Rekayasa sosial memainkan peran krusial dalam serangan phishing, karena memanfaatkan psikologi manusia untuk menipu individu agar mengungkapkan informasi sensitif atau melakukan tindakan yang membahayakan keamanan mereka. Penyerang memanipulasi emosi seperti rasa takut, rasa ingin tahu, kepercayaan, dan urgensi untuk menerobos pertahanan teknis seperti firewall dan perangkat lunak antivirus. Berikut adalah teknik rekayasa sosial yang umum digunakan dalam serangan phishing:
Phisher menciptakan rasa urgensi untuk menekan korban agar bertindak cepat, seringkali tanpa meluangkan waktu untuk menilai keabsahan pesan. Frasa yang umum digunakan antara lain:
Dengan memicu rasa takut ketinggalan (FOMO), penyerang memanipulasi korban agar mengambil keputusan tergesa-gesa, seperti mengeklik tautan berbahaya atau mengunduh lampiran. Contoh penting phishing berbasis urgensi terjadi pada kasus pelanggaran data Target (2013) , di mana penyerang memanfaatkan urgensi untuk mengelabui karyawan agar mengikuti tautan yang mengarah ke instalasi malware.
Pelaku phishing sering kali menyamar sebagai tokoh atau organisasi tepercaya untuk mendapatkan kepercayaan korban. Ini bisa berupa perusahaan yang dikenal, instansi pemerintah, atau bahkan rekan kerja internal. Contohnya meliputi:
Meniru bos, meminta transfer uang atau data sensitif (misalnya penipuan CEO
).
Menggunakan email palsu dari bank atau lembaga penegak hukum yang tampak asli.
Teknik ini memanfaatkan bias otoritas , yang membuat orang cenderung mematuhi permintaan dari figur otoritas yang dianggap berwenang. Contoh nyata eksploitasi otoritas terjadi pada peretasan Komite Nasional Demokrat (DNC) tahun 2016 , di mana pelaku phishing menyamar sebagai petugas keamanan Google untuk mencuri kredensial login dari individu yang menjadi target.
Serangan phishing berbasis rasa takut mengeksploitasi kekhawatiran korban akan keselamatan atau keuangan mereka. Pesan yang mengklaim adanya aktivitas mencurigakan pada suatu akun, penggelapan pajak, atau bahkan aktivitas kriminal mendorong seseorang untuk bertindak cepat dan tanpa sadar memberikan informasi mereka. Frasa umum yang mungkin digunakan antara lain:
Phisher menggunakan taktik menakut-nakuti ini untuk memikat korban agar mengklik tautan berbahaya yang dapat mencuri kredensial masuk atau memasang malware. Pada tahun 2019, sebuah serangan vishing yang melibatkan peniruan identitas IRS menggunakan taktik menakut-nakuti untuk menipu target agar membayar pajak palsu.
Phishing berbasis rasa ingin tahu mengandalkan pemicu keinginan alami korban untuk mempelajari atau menyelidiki sesuatu yang menarik. Contohnya meliputi: