Social engineering adalah teknik manipulasi psikologi yang mengeksploitasi kesilapan manusia untuk mendapatkan maklumat peribadi, akses, atau nilai. Dalam jenayah siber, penipuan “human hacking” ini bertujuan untuk memerangkap pengguna yang tidak berwaspada untuk mendedahkan data, menyebarkan malware, atau memberikan akses kepada sistem terhad.
Menurut laporan tahunan Kaspersky Lab 2024, serangan social engineering telah meningkat sebanyak 300% dalam tempoh dua tahun lepas, dengan kaedah yang semakin canggih dan sukar dikesan.
Maksud Social Engineering
Bagaimana Social Engineering Berfungsi?
Social engineering beroperasi melalui empat langkah utama yang dikenali sebagai kitaran serangan. Pertama, penyerang akan mengumpul maklumat latar belakang tentang sasaran mereka, termasuk melalui media sosial dan sumber awam. Kemudian, mereka akan menyusup dengan membina hubungan dan kepercayaan dengan sasaran.
Setelah kepercayaan dibina, penyerang akan mengeksploitasi hubungan tersebut untuk mencapai objektif mereka. Akhirnya, mereka akan menamatkan hubungan setelah mendapat maklumat atau akses yang diperlukan. Kajian oleh SANS Institute menunjukkan bahawa 95% serangan siber yang berjaya melibatkan elemen social engineering.
Apakah Ciri-Ciri Serangan Social Engineering?
Serangan social engineering menggunakan tiga ciri utama untuk berjaya: manipulasi emosi, keterdesakan, dan kepercayaan. Penyerang sering mengeksploitasi emosi seperti ketakutan, kegembiraan, rasa ingin tahu, kemarahan, dan rasa bersalah.
Mereka juga mewujudkan rasa keterdesakan untuk bertindak, sama ada melalui ancaman masalah serius atau tawaran hadiah yang akan luput. Berdasarkan data dari MITRE ATT&CK Framework, lebih 70% mangsa bertindak atas dorongan emosi tanpa berfikir panjang.
Apakah Jenis-Jenis Serangan Social Engineering?
Dalam ekosistem ancaman siber semasa, terdapat pelbagai jenis serangan social engineering yang perlu diketahui. Phishing merupakan serangan yang paling lazim, dengan variasi termasuk spam phishing, spear phishing, vishing (melalui telefon), smishing (melalui SMS), dan angler phishing (melalui media sosial).
Serangan social engineering juga termasuk baiting (menggunakan umpan fizikal), pretexting (menyamar), tailgating (mengikut masuk ke kawasan terhad), quid pro quo (pertukaran perkhidmatan), dan watering hole (menjangkiti laman web popular). Anti-Phishing Working Group (APWG) melaporkan peningkatan 65% dalam serangan phishing pada tahun 2023.
Apakah Kesan Serangan Social Engineering?
Kesan serangan social engineering sangat serius terutama sekali dalam aspek kewangan. Laporan IBM Security X-Force 2024 mendedahkan kerugian kewangan global sebanyak USD5 bilion akibat serangan social engineering pada tahun 2023.
Pelanggaran data telah melibatkan 4.5 bilion rekod, dengan 60% organisasi mengalami sekurang-kurangnya satu insiden. Purata kos pemulihan mencecah USD4.5 juta setiap insiden. Selain kerugian kewangan, organisasi juga menghadapi risiko kerosakan reputasi, kehilangan kepercayaan pelanggan, dan tindakan undang-undang.
Bagaimana Melindungi Diri Dari Social Engineering?
Untuk melindungi diri dari serangan social engineering, Institut Keselamatan Siber Malaysia (CyberSecurity Malaysia) mencadangkan beberapa langkah perlindungan utama. Ini termasuk latihan kesedaran keselamatan yang berterusan untuk semua pekerja, menggunakan pengesahan dua faktor untuk semua akaun penting, menguatkuasakan polisi kata laluan yang kukuh, dan mewujudkan protokol pengesahan identiti yang ketat.
Zero-trust policy juga disyorkan dalam semua operasi. Kajian menunjukkan bahawa organisasi yang melaksanakan langkah-langkah ini dapat mengurangkan risiko serangan sebanyak 85%.
Bagaimana Mengesan Serangan Social Engineering?
Berdasarkan garis panduan dari CyberSecurity Malaysia, untuk mengesan serangan social engineering, pengguna perlu berwaspada terhadap anda-tanda serangan seperti permintaan yang mendesak atau mengancam, tawaran yang terlalu baik untuk dipercayai, dan permintaan maklumat peribadi yang tidak wajar.
Kajian oleh Microsoft Security Intelligence menunjukkan bahawa 91% serangan social engineering boleh dikenal pasti melalui petunjuk awal ini. Penggunaan alat pengesanan phishing, sistem pemantauan keselamatan, dan audit log berkala juga membantu dalam mengesan percubaan social engineering pada peringkat awal.
Apakah Trend Terkini Dalam Social Engineering?
Trend terkini dalam serangan social engineering menunjukkan evolusi yang membimbangkan. Menurut laporan Trend Micro 2024, penyerang kini menggunakan teknologi AI untuk menghasilkan e-mel phishing yang lebih meyakinkan dan membuat panggilan deepfake yang sukar dibezakan dari panggilan sebenar.
Penggunaan media sosial untuk pengumpulan maklumat dan serangan yang disasarkan juga semakin meningkat, dengan 75% serangan bermula dari platform sosial. Trend ini dijangka berterusan dengan kemajuan teknologi.
Apakah Peranan AI Dalam Social Engineering?
Artificial Intelligence (AI) memainkan peranan yang semakin penting dalam landskap social engineering. Berdasarkan kajian dari Gartner, penyerang menggunakan AI untuk mengautomasi pengumpulan maklumat, menyesuaikan serangan dengan lebih tepat, dan menghasilkan kandungan yang lebih meyakinkan.
Walau bagaimanapun, AI juga digunakan dalam pertahanan, dengan sistem pembelajaran mesin yang dapat mengesan corak serangan dan menghalang percubaan phishing secara automatik.
Bagaimana Memulihkan Diri Selepas Serangan Social Engineering?
Pemulihan selepas serangan social engineering memerlukan tindakan segera dan teratur. Menurut protokol National Cyber Security Centre UK, langkah pertama adalah mengehadkan kerosakan dengan menukar semua kata laluan dan mengaktifkan pengesahan dua faktor.
Seterusnya, laporkan insiden kepada pihak berkuasa dan bank jika melibatkan kerugian kewangan. Dokumentasi terperinci tentang insiden juga penting untuk pembelajaran organisasi dan pencegahan pada masa hadapan.
Apakah Tanggungjawab Organisasi Dalam Serangan Social Engineering?
Organisasi mempunyai tanggungjawab besar dalam melindungi pekerja dan data dari serangan social engineering. Kajian PwC Cybersecurity Survey 2024 menunjukkan bahawa organisasi yang melabur dalam program kesedaran keselamatan yang komprehensif mengalami 60% kurang insiden berbanding yang tidak.
Ini termasuk menyediakan latihan berkala, menguatkuasakan polisi keselamatan yang kukuh, dan mewujudkan budaya keselamatan siber dalam organisasi.
Apakah Implikasi Perundangan Terhadap Social Engineering?
Dari segi perundangan, serangan social engineering membawa implikasi serius. Di Malaysia, Akta Jenayah Komputer 1997 dan Akta Perlindungan Data Peribadi 2010 memberikan rangka kerja perundangan untuk menangani kes-kes social engineering.
Organisasi yang gagal melindungi data pelanggan boleh menghadapi denda sehingga RM500,000 atau penjara sehingga 3 tahun. Statistik dari Suruhanjaya Komunikasi dan Multimedia Malaysia menunjukkan peningkatan kes pendakwaan berkaitan social engineering sebanyak 45% pada tahun 2023.
