Sepertinya tidak ada batasan sampai mana penipu akan bertindak untuk mendapatkan tujuan mereka. Social engineering didesain agar sangat meyakinkan, dengan pendekatan hoaks yang berusaha menyamai sumber yang biasanya tepercaya seperti bank Anda, polisi atau departemen pemerintah, dan seringkali penipu membuat lebih meyakinkan dengan adanya informasi yang sudah mereka miliki tentang diri Anda atau bisnis Anda.
Contoh social engineering
- Merespons email menipu yang mengaku dari bank atau penyedia kartu kredit perusahaan Anda, departemen pemerintah, organisasi keanggotaan, atau situs web tempat Anda membeli, yang mengarahkan Anda untuk mengikuti suatu tautan guna memberikan detail rahasaia – biasanya kata sandi, PIN atau informasi lain.
- Tindakan seperti ini dikenal sebagai phishing.
- Memberikan detail ke penipu yang telah menelepon perusahaan Anda dan mengaku dari bank atau penyedia kartu kredit Anda atau polisi dan mengarang masalah. Mereka meminta konfirmasi informasi rahasia untuk menyelesaikan masalah. Tindakan seperti ini dikenal sebagai vishing. Mereka mungkin juga mengirimkan ‘kurir’ untuk mengambil kartu pembayaran atau catatan lainnya, yang dikenal sebagai penipuan kurir.
- Menerima panggilan telepon dari seseorang yang mengaku sebagai agen pendukung yang sah untuk komputer atau perangkat lunak Anda, dan memberi tahu bahwa Anda mempunyai masalah teknis. Mereka terdengar seperti yang asli, sehingga Anda atau kolega memberikan detail login kepada mereka – yang mengakibatkan penipuan atau pencurian identitas. Cara lainnya adalah mereka diberi akses jarak jauh untuk mengambil alih komputer atau jaringan Anda, yang mengakibatkan komputer atau jaringan terinfeksi malware. Orang yang mengaku sebagai ‘dukungan IT’ dalam bisnis Anda mungkin meminta kata sandi Anda atau kolega untuk menyusup ke sistem dan data perusahaan.
- Mengambil dan memasukkan stik USB, kartu memori, CD-ROM/DVD-ROMs atau media penyimpanan lainnya yang telah dibiarkan tanpa pengawasan dan berisi malware ke komputer. Tindakan ini dikenal sebagai baiting.
- Secara tidak sengaja memberikan akses fisik komputer, server atau perangkat seluler kepada penjahat.
Hindari serangan social engineering
- Jangan pernah mengungkapkan informasi rahasia atau finansial perusahaan atau data pelanggan termasuk nama pengguna, kata sandi, PIN, atau nomor ID.
- Harap hati-hati dan pastikan orang atau organisasi yang Anda berikan informasi kartu pembayaran memang pihak yang sah, kemudian jangan pernah mengungkapkan kata sandi. Harap ingat bahwa bank atau organisasi bereputasi baik lainnya tidak akan pernah menanyakan kata sandi Anda melalui email atau telepon.
- Jika Anda menerima panggilan telepon yang meminta informasi rahasia, verifikasi bahwa panggilan telepon itu sah dengan menanyakan pengejaan lengkap dan benar dari nama orang tersebut dan nomor yang bisa dihubungi kembali.
- Jika Anda diminta oleh penelepon itu untuk menutup telepon dan menelepon bank atau penyedia kartu Anda, hubungi nomor di rekening koran atau dokumen lain dari bank Anda – atau di balik kartu Anda – bukan nomor yang diberikan kepada Anda oleh penelepon tersebut atau nomor yang digunakan untuk menelepon Anda.
- Jangan pernah membuka lampiran dari sumber yang tidak dikenal.
- Jangan dengan cepat mengeklik tautan dalam email dari sumber yang tidak dikenal. Tetapi, gulirkan mouse pointer Anda di atas sebuah tautan untuk mengungkapkan destinasi aslinya, yang ditampilkan di sisi kiri bawah peramban Anda. Berhati-hatilah jika destinasi berbeda dari apa yang ditampilkan pada teks di tautan dari email.
- Jangan memasangkan perangkat penyimpanan eksternal atau memasukkan CD-ROM/DVD-ROM ke dalam komputer jika sumbernya tidak diketahui.