Apa itu Rekayasa Sosial?
Rekayasa sosial adalah sekumpulan teknik serangan yang memanipulasi psikologi manusia — kepercayaan, rasa takut, urgensi, atau sifat menolong — untuk menipu orang agar mengungkapkan informasi rahasia, memberikan akses tidak sah, atau melakukan tindakan yang mengkompromikan keamanan.
Juga dikenal sebagai: social engineering attack, pretexting
Serangan rekayasa sosial menargetkan mata rantai terlemah dalam sistem keamanan mana pun: manusia. Teknik umum mencakup pretexting (membuat skenario untuk mendapatkan kepercayaan), baiting (menawarkan sesuatu yang menggoda seperti USB drive), tailgating (mengikuti seseorang melalui pintu yang diamankan), dan phishing (pesan yang menipu). Serangan-serangan ini melewati firewall, enkripsi, dan kontrol akses dengan mengeksploitasi orang-orang yang mengoperasikannya.
Serangan rekayasa sosial yang paling berbahaya bersifat multi-tahap. Penyerang mungkin pertama-tama mengumpulkan informasi dari media sosial dan sumber publik, lalu menggunakan konteks tersebut untuk menelepon helpdesk IT dan meyakinkan mereka untuk mereset password. Atau mereka menyamar sebagai karyawan baru untuk mendapatkan seorang kolega agar berbagi kredensial Wi-Fi atau akses sistem. Permukaan serangan meluas secara dramatis dalam organisasi di mana informasi sensitif secara rutin dibagikan melalui saluran yang tidak aman.
Kontrol teknis dapat mengurangi — tetapi tidak menghilangkan — risiko rekayasa sosial. Prosedur verifikasi yang ketat, kebijakan akses hak istimewa minimum, dan program kesadaran keamanan semuanya membantu. Yang penting, meminimalkan jumlah data sensitif yang ada dalam bentuk persisten dan dapat dibaca (email, log chat, dokumen bersama) membatasi apa yang dapat diekstrak oleh rekayasa sosial bahkan ketika mereka berhasil menipu targetnya.
Cara Vaulted menggunakan Rekayasa Sosial
Vaulted membatasi radius ledakan serangan rekayasa sosial terhadap alur kerja berbagi rahasia. Karena tautan Vaulted menghancurkan dirinya sendiri setelah jumlah tampilan yang dikonfigurasi dan server hanya menyimpan ciphertext tanpa kemampuan untuk mendekripsinya (arsitektur zero-knowledge), rekayasa sosial yang mendapatkan akses ke saluran komunikasi hanya menemukan tautan yang sudah kedaluwarsa atau data yang tidak dapat didekripsi. Kunci enkripsi di URL fragment dan perlindungan passphrase opsional menambah hambatan lebih lanjut yang tidak dapat dilewati oleh rekayasa sosial saja.