Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

TnewsTnews
DEF CON

Social Engineering Like you’re Picard

By - Fuad October 20, 2024 Comments (0) 5 Mins Read
Social Engineering Like you’re Picard
1

Rangkuman Pembahasan di DEF CON 32: “Social Engineering Like You’re Picard” oleh Jayson E Street

Pada konferensi keamanan DEF CON 32, Jayson E Street menyampaikan presentasi yang menarik dengan tema “Social Engineering Like You’re Picard”, yang membahas strategi rekayasa sosial (social engineering) yang terinspirasi oleh AI dan psikologi manusia. Dalam presentasi ini, Street menggunakan humor dan kisah pribadinya untuk menunjukkan bagaimana pelaku kejahatan memanfaatkan celah psikologis dan teknologi pada manusia untuk mencapai tujuan mereka. Ia juga memberikan pandangan tentang cara pencegahan yang efektif, serta menyoroti peran AI dalam mempermudah aksi social engineering yang semakin canggih dan adaptif.

Poin-Poin Utama Tentang Rekayasa Sosial dan Keterlibatan AI

1. Sifat Dasar Manusia dalam Social Engineering

Social engineering bekerja dengan memanipulasi perilaku manusia menggunakan daya tarik emosional, urgensi, dan rasa kedekatan. Tujuan utama dari strategi ini adalah membuat korban membagikan informasi sensitif atau melakukan tindakan yang merugikan tanpa disadari.

Street menekankan bahwa mayoritas ancaman internal tidak dilakukan dengan niat jahat, melainkan hasil dari ketidaksengajaan atau niat baik korban. Social engineer sering kali memanfaatkan individu yang ingin membantu atau bersikap patuh sebagai alat untuk membobol sistem keamanan. Misalnya, seorang karyawan yang merasa perlu membantu seseorang yang tampak sebagai kolega dapat menjadi korban manipulasi dan akhirnya membocorkan informasi sensitif.

2. Peran AI dalam Social Engineering

AI telah mempermudah aksi social engineering dengan menghasilkan konten yang relevan dan meyakinkan. Pelaku dapat menggunakan AI untuk menciptakan identitas palsu, situs web yang tampak profesional, atau materi komunikasi yang terlihat autentik sehingga memperbesar peluang keberhasilan mereka.

Dalam salah satu contoh yang dibahas, Street menunjukkan penggunaan alat seperti ChatGPT untuk membuat situs web realistis, profil bisnis palsu, bahkan mengumpulkan informasi dengan cara yang halus. Alat AI ini membuat rekayasa sosial lebih mudah dilakukan dan semakin sulit dikenali oleh korban.

3. Menyatu dengan Lingkungan Target dan Membangun Kepercayaan

Keberhasilan social engineering bergantung pada kemampuan pelaku untuk berbaur dengan lingkungan target. Dengan bantuan AI, pelaku dapat mempelajari bahasa, kebiasaan, dan detail lokal lainnya untuk meningkatkan kepercayaan dari target. Misalnya, AI dapat membantu mempelajari bahasa slang atau kebiasaan setempat sehingga pelaku tampak akrab dan meyakinkan, menurunkan pertahanan korban.

Taktik ini menjadi sangat efektif karena membuat korban merasa lebih nyaman dan tidak curiga, sehingga mereka lebih mudah membagikan informasi atau memberikan akses.

4. Kendala Etika dan Penilaian AI

Alat AI seperti ChatGPT sering kali dilengkapi dengan peringatan etika untuk mencegah penyalahgunaan. Namun, Street menunjukkan bahwa pelaku dengan kemampuan khusus dapat mengakali kendala etika ini dengan teknik “prompt engineering”, di mana mereka merangkai pertanyaan atau permintaan dengan cara tertentu agar AI memberikan jawaban yang mereka butuhkan.

Contoh humoris dari interaksi Street dengan ChatGPT dan Microsoft Co-Pilot menunjukkan bagaimana ketekunan dan strategi bisa melewati batasan-batasan etika yang diberikan oleh AI tersebut.

5. Situational Awareness Lebih dari Sekadar Security Awareness

Street menyarankan agar organisasi berfokus pada “situational awareness” daripada hanya “security awareness.” Menurutnya, pelatihan keamanan yang efektif harus mengajarkan karyawan untuk mengenali situasi-situasi mencurigakan di berbagai konteks, baik dalam kehidupan kerja maupun pribadi, seperti modus penipuan online.

Situational awareness memungkinkan karyawan untuk secara alami dan terus-menerus waspada terhadap potensi ancaman, bukan hanya saat berurusan dengan email phishing atau lingkungan kerja.

Strategi Utama untuk Menghindari Serangan Social Engineering

  1. Mengadopsi Pelatihan Situational Awareness
    Latih karyawan untuk mempertanyakan hal-hal yang tampak tidak biasa, baik dalam konteks pekerjaan maupun di luar pekerjaan. Pergeseran dari “security awareness” ke “situational awareness” akan membantu mereka menjadi lebih waspada.
  2. Pelatihan Praktis dan Realistis
    Pelatihan harus menggunakan contoh nyata agar karyawan memahami dan dapat merespons ancaman social engineering dengan baik. Contoh kasus yang relevan dan latihan langsung akan membuat pelatihan ini lebih berkesan dan mudah diterapkan.
  3. Pemeriksaan Familiaritas Lokal dan Budaya
    Hati-hati dengan komunikasi yang tampak sangat pribadi atau terlalu akrab dari orang asing. Pelaku serangan bisa menggunakan AI untuk menyesuaikan komunikasi agar sesuai dengan budaya dan kebiasaan lokal, sehingga tampak lebih meyakinkan.
  4. Penghalang Teknis dan Proses Verifikasi
    Implementasikan proses verifikasi untuk tugas-tugas sensitif. Gunakan “kata sandi” atau prosedur tertentu untuk memverifikasi permintaan. Hal ini mendorong karyawan untuk mengonfirmasi setiap permintaan informasi sensitif melalui saluran resmi.
  5. Edukasi tentang Potensi Manipulatif dari AI
    Sosialisasikan bagaimana AI dapat dimanfaatkan oleh pelaku untuk keperluan jahat. Pemahaman tentang bagaimana AI bisa digunakan untuk menciptakan identitas palsu, email realistis, dan taktik manipulatif lainnya akan meningkatkan tingkat kewaspadaan.

Studi Kasus Contoh Social Engineering

Salah satu contoh yang umum terjadi dalam social engineering adalah serangan phishing, di mana pelaku membuat email atau pesan yang tampak berasal dari sumber tepercaya, seperti bank atau kolega kerja. Dengan AI, pesan-pesan ini semakin terlihat profesional dan menyertakan detail yang tampak akurat sehingga target merasa aman dan akhirnya mengikuti instruksi yang berisiko.

Contoh lainnya adalah penggunaan AI untuk menciptakan identitas virtual yang meyakinkan dalam situs social media atau platform bisnis. Pelaku bisa meniru gaya bahasa, kebiasaan, dan preferensi tertentu yang membuat korban merasa nyaman berinteraksi dan tanpa sadar berbagi informasi sensitif.

Kesimpulan

Jayson E Street melalui pembahasannya di DEF CON 32 mengingatkan kita tentang bahaya social engineering yang semakin berkembang dengan adanya teknologi AI. Meskipun AI adalah alat yang canggih, dalam tangan yang salah, teknologi ini bisa menjadi senjata yang kuat untuk memperdaya manusia melalui rekayasa sosial. Oleh karena itu, perusahaan perlu berfokus pada situational awareness yang menyeluruh, mengintegrasikan pengawasan keamanan ke dalam keseharian karyawan agar mereka lebih waspada terhadap ancaman di sekitar.

Social engineering bukan lagi sekadar ancaman yang bisa ditangani dengan teknologi semata. Kini, strategi yang lebih manusiawi diperlukan untuk membangun kesadaran yang mendalam di kalangan karyawan dan pengguna. Social engineering yang dipadukan dengan AI menciptakan ancaman yang semakin sulit dikenali, dan pelatihan yang menyentuh aspek situasional serta pemahaman yang mendalam tentang AI menjadi lebih penting dari sebelumnya. Menurutnya, dalam era digital ini, perusahaan harus membangun budaya keamanan yang tidak hanya menekankan teknis, tetapi juga kecerdasan emosional dan kewaspadaan yang tajam terhadap setiap interaksi yang mencurigakan.

Comments are closed

Related Posts

Anatomi Kegagalan OTP: Mengapa Account Takeover (ATO) Tetap Merajalela di Tahun 2026?Application Security

Anatomi Kegagalan OTP: Mengapa Account Takeover

BY-Fuad February 16, 2026
Ekosistem Keamanan Siber dan Tantangan Menuju 2030Application Security

Ekosistem Keamanan Siber dan Tantangan Menuju

BY-Fuad February 10, 2026
OPERASI CARACAS: ANATOMI PERANG MODERN DAN PELAJARAN KEDAULATAN DIGITAL UNTUK INDONESIACyber War

OPERASI CARACAS: ANATOMI PERANG MODERN DAN

BY-Fuad January 6, 2026
OPERASI 300 MENIT: BEDAH TEKNIS PENCULIKAN PRESIDEN VENEZUELACase Studies

OPERASI 300 MENIT: BEDAH TEKNIS PENCULIKAN

BY-Fuad January 6, 2026
Membedah Infrastruktur LockBit 5.0 yang Terekspos Akibat Kelalaian OPSECCase Studies

Membedah Infrastruktur LockBit 5.0 yang Terekspos

BY-Fuad December 10, 2025
AI Menambal Kode, Siapa Menambal Krisis Talenta Siber Indonesia?Application Security

AI Menambal Kode, Siapa Menambal Krisis

BY-Fuad October 20, 2025