MEMAHAMI LANSKAP KEAMANAN SIBER
Sub-judul: Jenis Serangan Siber dan pengertian tentang ‘Phising’ dan ‘Spear Phishing’
Artikel ini dibagi dalam dua bagian, yaitu:
A. Tentang jenis serangan siber dan
B. Tentang pengertian ‘Phising’ dan ‘Spear Phising’
1. Jenis Serangan Siber:
Saat ini serangan siber semakin canggih dan semakin gigih. Pelakunya beragam karena bisa beranjak dari para peretas individual iseng sampai kepada para profesional yang teroganisir dalam suatu jaringan kerja tertentu dalam upaya menghasilkan keuntungan besar dari target serangan (intrusions) mereka.
Walaupun penamaan serangan siber saat ini ada banyak, tetapi jenis serangan umumnya dapat dimasukkan ke dalam salah satu jenis di bawah ini:
1. Informasi pelanggan (customer information)
Serangan yang diarahkan untuk mencuri informasi data pelanggan atau nasabah perusahaan. Misal serangan pada data kartu kredit, data debitur, dan data pelanggan loyal yang kemudian digunakan oleh penyerang untuk kepentingan mereka. Ada pembuatan kartu kredit palsu yang kemudian dipakai untuk tujuan kejahatan dan pembelokan pembayaran debitur atau pelanggan ke bank penyerang (yang seharusnya ke bank organisasi yang diserang tersebut).
2. Hak dan kekayaan intelektual (intellectual property)
Serangan yang diarahkan untuk mencuri produk yang dilindungi hal intelektual organisasi. Misalnya pencurian beberapa film milik Sonny – yang belum dirilis untuk publik – oleh Korea Utara/Rusia. Umumnya, motif penyerang adalah mempermalukan organisasi yang diserang dan/atau membuat organisasi yang diserang gagal memperoleh nilai komersial dari kekayaan intelektual tersebut.
3. Informasi karyawan (employee information)
Serangan yang diarahkan untuk mencuri informasi sensitif dari karyawan organisasi. Misalnya data asuransi kesehatan, data identitas kewarganegaraan, dan data pensiun sehingga bisa dimanipulasi untuk memperoleh manfaat komersial dari penguasaan informasi tersebut.
4. Pembajakan (hacktivsm)
Serangan yang diarahkan untuk membajak dan menyandera situs resmi suatu organisasi, terutama penyanderaan informasi sensitif dalam jaringan siber mereka. Motif dari serangan ini umumnya untuk memperoleh tebusan komersial dari penyanderaan tersebut.
B. Cara penyerangan siber.
‘Rekayasa Sosial’ (social engineering) dan ‘Pengelabuan Terarah’ (spear phishing) adalah jenis penyerangan siber yang paling umum digunakan untuk masuk ke dalam jaringan suatu organisasi. Kata ‘phishing’ sendiri berarti ‘mengelabui’ dan kata ‘spear’ berarti ‘tombak’.
Sebelum istilah ‘spear phishing’ dikenal sebagai suatu jenis serangan siber baru-baru ini. Istilah umum ‘phishing’ atau ‘traditional phishing’ sudah dikenal lebih lama sebelumnya. Di bawah ini adalah perbedaan antara keduanya:
‘Traditional Phishing’ atau ‘Pengelabuan Tradisional’
Pengelabuan tradisional dilakukan melalui surat elektronik yang berisi berita palsu yang menyesatkan kepada sebanyak mungkin orang. Tjuannya agar dapat memperoleh calon korban sebanyak-banyaknya. Pengelabuan tradisional umumnya menyerang ribuan bahkan jutaan orang pada saat bersamaan, dimanapun mereka berada. Untuk menyesatkan calon korban, surat elektronik pengelabuan biasanya dimunculkan seakan-akan dari suatu sumber yang dapat dipercaya. Misalnya suatu bank yang besar atau seseorang (biasanya pesohor lokal) yang mungkin dikenal oleh calon korban dengan menyertakan suatu lampiran dan/atau tautan (link) tertentu.
Pesan dalam surat elektronik umumnya mengarahkan calon korban untuk membuka lampiran yang terinfeksi virus dan/atau membuka tautan yang disertakan. Begitu lampiran dibuka dan/atau tautan diklik, si penyerang dapat dengan leluasa mengambil alih kendali komputer si korban dan/atau mengambil ‘username’ dan ‘password’ milik korban tersebut.
‘Spear Phishing’ atau ‘Pengelabuan Terarah’
Serangan pengelabuan terarah umumnya juga dilakukan melalu surat elektronik yang seakan-akan berasal dari sumber yang dapat dipercaya. Yang berbeda adalah sasaran calon korban yang sudah sangat spesifik ditargetkan. Pesan yang dikirim melalui surat elektronik hanya dikirim ke satu orang saja atau satu sekelompok kecil orang yang telah dipilih secara selektif sekali. Tujuan penyerangan ditentukan sesuai dengan karakteristik dari individu atau sekelompok orang tersebut.
Sebelum merancang pesan, si penyerang akan melakukan riset tentang calon korban melalui profil yang ada di dalam media sosial mereka misal ‘linkedin’, ‘twitter’, dan ‘facebook’. Setelah itu, si penyerang akan membangun suatu pemahaman profil lengkap tentang hidup, pekerjaan dan minat si calon korban. Profil lengkap ini akan digunakan sebagai panduan dalam membuat pesan yang akan disesuaikan sedemikian rupa sehingga dapat menimbulkan kesan kuat akan ‘relevansi’ dan ‘kredibilitas’ isi pesan yang sejalan dengan kehidupan, pekerjaan dan minat si calon korban tersebut. Dalam membangun kredibilitas dan relevansi tadi, si penyerang akan mengumpulkan informasi mengenai teman-teman dan kolega kerja si calon korban, misalnya nama dan alamat surat elektronik mereka. Surat elektronik yang akan dikirim ke calon korban seakan-akan dikirim oleh salah satu teman atau kolega kerja si penyerang.
Karena pengelabuan terarah sangat spesifik sesuai dengan sasaran dan karakteristik calon korban, umumnya mereka jauh lebih sukses dibandingkan pengelabuan tradisional. Bagi organisasi, terutama yang memiliki informasi sangat rahasia, hal ini perlu diperhatikan karena pengelabuan terarah umumnya memiliki tujuan penyerangan yang sangat spesifik, misal akses ke informasi rahasia perusahaan. Suatu perusahaan tertentu kadang dapat dijadikan sasaran antara untuk memperoleh akses ke perusahaan lain yang jauh lebih besar.
Oleh karena itu, ancaman serangan pengelabuan terarah ini berlaku bagi perusahaan kecil maupun perusahaan besar dimana saja yang sudah memakai jaringan siber dalam kegiatan bisnis mereka. Dampak dari itu semua adalah kehilangan pendapatan organisasi secara langsung, seperti kehilangan penjualan, maupun tidak langsung misal rusaknya reputasi perusahaan. ***
Penulis: Dr. Antonius Alijoyo, ERMCP, CERG, CGEIT, CCSA, CRMA, CFSA, CFE
