi.
