Apa itu penyamaran?

“Keyakinan (Confidence)” adalah “con” dalam “con man (penipu).” Cerita pretext-nya adalah bagaimana kepercayaan korban diperoleh dalam serangan rekayasa sosial yang ditargetkan seperti phishing tombak, whale phishing, dan penyusupan email bisnis (BEC). Namun, penjahat siber—dan penjahat terestrial biasa—juga dapat menggunakan pretexting saja untuk mencuri informasi atau aset berharga dari individu atau organisasi.

Seorang pelaku ancaman sering menciptakan situasi palsu bagi korban dan berperan sebagai orang yang dapat diandalkan dan dapat menyelesaikan masalahnya. Dalam buku Social Engineering Penetration Testing, para penulis mengamati bahwa sebagian besar pretexting terdiri atas dua elemen utama: karakter dan situasi.¹

Karakter adalah peran yang dimainkan oleh penipu dalam cerita. Untuk membangun kredibilitas dengan calon korban, penipu sering kali menyamar sebagai seseorang yang memiliki otoritas atas korban, seperti atasan atau eksekutif atau seseorang yang cenderung dipercaya oleh korban. Karakter (palsu) ini mungkin rekan kerja, staf TI, atau penyedia layanan. Beberapa penyerang bahkan mungkin mencoba untuk menyamar sebagai teman atau orang yang dicintai dari korban yang dituju.

Situasi ini adalah plot cerita palsu scammer—alasan mengapa si karakter (scammer) meminta korban untuk melakukan suatu tindakan. Situasi mungkin bersifat umum, seperti: “Anda perlu memperbarui informasi akun Anda.” Atau ceritanya mungkin spesifik, terutama jika scammer menargetkan korban tertentu: “Aku butuh bantuanmu, nenek.”

Untuk membuat peniruan karakter dan situasi mereka dapat dipercaya, pelaku ancaman sering kali melakukan riset tentang karakter dan target mereka secara online. Dan penelitian ini tidak sulit. Menurut beberapa perkiraan, peretas dapat membuat cerita yang meyakinkan, berdasarkan informasi dari umpan media sosial dan sumber daya publik lainnya—seperti Google atau LinkedIn—setelah hanya 100 menit melakukan pencarian online.

Spoofing—memalsukan alamat email dan nomor telepon agar terlihat seolah-olah pesan berasal dari sumber lain—dapat membuat skenario penipuan menjadi lebih dipercaya. Atau pelaku ancaman mungkin melangkah lebih jauh dan membajak akun email atau nomor telepon orang sungguhan untuk mengirim pesan pretexting. Bahkan ada cerita tentang penjahat yang menggunakan kecerdasan buatan untuk mengkloning suara orang.

Pretexting adalah komponen kunci dari berbagai jenis taktik rekayasa sosial, termasuk:

• Phishing
• Memancing
• Tailgating

Pretexting biasa terjadi pada serangan phishing yang ditargetkan seperti phishing tombak, yang menargetkan individu tertentu, dan whaling, yang menargetkan eksekutif atau karyawan yang memiliki akses istimewa ke informasi atau sistem yang sensitif.

Tetapi pretexting juga berperan dalam phishing email yang tidak ditargetkan, “spray-and-pray”, phishing suara (vishing) atau penipuan SMS phishing (smishing).

Sebagai contoh, scammer dapat mengirimkan pesan teks, “[Nama Bank Global di sini]: Rekening Anda kelebihan saldo” kepada jutaan orang, dengan harapan bahwa sebagian dari penerima adalah nasabah bank tersebut dan beberapa persen dari nasabah tersebut akan merespons pesan tersebut. Bahkan sebagian kecil korban dapat menambahkan jumlah yang besar kepada para scammer.

Dalam jenis serangan ini, penjahat mengelabui korban untuk mengunduh malware dengan membujuk mereka dengan umpan yang menarik namun sudah disusupi. Umpan mungkin bersifat fisik, seperti flash drive USB yang berisi kode berbahaya dan ditinggalkan di tempat umum. Atau umpan bisa berupa digital, seperti iklan unduhan film gratis yang ternyata merupakan malware.

Penipu sering menggunakan pretexting untuk membuat umpan lebih memikat. Misalnya, penipu mungkin akan menempelkan label pada flash drive USB disusupi untuk menunjukkan bahwa drive tersebut milik perusahaan tertentu dan berisi file penting.

Pretexting juga dapat digunakan untuk penipuan langsung, seperti membuntuti. Disebut juga "piggybacking," membuntuti adalah ketika orang yang tidak berwenang mengikuti orang yang berwenang ke dalam lokasi fisik yang memerlukan izin, seperti gedung kantor dengan sistem keamanan. Penipu menggunakan pretexting untuk membuat upaya tailgating mereka lebih berhasil—misalnya, dengan menyamar sebagai petugas pengiriman dan meminta karyawan yang tidak waspada untuk membuka pintu yang terkunci untuk mereka.

Penipuan penipu seperti pretexting adalah jenis penipuan yang paling umum menurut Federal Trade Commission, dengan kerugian yang dilaporkan mencapai USD 2,7 miliar akibat penipuan ini tahun lalu.² Berikut ini adalah beberapa jenis penipuan dengan pretexting yang paling umum:

• Penipuan pembaruan akun
• Penipuan kompromi email bisnis
• Penipuan mata uang kripto
  
• Penipuan kakek-nenek
• Penipuan faktur
• Penipuan petugas pajak dan pemerintah
• Penipuan tawaran pekerjaan
  
• Penipuan asmara dan penipuan sosial
• Penipuan Scareware

Dalam serangan siber ini, scammer berpura-pura menjadi perwakilan perusahaan yang memperingatkan korban tentang masalah dengan akunnya, seperti informasi penagihan yang hilang atau pembelian yang mencurigakan. Scammer menyertakan tautan yang membawa korban ke situs web palsu yang mencuri kredensial autentikasi, informasi kartu kredit, nomor rekening bank, atau nomor jaminan sosial.

Penyusupan email bisnis (BEC) adalah jenis serangan rekayasa sosial ditargetkan yang sangat mengandalkan pretexting. 25% dari semua serangan BEC sekarang dimulai dengan pretexting.

Dalam BEC, karakter tersebut adalah seorang eksekutif perusahaan yang sebenarnya atau rekan bisnis tingkat tinggi yang memiliki otoritas atau pengaruh terhadap target. Karena scammer berpura-pura menjadi seseorang dalam posisi berkuasa, banyak target akan mematuhinya.

Situasinya adalah seseorang yang sedang membutuhkan bantuan dengan (hampir selalu) tugas mendesak. Misalnya, “Saya terjebak di bandara dan lupa kata sandi saya ke sistem pembayaran. Bisakah Anda mengingatkan saya?" Atau “Bisakah Anda mentransfer USD XXX, XXX ke rekening bank #YYYY untuk membayar faktur terlampir? Dengan cepat, sebelum mereka membatalkan layanan kami.”

Dengan menyamar sebagai atasan melalui teks, email, panggilan telepon, dan bahkan video yang dibuat oleh AI, para scammer sering kali dapat menipu karyawan untuk mengekspos informasi sensitif atau bahkan melakukan kejahatan.

Dalam satu kasus yang terkenal, sebuah konferensi web yang direkam sebelumnya (dan dibuat oleh AI) berakhir dengan instruksi dari pimpinan senior palsu yang meyakinkan seorang karyawan untuk mentransfer dana sebesar HKD 200 juta kepada para penyerang.⁴

Tahun demi tahun, BEC termasuk dalam deretan kejahatan siber dan teknik rekayasa sosial yang paling mahal. Menurut Laporan Biaya Pelanggaran Data IBM, organisasi korban menelan biaya rata-rata USD 4,88 juta akibat pelanggaran data yang disebabkan oleh BEC.

Menurut data dari Pusat Pengaduan Kejahatan Internet FBI, BEC mengakibatkan kerugian total hampir USD 2,9 miliar bagi para korban pada tahun 2023.³

Dengan menyamar sebagai investor yang sukses dengan peluang mata uang kripto "jitu", penipu mengarahkan korban ke bursa mata uang kripto palsu, di mana informasi keuangan atau uang korban dicuri.

Dalam salah satu varian jangka panjang dari penipuan ini yang disebut “pig butchering," penipu membina hubungan dengan korban dan mendapatkan kepercayaan mereka melalui media sosial. Kemudian, penipu akan memperkenalkan “peluang bisnis” kepada korban, yang diarahkan ke situs mata uang kripto untuk melakukan setoran. Situs ini bahkan mungkin melaporkan keuntungan palsu dalam nilai investasi, tetapi mata uangnya tidak akan pernah bisa ditarik.⁵

Seperti banyak penipuan rekayasa sosial, penipuan ini sering memangsa orang dewasa yang lebih tua. Penjahat siber menyamar sebagai cucu korban dan berpura-pura menjadi cucu yang mengalami masalah—misalnya, mengalami kecelakaan mobil atau ditangkap polisi—dan membutuhkan bantuan kakek atau neneknya untuk mengirimkan uang agar mereka bisa membayar tagihan rumah sakit atau membayar jaminan.

Korban yang dituju menerima faktur untuk layanan atau produk yang tidak mereka pesan atau gunakan. Scammer sering kali ingin korban mengklik tautan dalam email untuk meminta informasi lebih lanjut atau mengeluhkan biaya tersebut. Korban kemudian diminta untuk memberikan informasi identitas pribadi (PII) untuk memverifikasi akun mereka. Informasi pribadi itulah yang diinginkan scammer sejak awal.

Dengan menyamar sebagai pejabat Dinas Pendapatan Dalam Negeri (IRS), petugas penegak hukum, atau perwakilan pemerintah lainnya, penipu mengklaim bahwa targetnya berada dalam masalah. Masalah ini bisa berupa terlambat membayar pajak atau surat perintah penangkapan mereka. Biasanya, penipu mengarahkan target yang dituju untuk melakukan pembayaran guna menghindari penangkapan, penyitaan hipotek, atau pemotongan upah. Tentu saja, pembayaran masuk ke rekening penipu.

Seorang pencari kerja mungkin bersedia membocorkan informasi yang biasanya sensitif kepada calon pemberi kerja. Tetapi jika deskripsi pekerjaan itu palsu dan diposting oleh scammer, pelamar mungkin menjadi korban pencurian identitas.

Scammer berpura-pura ingin menjalin hubungan romantis dengan korban. Setelah memenangkan hati korban, scammer biasanya meminta uang yang akan menghilangkan beberapa hambatan terakhir untuk kebersamaan mereka. Kendala ini mungkin berupa utang yang parah, kewajiban hukum atau bahkan biaya tiket pesawat untuk mengunjungi korban.

Scareware adalah jenis penipuan rekayasa sosial yang menggunakan rasa takut untuk mengelabui orang agar mengunduh malware, kehilangan uang, atau menyerahkan data pribadi.

Pretext menakutkan bisa berupa peringatan virus palsu, tawaran dukungan teknis palsu, atau penipuan penegakan hukum. Jendela sembul mungkin memperingatkan korban bahwa “materi ilegal” ditemukan di perangkat digital mereka atau “tes diagnostik” online mungkin memberi tahu korban bahwa perangkat mereka telah disusupi dan mereka harus mengunduh perangkat lunak antivirus (palsu) untuk memperbaikinya.

Seperti halnya bentuk rekayasa sosial yang lain, upaya pretexting sulit dihentikan karena upaya ini mengeksploitasi psikologi manusia dan bukan kerentanan teknis yang dapat diperbaiki. Tetapi ada beberapa langkah yang dapat diambil organisasi.

• DMARC
• Pelatihan kesadaran keamanan.
• Teknologi keamanan siber lainnya

DMARC adalah protokol autentikasi email yang dapat membantu mencegah spoofing. Dengan menganalisis teks dan metadata pesan untuk mengetahui indikator umum penyusupan, DMARC memverifikasi apakah sebuah email dikirim dari domain yang diklaim sebagai asalnya. Jika email dipalsukan, itu dapat secara otomatis dialihkan ke folder spam atau dihapus.

Karena pretexting memanipulasi orang untuk membahayakan keamanannya sendiri, melatih karyawan untuk mendeteksi dan merespons penipuan pretexting dengan benar dapat membantu melindungi organisasi. Para ahli merekomendasikan untuk menjalankan simulasi berdasarkan contoh-contoh pretexting dalam kehidupan nyata untuk membantu karyawan membedakan antara pretexting dan permintaan yang sah dari rekan kerja.

Pelatihan mungkin juga mencakup protokol yang jelas untuk langkah-langkah autentikasi ketat seperti autentikasi multifaktor (MFA), menangani informasi berharga, mengotorisasi pembayaran, dan memverifikasi permintaan dengan sumber yang dimaksudkan sebelum mematuhi.

Verifikasi mungkin sesederhana mengirim teks ke pengirim yang dimaksud: “Apakah Anda mengirimkan ini kepada saya?” Atau pesan ke meja layanan: “Apakah ini terlihat seperti berasal dari peretas?” Prosedur untuk transaksi keuangan dapat mencakup persyaratan untuk memvalidasi permintaan yang masuk secara langsung atau dengan kontak pribadi langsung.

Filter email dapat mendeteksi frasa dan baris subjek yang digunakan dalam serangan pretexting yang diketahui. “Perisai AI” yang menggabungkan asisten AI dan umpan intelijen ancaman untuk menganalisis anomali pada data tidak terstruktur dalam volume besar juga dapat membantu menentukan pretext potensial. 

Gateway web yang aman dapat mencegah pengguna mengikuti tautan email phishing ke situs web yang mencurigakan. 

Jika penyerang mendapatkan akses ke jaringan melalui pretexting, teknologi keamanan siber seperti deteksi dan respons titik akhir (EDR), deteksi dan respons jaringan (NDR), dan platform deteksi dan respons yang diperluas (XDR) dapat mencegat aktivitas jahat.

Beberapa undang-undang khusus industri menargetkan pretexting dengan eksplisit. Undang-Undang Gramm-Leach-Bliley tahun 1999 mengkriminalisasi pretexting yang berkaitan dengan lembaga keuangan, sehingga merupakan kejahatan untuk mendapatkan informasi keuangan nasabah dengan menggunakan alasan palsu. Undang-undang juga mewajibkan lembaga keuangan untuk melatih karyawan dalam mendeteksi dan mencegah pretexting.

Telephone Records and Privacy Protection Act tahun 2006 secara eksplisit melarang penggunaan penyamaran untuk mengakses informasi pelanggan yang disimpan oleh penyedia layanan telekomunikasi.

Federal Trade Commission (FTC) baru-baru ini mengadopsi aturan yang secara resmi melarang peniruan terhadap lembaga atau bisnis pemerintah mana pun.⁵ Aturan ini memberdayakan FTC untuk menegakkan larangan terhadap berbagai taktik umum seperti menggunakan logo bisnis tanpa izin, membuat situs web palsu yang meniru situs yang sah, dan memalsukan email bisnis.