Rekayasa sosial bukanlah konsep baru, bahkan di dunia keamanan siber. Penipuan phishing sendiri telah ada selama hampir 30 tahun, dengan penyerang secara konsisten menemukan cara baru untuk memikat korban agar mengklik tautan, mengunduh file, atau memberikan informasi sensitif.
Serangan kompromi email bisnis (BEC) mengulangi konsep ini dengan membuat penyerang mendapatkan akses ke akun email yang sah dan menyamar sebagai pemiliknya. Penyerang beralasan bahwa korban tidak akan mempertanyakan email yang berasal dari sumber tepercaya โ dan sering kali, mereka benar.
Tetapi email bukan satu-satunya cara efektif yang digunakan penjahat dunia maya untuk terlibat dalam serangan rekayasa sosial. Bisnis modern mengandalkan berbagai aplikasi digital, mulai dari layanan cloud dan VPN hingga alat komunikasi dan layanan keuangan. Terlebih lagi, aplikasi ini saling berhubungan, sehingga penyerang yang dapat menyusup ke salah satu aplikasi dapat menyusup ke yang lain juga. Organisasi tidak dapat berfokus secara eksklusif pada serangan phishing dan BEC โ tidak saat kompromi aplikasi bisnis (BAC) sedang meningkat.
Menargetkan Sistem Masuk Tunggal
Bisnis menggunakan aplikasi digital karena membantu dan nyaman. Di zaman kerja jarak jauh, karyawan memerlukan akses ke alat dan sumber daya penting dari berbagai lokasi dan perangkat. Aplikasi dapat merampingkan alur kerja, meningkatkan akses ke informasi penting, dan memudahkan karyawan melakukan pekerjaannya. Sebuah departemen individu dalam suatu organisasi mungkin menggunakan lusinan aplikasi, sedangkanrata-rata perusahaan menggunakan lebih dari 200. Sayangnya, departemen keamanan dan TI tidak selalu mengetahui โ apalagi menyetujui โ aplikasi ini, membuat pengawasan menjadi masalah.
Otentikasi adalah masalah lain. Membuat (dan mengingat) kombinasi nama pengguna dan kata sandi yang unik dapat menjadi tantangan bagi siapa saja yang menggunakan lusinan aplikasi berbeda untuk melakukan tugasnya. Menggunakan pengelola kata sandi adalah salah satu solusi, tetapi sulit bagi TI untuk menerapkannya. Sebaliknya, banyak perusahaan merampingkan proses otentikasi mereka melalui solusi sistem masuk tunggal (SSO)., yang memungkinkan karyawan masuk ke akun yang disetujui satu kali untuk mengakses semua aplikasi dan layanan yang terhubung. Tetapi karena layanan SSO memberi pengguna akses mudah ke lusinan (atau bahkan ratusan) aplikasi bisnis, mereka adalah target bernilai tinggi bagi penyerang. Penyedia SSO tentu saja memiliki fitur dan kemampuan keamanannya sendiri โ tetapi kesalahan manusia tetap menjadi masalah yang sulit dipecahkan.
Rekayasa Sosial, Berevolusi
Banyak aplikasi โ dan tentunya sebagian besar solusi SSO โ memiliki autentikasi multifaktor (MFA). Hal ini mempersulit penyerang untuk menyusupi akun, tetapi hal itu tentu saja tidak mustahil. MFA dapat mengganggu pengguna, yang mungkin harus menggunakannya untuk masuk ke akun beberapa kali sehari โ menyebabkan ketidaksabaran dan, terkadang, kecerobohan.
Beberapa solusi MFA mengharuskan pengguna untuk memasukkan kode atau menunjukkan sidik jarinya. Yang lain hanya bertanya, "Apakah ini kamu?" Yang terakhir, meski lebih mudah bagi pengguna, memberi penyerang ruang untuk beroperasi. Penyerang yang telah memperoleh sekumpulan kredensial pengguna mungkin mencoba masuk berkali-kali, meskipun mengetahui bahwa akun tersebut dilindungi MFA. Dengan mengirim spam ke ponsel pengguna dengan permintaan autentikasi MFA, penyerang meningkatkan kelelahan waspada korban. Banyak korban, setelah menerima banjir permintaan, menganggap IT mencoba mengakses akun atau mengklik "menyetujui" hanya untuk menghentikan banjir pemberitahuan. Orang mudah kesal, dan penyerang menggunakan ini untuk keuntungan mereka.
Dalam banyak hal, ini membuat BAC lebih mudah dicapai daripada BEC. Musuh yang terlibat dalam BAC hanya perlu mengganggu korbannya untuk membuat keputusan yang buruk. Dan dengan menargetkan penyedia identitas dan SSO, penyerang dapat memperoleh akses ke lusinan aplikasi yang berpotensi berbeda, termasuk layanan SDM dan penggajian. Aplikasi yang biasa digunakan seperti Workday sering diakses menggunakan SSO, memungkinkan penyerang terlibat dalam aktivitas seperti deposit langsung dan penipuan penggajian yang dapat menyalurkan dana langsung ke akun mereka sendiri.
Aktivitas semacam ini dapat dengan mudah luput dari perhatian โ oleh karena itu penting untuk memiliki alat deteksi dalam jaringan yang dapat mengidentifikasi perilaku mencurigakan, bahkan dari akun pengguna resmi. Selain itu, bisnis harus memprioritaskan penggunaan kunci keamanan Fast Identity Online (FIDO) yang tahan phish
saat menggunakan MFA. Jika faktor FIDO saja untuk MFA tidak realistis, hal terbaik berikutnya adalah menonaktifkan email, SMS, suara, dan kata sandi sekali pakai (TOTP) berbasis waktu untuk mendukung pemberitahuan push, lalu konfigurasikan MFA atau kebijakan penyedia identitas untuk membatasi akses ke perangkat terkelola sebagai lapisan keamanan tambahan.
Mengutamakan Pencegahan BAC
Baru penelitian menunjukkan
bahwa taktik BEC atau BAC digunakan dalam 51% dari semua insiden. Meskipun kurang dikenal dibandingkan BEC, BAC yang berhasil memberikan penyerang akses ke berbagai aplikasi bisnis dan pribadi yang terkait dengan akun tersebut. Rekayasa sosial tetap menjadi alat yang menguntungkan bagi penyerang saat ini โ alat yang berkembang bersama teknologi keamanan yang dirancang untuk menghentikannya.
Bisnis modern harus mendidik karyawannya, mengajari mereka cara mengenali tanda-tanda potensi penipuan dan ke mana harus melaporkannya. Dengan bisnis yang menggunakan lebih banyak aplikasi setiap tahun, karyawan harus bekerja sama dengan tim keamanan mereka untuk membantu sistem tetap terlindungi dari penyerang yang semakin licik.
