01 - Introduction to Social Engineering
Pada kesempatan sebelumnya saya telah menjelaskan bahwa tujuan dari Red Teaming ini adalah untuk melatih dan mengukur keefektifan people, process, dan teknologi untuk menjaga keamanan sistem organisasi.
Salah satu metode yang paling sering digunakan oleh penyerang untuk mengeksploitasi komponen people dan process adalah Social Engineering.
0x1 - What is Social Engineering?
Social Engineering adalah teknik manipulasi psikologis yang digunakan oleh penyerang untuk mengelabui pengguna dalam memberikan informasi atau melakukan tindakan yang tidak seharusnya mereka lakukan.
Teknik ini mengeksploitasi sifat alami manusia, seperti rasa ingin tahu, rasa percaya, atau ketakutan, untuk mencapai tujuannya.
0x2 - Why is it Important for Red Teaming?
Pada Red Teaming, Social Engineering digunakan untuk menguji sejauh mana karyawan suatu organisasi dapat mengenali dan merespons upaya manipulasi atau penipuan.
Tujuannya adalah untuk membantu organisasi memahami di mana mereka perlu meningkatkan security awerness dan prosedur mereka.
0x3 - Types of Social Engineering
Berikut adalah jenis-jenis Social Engineering:
- Phishing: Ini adalah bentuk Social Engineering yang paling sering dilakukan, biasanya melalui email yang dirancang untuk menyerupai komunikasi resmi dan meminta pengguna untuk mengklik tautan atau membuka lampiran yang telah disiapkan oleh penyerang.
- Smishing: Varian dari phishing, namun dilakukan melalui pesan teks (SMS atau aplikasi chatting).
- Vishing: Ini adalah bentuk phishing yang dilakukan melalui panggilan telepon. Penyerang biasanya mencoba memanipulasi korban melalui telepon untuk memberikan informasi sensitif atau melakukan tindakan yang tidak seharusnya mereka lakukan.
- Physical Social Engineering: Ini melibatkan manipulasi langsung dan interaksi tatap muka. Misalnya, penyerang bisa berpura-pura menjadi teknisi atau karyawan baru dan mencoba mendapatkan akses fisik ke area yang terbatas.