📋 Daftar Isi
1. Pengenalan Social Engineering
Social Engineering adalah manipulasi psikologis untuk membujuk korban melakukan tindakan atau membocorkan informasi sensitif. Menurut Verizon DBIR 2024, 68% data breaches melibatkan faktor manusia.
📋 Apa yang Dipelajari
- Berbagai jenis social engineering attacks
- Teknik manipulasi psikologis
- Mengenali indikator phishing
- Spear phishing dan Business Email Compromise
- Physical social engineering
- Membangun program security awareness
Prinsip Psikologis yang Dieksploitasi
| Prinsip | Penjelasan | Contoh Serangan |
|---|---|---|
| Authority | Kepatuhan terhadap figur otoritas | Email dari "CEO" minta transfer |
| Urgency | Bertindak tanpa berpikir | "Akun Anda akan diblokir dalam 24 jam!" |
| Scarcity | Ketakutan kehilangan kesempatan | "Promo terbatas — klik sekarang!" |
| Social Proof | Mengikuti tindakan orang lain | "10,000 orang sudah download" |
| Trust | Mempercayai pihak familiar | Email yang meniru vendor resmi |
| Fear | Ketakutan akan konsekuensi | "Tagihan Anda belum dibayar" |
2. Phishing Attack
Phishing adalah teknik social engineering paling umum, menggunakan email, SMS (smishing), atau voice call (vishing) untuk mencuri kredensial atau menginstal malware.
Anatomy of a Phishing Email
Diagram: Anatomy of Phishing Email
┌─────────────────────────────────────────────────────────┐ │ From: security@bankbca.co.id (SPOOFED) │ │ To: victim@company.com │ │ Subject: ⚠️ Akun Anda Diblokir — Verifikasi Segera │ │──────────────────────────────────────────────────────────│ │ │ │ [Logo Bank BCA] │ │ │ │ Yth. Nasabah, │ │ │ │ Kami mendeteksi aktivitas mencurigakan pada │ │ akun Anda. Silakan verifikasi identitas SEGERA │ │ melalui link di bawah ini. │ │ │ │ [🔒 Verifikasi Akun Saya] ← LINK PALSU │ │ https://bca-secure-verify.com/login │ │ │ │ Jika tidak diverifikasi dalam 24 JAM, │ │ akun Anda akan DIBLOKIR PERMANEN. │ │ │ │ RED FLAGS: │ │ ❌ Sender: bankbca.co.id (bukan bca.co.id) │ │ ❌ Urgency & fear tactics │ │ ❌ Suspicious URL │ │ ❌ Generic greeting │ │ ❌ Minta verifikasi via link email │ └─────────────────────────────────────────────────────────┘
3. Pretexting & Impersonation
Pretexting adalah membuat skenario palsu untuk mendapatkan kepercayaan. Attacker berpura-pura menjadi IT support, vendor, atau pihak berwenang.
Common Pretexting Scenarios
- IT Support — "Saya dari IT, perlu remote ke komputer Anda untuk update"
- Vendor — "Kami dari Microsoft, lisensi Anda bermasalah"
- HR/Finance — "Perlu data karyawan untuk payroll"
- Law Enforcement — "Ini penyelidikan, kami butuh akses"
⚠️ Peringatan
Selalu verifikasi identitas caller/pengirim melalui channel terpisah sebelum memberikan informasi atau akses. Jangan pernah memberikan password atau kode OTP melalui telepon.
4. Baiting & Quid Pro Quo
Baiting menggunakan rasa penasaran korban dengan media yang menggiurkan. Quid pro quo menawarkan layanan gratis sebagai imbalan informasi.
- USB drive label "Gaji Karyawan 2024" di parkiran — berisi malware
- "Free WiFi" hotspot yang evil twin
- Software bajakan yang sudah di-inject malware
- QR code palsu yang mengarah ke phishing site
5. Physical Social Engineering
Serangan fisik memanfaatkan kesopanan untuk mendapatkan akses ke area terlarang.
Checklist — Physical Security
# ============================================= +# Physical Social Engineering Awareness +# ============================================= +# TAILGATING +# ❌ Orang tidak menunjukkan badge +# ❌ Membawa banyak barang minta tolong buka pintu +# ✅ Selalu verifikasi badge orang di belakang +# ✅ Jangan pernah pegang pintu untuk orang asing +# ✅ Gunakan mantrap/turnstile di area sensitif +# DUMPSTER DIVING +# ✅ Shred dokumen sensitif +# ✅ Hancurkan media (hard disk, USB) +# ✅ Gunakan locked bins untuk dokumen rahasia +# IMPERSONATION +# ❌ Tidak ada appointment sebelumnya +# ❌ Tidak bisa diverifikasi ke vendor +# ❌ Minta akses ke area yang tidak seharusnya
6. Spear Phishing & BEC
Spear phishing ditargetkan ke individu spesifik menggunakan informasi personal. BEC (Business Email Compromise) menargetkan karyawan finance.
BEC Attack Chain
Diagram: BEC Attack Flow
┌─────────────────────────────────────────────────────┐ │ BUSINESS EMAIL COMPROMISE (BEC) │ │ │ │ Step 1: OSINT & Reconnaissance │ │ ├── LinkedIn: identifikasi CFO, Finance team │ │ ├── Company website: struktur organisasi │ │ └── Email pattern: firstname.lastname@company.com │ │ │ │ Step 2: Email Account Compromise │ │ ├── Credential phishing atau password spray │ │ └── Akses email korban │ │ │ │ Step 3: Email Thread Hijacking │ │ ├── Monitor email thread tentang pembayaran │ │ ├── Ubah detail bank di invoice │ │ └── Kirim dari akun asli korban │ │ │ │ Step 4: Execute Transfer │ │ ├── "Mohon transfer ke rekening baru ini" │ │ └── Finance team transfer ke rekening attacker │ └─────────────────────────────────────────────────────┘
7. Defense Strategy
Technical Controls
| Kontrol | Fungsi | Implementasi |
|---|---|---|
| SPF/DKIM/DMARC | Verifikasi pengirim email | Set p=reject di DMARC |
| Email Gateway | Filter phishing & malware | Advanced threat protection |
| Web Filter | Blokir phishing site | DNS filtering + URL categorization |
| MFA | Mitigasi stolen credentials | FIDO2/WebAuthn (bukan SMS) |
| SIEM | Deteksi anomali login | Impossible travel, geo-anomaly |
DNS — Email Security
# ============================================= +# Email Security Configuration +# ============================================= +# SPF Record +v=spf1 include:_spf.google.com include:spf.protection.outlook.com -all +# DKIM Record +selector1._domainkey.company.com TXT "v=DKIM1; k=rsa; p=MIGfMA0..." +# DMARC Record +_dmarc.company.com TXT "v=DMARC1; p=reject; rua=mailto:dmarc@company.com; pct=100"
8. Security Awareness Training
Human firewall adalah pertahanan terakhir. Program training yang efektif mengubah karyawan dari weakest link menjadi strongest link.
💡 Program Phishing Simulation
- Baseline — Kirim phishing test pertama untuk mengukur awareness
- Training — Training interaktif berdasarkan hasil baseline
- Simulasi rutin — Setiap 2-4 minggu dengan tingkat kesulitan meningkat
- Just-in-time — Saat user klik phishing, langsung tampilkan training
- Measure — Track click rate, report rate, time-to-report
Phishing URL Analysis
Kemampuan menganalisis URL sangat penting untuk mengenali phishing. URL palsu sering menggunakan teknik typosquatting, homograph attack, dan URL shortening untuk menyamarkan tujuan sebenarnya.
Bash — Phishing URL Analysis
# =============================================
+# Phishing URL Analysis Techniques
+# =============================================
+# 1. Check URL dengan VirusTotal
+curl --request GET \
+ --url "https://www.virustotal.com/api/v3/urls/$(echo -n 'http://suspicious.com' | sha256sum | cut -d' ' -f1)" \
+ --header "x-apikey: YOUR_API_KEY"
+# 2. Analyze URL structure
+# RED FLAGS dalam URL:
+# ❌ http:// (bukan https)
+# ❌ login-bca.secure-verify.com (subdomain palsu)
+# ❌ bca-secure-login.com (typosquatting)
+# ❌ bаnkbca.com (homograph - Cyrillic 'а')
+# ❌ bit.ly/xyz123 (URL shortener untuk hide destination)
+# 3. Expand shortened URLs
+curl -sI "https://bit.ly/xyz123" | grep -i location
+# 4. Check domain age
+# Baru dibuat < 30 hari = suspicious
+whois suspicious-domain.com | grep -i "creation date"
+# 5. DNS analysis
+dig suspicious-domain.com ANY +noall +answer
+dig suspicious-domain.com TXT # Check SPF/DKIM
+# 6. Email header analysis
+# Check Return-Path, Received headers
+# Verify SPF/DKIM/DMARC results
+# Look for sender spoofing indicators
+# 7. Attachment analysis
+# Sandbox suspicious attachments
+# Check macros in Office documents
+# Analyze URLs embedded in PDF
+python3 -c "
+import sys
+with open(sys.argv[1], 'rb') as f:
+ data = f.read()
+ import re
+ urls = re.findall(rb'https?://[^\s<>"\x00]+', data)
+ for u in urls:
+ print(u.decode('utf-8', errors='ignore'))
+" suspicious.pdf
+ Creating Effective Security Policies
+Security policy yang baik harus jelas, mudah diikuti, dan ditegakkan secara konsisten. Berikut adalah template kebijakan untuk menghadapi social engineering.
+Template — Anti-Phishing Policy
+# ============================================= +# Template: Anti-Phishing Policy +# ============================================= +# POLICY: Email and Communication Security +# Version: 1.0 +# Effective: 2024-01-01 +# 1. VERIFICATION REQUIREMENTS +# - Semua permintaan transfer > Rp 10.000.000 +# harus diverifikasi via telepon ke nomor terdaftar +# - Perubahan detail bank vendor harus dikonfirmasi +# langsung dengan PIC vendor via kontak yang ada +# - Permintaan akses admin harus melalui tiket resmi +# 2. REPORTING PROCEDURE +# - Jika menerima email mencurigakan: +# a. Jangan klik link atau buka attachment +# b. Forward ke security@company.com sebagai attachment +# c. Laporkan melalui tombol "Report Phishing" +# - Jika sudah klik link/kirim data: +# a. Segera ubah password +# b. Hubungi IT Security hotline +# c. Jangan matikan komputer (bisa diperlukan forensik) +# 3. CONSEQUENCES +# - Pelanggaran policy dapat mengakibatkan: +# a. Verbal warning (first offense) +# b. Written warning + mandatory training +# c. Disciplinary action (repeat offense) +# 4. EXCEPTIONS +# - Tidak ada exceptions untuk verification requirements +# - Semua permintaan "urgent" tetap harus diverifikasi +# - CEO sekalipun tidak bisa bypass prosedur+
Incident Response untuk Social Engineering
+Ketika karyawan melaporkan telah menjadi korban social engineering, langkah cepat sangat penting untuk meminimalkan dampak.
+Diagram: Social Engineering IR Flow
++┌─────────────────────────────────────────────────────┐ + SOCIAL ENGINEERING INCIDENT RESPONSE │ +│ │ +│ ┌────────────────────────────────┐ │ +│ │ KARYAWAN MELAPORKAN │ │ +│ │ "Saya klik link phishing" │ │ +│ └──────────────┬─────────────────┘ │ +│ ▼ │ +│ ┌────────────────────────────────┐ │ +│ │ IMMEDIATE (0-15 menit) │ │ +│ │ □ Reset password korban │ │ +│ │ □ Revoke active sessions │ │ +│ │ □ Block sender di email GW │ │ +│ │ □ Block URL di web filter │ │ +│ │ □ Scan device korban │ │ +│ └──────────────┬─────────────────┘ │ +│ ▼ │ +│ ┌────────────────────────────────┐ │ +│ │ SHORT TERM (1-4 jam) │ │ +│ │ □ Cek apakah ada data yang │ │ +│ │ sudah terkirim ke attacker │ │ +│ │ □ Cek lateral access dari │ │ +│ │ akun korban │ │ +│ │ □ Alert karyawan lain tentang │ │ +│ │ campaign phishing ini │ │ +│ │ □ Update email filter rules │ │ +│ └──────────────┬─────────────────┘ │ +│ ▼ │ +│ ┌────────────────────────────────┐ │ +│ │ FOLLOW UP (1-7 hari) │ │ +│ │ □ Review access logs 7 hari │ │ +│ │ □ Forced password reset semua │ │ +│ │ yang terkena campaign │ │ +│ │ □ Update training materials │ │ +│ │ □ Post-incident report │ │ +│ └────────────────────────────────┘ │ +└─────────────────────────────────────────────────────┘ ++
OSINT untuk Defense
+Open Source Intelligence (OSINT) dapat digunakan untuk memahami apa yang diketahui attacker tentang organisasi Anda, sehingga bisa dilakukan mitigasi proaktif.
+Data yang Bisa Dikumpulkan Attacker dari OSINT
+-
+
- LinkedIn — Struktur organisasi, nama karyawan, jabatan, teknologi yang digunakan +
- GitHub — Source code, credentials yang bocor, konfigurasi internal +
- WHOIS — Informasi domain, nama kontak, email admin +
- Google Dorking — File sensitif yang ter-ekspos, login pages, error messages +
- Shodan/Censys — Service yang ter-ekspos ke internet, banner information +
- Social Media — Lokasi kantor, foto yang mengungkap informasi, jadwal +
Bash — Defensive OSINT
+# ============================================= +# Defensive OSINT — Check Your Exposure +# ============================================= +# 1. Check for leaked credentials +# Monitor: haveibeenpwned.com API +curl "https://haveibeenpwned.com/api/v3/breachedaccount/company.com" \ + -H "hibp-api-key: YOUR_KEY" +# 2. GitHub secret scanning +# Enable GitHub Advanced Security +# Monitor for company secrets in public repos +# Tools: truffleHog, git-secrets +trufflehog git https://github.com/org/repo --only-verified +# 3. Google dorking untuk exposure check +# site:company.com filetype:pdf +# site:company.com "password" OR "secret" +# site:company.com inurl:login +# site:company.com intitle:"index of" +# 4. Shodan exposure check +shodan search "org:YourCompany" --fields ip_str,port,product +# 5. DNS enumeration (check subdomains) +subfinder -d company.com -silent +amass enum -passive -d company.com+
Red Team Social Engineering
+Red team exercise untuk social engineering menguji ketahanan organisasi terhadap serangan nyata. Ini dilakukan dengan izin dan bertujuan mengidentifikasi kelemahan sebelum attacker sungguhan menemukannya.
+Template — SE Red Team Engagement
+# ============================================= +# Red Team Social Engineering Engagement +# ============================================= +# SCOPE DEFINITION (dengan izin tertulis) +# Target: PT Contoh Indonesia +# Duration: 2 minggu +# Scope: Email phishing, vishing, physical +# Out of scope: Destruction, harassment +# WEEK 1: EMAIL PHISHING CAMPAIGN +# Day 1-2: OSINT & reconnaissance +# - LinkedIn: struktur organisasi +# - Website: informasi kontak +# - Social media: personalisasi email +# +# Day 3-4: Crafting phishing emails +# - Template 1: "Update gaji" (HR theme) +# - Template 2: "Reset password IT" (IT theme) +# - Template 3: "Invoice vendor" (Finance theme) +# - Each with unique tracking pixel & credential harvester +# +# Day 5: Launch campaign +# - Send to 100 random employees +# - Track: open rate, click rate, credential submit +# - Record: time-to-click, time-to-report +# WEEK 2: VISHING & PHYSICAL +# Day 8-9: Phone pretexting +# - Call 20 employees posing as IT support +# - Request: remote access, password reset +# - Record: compliance rate, suspicion level +# +# Day 10-11: Physical access test +# - Tailgate into building +# - Drop USB drives in parking lot +# - Attempt to access server room +# +# Day 12: Debrief & report preparation +# REPORT STRUCTURE: +# 1. Executive Summary +# 2. Attack Narrative (timeline) +# 3. Findings & Metrics +# 4. Recommendations (prioritized) +# 5. Training Plan +# 6. Appendix (evidence, screenshots)+
Building a Security Champions Program
+Security champions adalah karyawan dari berbagai departemen yang mendapat training keamanan khusus dan bertindak sebagai perpanjangan tim keamanan di divisi mereka.
+-
+
- Pemilihan — Pilih 1-2 orang per departemen yang tertarik dengan keamanan +
- Training — Berikan training lanjutan tentang threat landscape terkini +
- Komunikasi — Jadikan mereka contact point untuk pertanyaan keamanan +
- Feedback loop — Mereka melaporkan kejanggalan di departemen masing-masing +
- Recognition — Berikan penghargaan untuk laporan yang membantu mencegah insiden +
Measuring Security Awareness Effectiveness
+| Metric | Baseline | Target (6 bulan) |
|---|---|---|
| Phishing click rate | 30% | < 5% |
| Report rate | 5% | > 60% |
| Time to report | N/A | < 5 menit |
| Training completion | 0% | 100% |
9. Quiz Pemahaman
1. Prinsip dieksploitasi saat CEO palsu minta transfer?
2. Perbedaan phishing dan spear phishing?
3. Record DNS untuk verifikasi pengirim email?
4. Apa itu tailgating?
5. MFA paling tahan social engineering?
Rangkuman
📝 Poin Penting
- Psychology — Authority, urgency, fear, scarcity dieksploitasi
- Phishing — Entri point #1 — perlu email gateway + DMARC
- BEC — Spear phishing target finance, bisa rugi miliaran
- Defense — Layer teknologi + prosedur + training manusia
- Training — Phishing simulation rutin mengubah karyawan jadi human firewall