Selasa, 04 Agustus 2015
Dalam kampanye #nohacked hari ini, kami akan membahas tentang manipulasi psikologis. Ikuti terus pembahasan di
Twitter
dan
Google+
menggunakan hashtag #nohacked. (
Bagian 1
)
Jika Anda telah menghabiskan sebagian waktu di web, Anda mungkin telah menjumpai beberapa bentuk social engineering . Social engineering berupaya mendapatkan informasi rahasia Anda dengan memanipulasi atau menipu Anda dengan berbagai cara.
Phishing
Anda mungkin sudah familier dengan phishing, salah satu bentuk umum manipulasi psikologis. Situs dan email phishing meniru situs resmi dan menipu Anda agar memasukkan informasi rahasia seperti nama pengguna dan sandi ke situs tersebut. Sebuah studi terbaru dari Google menemukan bahwa beberapasitus phishing dapat menipu korbannya dengan frekuensi sebesar 45%! Setelah situs phishing mendapatkan informasi Anda, informasi tersebut akan dijual atau digunakan untuk memanipulasi akun Anda.
Bentuk Lain Social Engineering
Sebagai pemilik situs, phishing bukanlah satu-satunya bentuk social engineering yang perlu Anda waspadai. Salah satu bentuk lain dari social engineering berasal dari perangkat lunak dan alat yang digunakan di situs Anda. Jika Anda mengunduh atau menggunakan Sistem Pengelolaan Konten (CMS),plugin, atau pengaya apa pun, pastikan semua itu berasal dari sumber tepercaya, misalnya yang langsung dari situs pengembang. Perangkat lunak dari situs tak tepercaya mungkin berisi pengeksploitasian berbahaya yang memungkinkan peretas mendapatkan akses ke situs Anda.
Misalnya, Webmaster Wanda baru saja dipekerjakan oleh Brandon's Pet Palace untuk membantu membuat situs. Setelah membuat beberapa sketsa desain, Wanda mulai menyusun perangkat lunak yang dibutuhkannya untuk membuat situs. Namun, dia mendapati bahwa Photo Frame Beautifier, salah satu plugin favoritnya, telah ditarik dari situs plugin resmi CMS dan pengembangnya memutuskan untuk menghentikan dukungan bagi plugin tersebut. Wanda melakukan penelusuran cepat dan menemukan situs yang menawarkan arsip plugin lama. Dia mengunduh plugin tersebut dan menggunakannya untuk menyelesaikan situs. Dua bulan kemudian, sebuah notifikasi di Search Console memberi tahu Wanda bahwa situs kliennya telah diretas. Dia segera bergegas untuk memperbaiki konten yang diretas dan menemukan sumber penyusupan. Ternyata plugin Photo Frame Beautifier telah dimodifikasi oleh pihak ketiga untuk memungkinkan pihak yang berbahaya mengakses situs tersebut. Wanda menghapus plugin tersebut, memperbaiki konten yang diretas, mengamankan situsnya dari serangan di masa mendatang, dan mengajukan permintaan pertimbangan ulang di Search Console. Sebagaimana yang terlihat, sedikit saja kecerobohan yang dilakukan oleh Wanda menyebabkan situs kliennya dapat disusupi.
Lindungi Diri Anda dari Serangan Social Engineering
Social engineering bersifat efektif karena Anda tidak akan merasakan ada yang salah dengan apa yang Anda lakukan. Namun, ada beberapa hal dasar yang dapat Anda lakukan untuk melindungi diri sendiri dari manipulasi psikologis.
Sumber daya tambahan tentang social engineering:
Jika Anda telah menghabiskan sebagian waktu di web, Anda mungkin telah menjumpai beberapa bentuk social engineering . Social engineering berupaya mendapatkan informasi rahasia Anda dengan memanipulasi atau menipu Anda dengan berbagai cara.
Phishing
Anda mungkin sudah familier dengan phishing, salah satu bentuk umum manipulasi psikologis. Situs dan email phishing meniru situs resmi dan menipu Anda agar memasukkan informasi rahasia seperti nama pengguna dan sandi ke situs tersebut. Sebuah studi terbaru dari Google menemukan bahwa beberapasitus phishing dapat menipu korbannya dengan frekuensi sebesar 45%! Setelah situs phishing mendapatkan informasi Anda, informasi tersebut akan dijual atau digunakan untuk memanipulasi akun Anda.
Bentuk Lain Social Engineering
Sebagai pemilik situs, phishing bukanlah satu-satunya bentuk social engineering yang perlu Anda waspadai. Salah satu bentuk lain dari social engineering berasal dari perangkat lunak dan alat yang digunakan di situs Anda. Jika Anda mengunduh atau menggunakan Sistem Pengelolaan Konten (CMS),plugin, atau pengaya apa pun, pastikan semua itu berasal dari sumber tepercaya, misalnya yang langsung dari situs pengembang. Perangkat lunak dari situs tak tepercaya mungkin berisi pengeksploitasian berbahaya yang memungkinkan peretas mendapatkan akses ke situs Anda.
Misalnya, Webmaster Wanda baru saja dipekerjakan oleh Brandon's Pet Palace untuk membantu membuat situs. Setelah membuat beberapa sketsa desain, Wanda mulai menyusun perangkat lunak yang dibutuhkannya untuk membuat situs. Namun, dia mendapati bahwa Photo Frame Beautifier, salah satu plugin favoritnya, telah ditarik dari situs plugin resmi CMS dan pengembangnya memutuskan untuk menghentikan dukungan bagi plugin tersebut. Wanda melakukan penelusuran cepat dan menemukan situs yang menawarkan arsip plugin lama. Dia mengunduh plugin tersebut dan menggunakannya untuk menyelesaikan situs. Dua bulan kemudian, sebuah notifikasi di Search Console memberi tahu Wanda bahwa situs kliennya telah diretas. Dia segera bergegas untuk memperbaiki konten yang diretas dan menemukan sumber penyusupan. Ternyata plugin Photo Frame Beautifier telah dimodifikasi oleh pihak ketiga untuk memungkinkan pihak yang berbahaya mengakses situs tersebut. Wanda menghapus plugin tersebut, memperbaiki konten yang diretas, mengamankan situsnya dari serangan di masa mendatang, dan mengajukan permintaan pertimbangan ulang di Search Console. Sebagaimana yang terlihat, sedikit saja kecerobohan yang dilakukan oleh Wanda menyebabkan situs kliennya dapat disusupi.
Lindungi Diri Anda dari Serangan Social Engineering
Social engineering bersifat efektif karena Anda tidak akan merasakan ada yang salah dengan apa yang Anda lakukan. Namun, ada beberapa hal dasar yang dapat Anda lakukan untuk melindungi diri sendiri dari manipulasi psikologis.
- Selalu waspada: Kapan pun Anda memasukkan informasi rahasia secara online atau memasang perangkat lunak dari situs web, bersikaplah skeptis seperlunya. Periksa URL untuk memastikan Anda tidak mengetikkan informasi rahasia ke situs berbahaya. Saat memasang perangkat lunak situs web, pastikan perangkat lunak tersebut berasal dari sumber yang diketahui dan tepercaya seperti situs pengembang.
- Gunakan autentikasi dua faktor: Autentikasi dua faktor seperti Verifikasi 2 langkah Google menambahkan lapisan keamanan lain yang membantu melindungi akun meskipun sandi Anda telah dicuri. Sebaiknya gunakan autentikasi dua faktor di semua akun jika mungkin. Kami akan membahas lebih dalam tentang kelebihan autentikasi dua faktor minggu depan.
Sumber daya tambahan tentang social engineering:
- Pelajari lebih lanjut tentang cara melindungi diri Anda dari serangan phishing
- Melaporkan Laman Phishing
- Menghindari dan melaporkan scam Google
- Mengidentifikasi email "phishing" dan "spoofing"
Jika ada pertanyaan lain, poskan
Forum Bantuan Webmaster
tempat komunitas webmaster dapat membantu menjawab pertanyaan Anda.
Diposkan oleh:
Eric Kuan, Webmaster Relation Specialist
Yuan Niu, Webspam Analyst
Diposkan oleh:
Eric Kuan, Webmaster Relation Specialist
Yuan Niu, Webspam Analyst