Apa Itu Social Engineering? Panduan Lengkap tentang Ancaman Keamanan Siber Terbesar Saat Ini

Mengapa Rekayasa Sosial Lebih Berbahaya daripada Malware

Pertahanan keamanan siber teknis telah menjadi sangat tangguh selama dua dekade terakhir. Firewall perusahaan, sistem deteksi dan respons titik akhir, analisis lalu lintas jaringan, otentikasi multi-faktor, dan arsitektur zero-trust secara kolektif telah membuat intrusi teknis murni jauh lebih sulit untuk dieksekusi dengan sukses. Industri keamanan telah menginvestasikan triliunan dolar dalam alat yang dirancang untuk mendeteksi dan memblokir serangan teknis sebelum menyebabkan kerusakan.

Rekayasa sosial berhasil justru karena tidak berupaya menembus pertahanan tersebut. Ia sepenuhnya melewati pertahanan tersebut dengan membahayakan manusia yang mengontrol akses ke sistem di baliknya. Seperti yang dikatakan IBM, rekayasa sosial "menarik bagi penjahat siber karena memungkinkan mereka untuk mengakses jaringan digital, perangkat, dan akun tanpa harus melakukan pekerjaan teknis yang sulit untuk melewati firewall, perangkat lunak antivirus, dan kontrol keamanan siber lainnya."

Inilah asimetri mendasar yang membuat rekayasa sosial begitu efektif secara terus-menerus. Sebuah organisasi dapat menghabiskan jutaan dolar untuk kontrol keamanan teknis dan tetap dapat sepenuhnya dikalahkan oleh satu karyawan yang menanggapi email persuasif atau menjawab panggilan telepon yang meyakinkan. Kerentanan teknis dapat ditambal dengan pembaruan perangkat lunak, tetapi kerentanan psikologis manusia, yaitu kecenderungan kita untuk percaya, respons kita terhadap otoritas, kerentanan kita terhadap urgensi, adalah fitur kognisi manusia yang tidak dapat dihilangkan dengan penambalan.

Psikologi di Balik Setiap Serangan

Robert Cialdini, psikolog yang bukunya tahun 1984 "Influence: The Psychology of Persuasion" tetap menjadi teks dasar tentang ilmu persuasi, mengidentifikasi enam prinsip pengaruh sosial yang secara sistematis dieksploitasi oleh para pelaku rekayasa sosial. Memahami prinsip-prinsip ini akan mengungkapkan mekanisme di balik serangan yang mungkin tampak misterius.

Authority atau Otoritas adalah kecenderungan untuk mematuhi permintaan dari pihak yang dianggap berwenang — atasan, pejabat pemerintah, pakar teknis, staf dukungan TI. Ketika email tampaknya berasal dari CEO, atau panggilan telepon mengklaim berasal dari IRS, respons psikologis awal pada sebagian besar orang adalah kepatuhan daripada skeptisisme. Penyerang menyamar sebagai tokoh otoritas justru karena kecenderungan ini mendalam, diperkuat secara budaya, dan sebagian besar otomatis.

Urgency and Scarcity atau Urgensi dan Kelangkaan mengeksploitasi realitas psikologis bahwa orang membuat keputusan yang lebih buruk ketika mereka percaya waktu hampir habis. Peringatan melalui email bahwa akun akan ditutup secara permanen dalam 24 jam kecuali pengguna memverifikasi kredensial mereka, atau panggilan telepon yang bersikeras bahwa tagihan palsu akan diproses kecuali korban bertindak segera, menciptakan keadaan panik ringan yang mengesampingkan evaluasi yang cermat. Urgensi tersebut dibuat-buat, tetapi respons emosional yang dipicunya nyata.

Social Proof atau Bukti Sosial memanfaatkan kecenderungan untuk melihat apa yang dilakukan orang lain ketika tidak yakin tentang tindakan yang benar. Penyerang yang menyebutkan bahwa "rekan Anda Sarah telah menyelesaikan verifikasi ini" atau "semua orang di tim Anda telah memperbarui kredensial mereka" mengeksploitasi naluri manusia untuk menyesuaikan diri dengan perilaku kelompok yang tampak.

Familiarity and Liking atau Keakraban dan Kesukaan beroperasi melalui fakta sederhana bahwa orang lebih cenderung mematuhi permintaan dari orang-orang — atau orang-orang yang tampak — yang mereka kenal, sukai, atau percayai. Penyerang yang meneliti target mereka di LinkedIn, yang mencocokkan nama dan jabatan rekan kerja asli dalam email mereka, atau yang menggunakan kloning suara untuk terdengar seperti eksekutif yang dikenal, mengeksploitasi kecenderungan ini. Keakraban yang mereka ciptakan bersifat sintetis, tetapi respons kepercayaan yang dipicunya adalah asli.

Reciprocity atau Prinsip Timbal Balik memanfaatkan perasaan manusiawi yang mendalam bahwa kita berhutang budi kepada orang-orang yang telah berbuat sesuatu kepada kita. Penyerang yang memulai percakapan dengan memberikan informasi yang bermanfaat — nyata atau fiktif — sebelum mengajukan permintaan, mengaktifkan mekanisme timbal balik, membuat target merasa memiliki kewajiban sosial untuk membantu sebagai balasannya.

Commitment and Consistency atau Komitmen dan Konsistensi memanfaatkan kecenderungan untuk berperilaku konsisten dengan komitmen sebelumnya. Begitu seseorang menyetujui permintaan awal yang kecil, mereka merasakan tekanan sosial dan psikologis untuk menyetujui permintaan selanjutnya yang lebih besar dari sumber yang sama — teknik "kaki di pintu" yang sengaja digunakan oleh tenaga penjualan dan ahli rekayasa sosial.

Enam prinsip ini bukanlah kelemahan yang hanya dimiliki oleh orang yang naif atau tidak berpendidikan. Ini adalah ciri psikologi manusia normal yang memengaruhi semua orang, termasuk para profesional keamanan, eksekutif, dan orang-orang yang secara intelektual memahami cara kerja rekayasa sosial. Mengetahui prinsip-prinsip ini akan membuat orang sedikit lebih tahan, tetapi respons psikologis yang dijelaskannya tidak sepenuhnya dapat ditekan hanya melalui pengetahuan — itulah sebabnya pertahanan organisasi harus melampaui pelatihan kesadaran hingga kontrol struktural dan teknis.

Siklus Serangan: Bagaimana Kampanye Rekayasa Sosial Berlangsung

Serangan rekayasa sosial profesional tidak terjadi secara spontan. Serangan tersebut mengikuti metodologi yang disengaja dengan fase-fase yang berbeda, yang masing-masing meningkatkan kemungkinan keberhasilan dan mengurangi risiko deteksi dini.

Fase pertama adalah pengintaian. Sebelum melakukan kontak dengan target, penyerang meneliti individu, organisasi, dan konteks yang relevan. Profil LinkedIn mengungkapkan jabatan, hubungan pelaporan, proyek yang sedang berjalan, dan minat pribadi. Website perusahaan mengungkapkan nama-nama pimpinan, struktur departemen, dan hubungan vendor. Media sosial mengungkapkan detail pribadi yang membuat komunikasi selanjutnya terasa lebih autentik. Basis data kredensial yang diretas dapat memunculkan nama pengguna dan kata sandi target yang ada dari peretasan sebelumnya. Siaran pers mengumumkan kemitraan, akuisisi, atau perubahan sistem baru-baru ini. Semakin komprehensif pengintaiannya, semakin meyakinkan pendekatan akhirnya.

Fase kedua adalah membangun kontak dan membuat dalih. Dengan menggunakan informasi yang dikumpulkan dalam pengintaian, penyerang membuat skenario — dalih — yang memberikan konteks yang masuk akal untuk permintaan apa pun yang ingin mereka ajukan. Dalih ini dapat digunakan dalam email, panggilan telepon, pesan teks, atau interaksi tatap muka, tergantung pada target dan sifat akses yang diinginkan. Kualitas dalih inilah yang menentukan apakah kemampuan kritis target diaktifkan atau diabaikan. Dalih yang menyebutkan nama kolega yang sebenarnya, mengakui proyek-proyek terkini yang nyata, atau mencerminkan bahasa dan nada komunikasi organisasi yang sebenarnya jauh lebih efektif daripada pendekatan generik.

Fase ketiga adalah eksploitasi, yaitu mengajukan permintaan yang sebenarnya. Ini mungkin meminta target untuk mengklik tautan, mengungkapkan kredensial, menyetujui transfer keuangan, memberikan akses fisik, atau menginstal perangkat lunak. Para ahli rekayasa sosial yang terampil mengatur permintaan ini dengan hati-hati, memastikan bahwa kepercayaan dan hubungan baik telah terjalin sebelum permintaan diajukan, dan menggunakan pemicu psikologis seperti urgensi, otoritas, atau timbal balik untuk menciptakan kondisi di mana kepatuhan terasa alami.

Fase keempat adalah mempertahankan akses dan keluar dengan bersih. Setelah penyerang memperoleh apa yang mereka cari, mereka akan langsung menggunakannya dan menghilang atau menggunakannya untuk membangun akses permanen untuk eksploitasi di masa mendatang. Serangan yang paling canggih tidak meninggalkan jejak bahwa interaksi tersebut bukanlah sesuatu yang sah — target tidak pernah menyadari bahwa mereka telah dimanipulasi, organisasi tidak pernah mendeteksi anomali, dan penyerang tetap memiliki kemampuan untuk kembali.

Phishing: Jenis Serangan Paling Marak

Phishing adalah pengiriman komunikasi palsu — paling umum melalui email, meskipun istilah ini telah meluas ke saluran lain — yang tampak berasal dari sumber yang sah dan tepercaya dengan tujuan mencuri kredensial, mengirimkan malware, atau menipu penerima untuk melakukan tindakan yang tidak sah. Ini adalah bentuk rekayasa sosial yang paling sering ditemui, dan volumenya telah meningkat secara dramatis dengan penerapan AI untuk pembuatan pesan.

Email phishing standar biasanya meniru lembaga tepercaya — bank, perusahaan teknologi, lembaga pemerintah, pemberi kerja — dan menyajikan skenario yang mengharuskan penerima untuk mengambil tindakan, yaitu mengklik tautan untuk memverifikasi informasi akun, mengunduh dokumen terlampir untuk meninjau faktur, atau masuk ke website tiruan untuk memperbarui pengaturan keamanan. Tautan tersebut mengarah ke replika situs yang sah yang meyakinkan, yang dibangun untuk menangkap kredensial apa pun yang dimasukkan pengguna.

Skala phishing saat ini sangat mencengangkan. Sebanyak 82,6 persen email phishing sekarang dihasilkan oleh AI, menurut data intelijen ancaman tahun 2026. Angka ini mencerminkan betapa AI telah mengubah apa yang dulunya merupakan keahlian yang membutuhkan penulis terampil dan persiapan yang cermat menjadi proses industri yang otomatis. Email phishing yang dihasilkan AI memiliki tata bahasa yang benar, nada yang tepat, relevan secara kontekstual, dan bebas dari kesalahan ejaan dan frasa canggung yang dulunya berfungsi sebagai sinyal deteksi yang andal. Saran tradisional untuk mencari tata bahasa yang buruk sebagai tanda phishing menjadi jauh kurang berguna.

Spear Phishing dan Whaling: Ketika Serangan Menjadi Pribadi

Phishing standar beroperasi dalam skala besar, menebar jaring luas ke jutaan penerima dan menerima bahwa hanya sebagian kecil yang akan tertipu. Spear phishing membalikkan model ini sepenuhnya, memusatkan riset intensif dan kustomisasi pada satu target atau sekelompok kecil target spesifik untuk menghasilkan serangan yang jauh lebih meyakinkan dan jauh lebih mungkin berhasil.

Email spear phishing yang menargetkan analis keuangan tertentu di perusahaan tertentu akan menyebutkan nama mereka dengan benar, mengakui proyek yang sedang mereka kerjakan, menyebutkan nama manajer mereka, dan menggunakan bahasa yang konsisten dengan gaya komunikasi internal organisasi. Nama pengirim akan sesuai dengan kontak yang dikenal — mungkin vendor, kolega di organisasi mitra, atau pemimpin senior. Permintaan yang disematkan dalam email akan masuk akal mengingat tanggung jawab sebenarnya dari analis tersebut. Segala sesuatu tentangnya akan terasa sah karena dirancang agar terasa sah, khususnya untuk orang ini.

Data personalisasi untuk serangan spear phishing terutama bersumber dari profil media sosial, khususnya LinkedIn, yang menyediakan sejumlah besar konteks profesional tentang individu dan organisasi yang sebagian besar pengguna tidak anggap sensitif. Profil LinkedIn yang lengkap memberi tahu penyerang jabatan pasti seseorang, bawahan langsung dan manajernya, aktivitas profesional terbaru mereka, proyek yang telah mereka ikuti, acara yang telah mereka hadiri, dan bahkan gaya komunikasi mereka berdasarkan postingan publik mereka. Informasi ini tersedia secara bebas dan membentuk bahan mentah untuk serangan spear phishing yang sangat kredibel.

Whaling adalah spear phishing yang ditujukan khusus kepada eksekutif senior — CEO, CFO, anggota dewan, dan target bernilai tinggi lainnya. Alasan untuk menargetkan eksekutif sangat jelas: mereka memiliki wewenang untuk menyetujui transaksi keuangan besar, akses ke informasi sensitif, dan kekuatan organisasi yang membuat kompromi terhadap mereka sangat berdampak. Serangan whaling yang berhasil terhadap seorang CFO dapat mengakibatkan transfer kawat palsu senilai jutaan dolar. Investasi riset yang dibutuhkan untuk merancang pendekatan yang meyakinkan kepada seorang CEO dapat dibenarkan oleh potensi keuntungannya, dan alat AI yang sama yang menghasilkan email phishing massal dapat secara signifikan mempercepat pekerjaan riset dan penyusunan yang diperlukan untuk serangan yang ditargetkan ini.

Vishing: Panggilan Suara sebagai Senjata

Vishing — voice phishing — melakukan rekayasa sosial melalui panggilan telepon dan pesan suara, bukan pesan tertulis. Serangan ini memanfaatkan sinyal otentisitas tambahan yang diberikan oleh komunikasi suara, yaitu nada, irama, keterlibatan emosional, dan dinamika percakapan waktu nyata yang memungkinkan penyerang untuk menanggapi keberatan, menjawab pertanyaan, dan menyesuaikan pendekatan mereka dengan orang tertentu yang mereka ajak bicara.

Serangan vishing klasik melibatkan penelepon yang menyamar sebagai departemen penipuan bank, help desk TI, lembaga pemerintah, atau perusahaan utilitas. Penelepon menciptakan urgensi — akun kita telah diretas, kredensial keamanan kita perlu verifikasi segera, surat perintah penangkapan telah dikeluarkan untuk kita kecuali kita membayar denda — dan menggunakan urgensi tersebut untuk mengekstrak kredensial, informasi pembayaran, atau akses jarak jauh ke perangkat korban.

Vishing melonjak 442 persen pada akhir tahun 2024. Profesionalisasi vishing sebagai model layanan telah semakin mengindustrialisasi ancaman tersebut: organisasi kriminal sekarang merekrut dan membayar penelepon individu $500 hingga $1.000 per panggilan yang berhasil, memberi mereka skrip terperinci, data korban langsung, dan dukungan waktu nyata untuk menangani perubahan percakapan yang tidak terduga.

Smishing: Vektor Serangan SMS

Smishing — SMS phishing — melancarkan serangan rekayasa sosial melalui pesan teks, memanfaatkan tingkat pembukaan yang lebih tinggi dan rasa urgensi yang lebih kuat yang dimiliki pesan teks dibandingkan dengan email. Tingkat pembukaan pesan teks rata-rata sekitar 98 persen, dibandingkan dengan 20 hingga 40 persen untuk email, menjadikan saluran SMS sangat efektif untuk menyampaikan umpan yang sensitif terhadap waktu.

Serangan smishing biasanya menyamar sebagai layanan pengiriman, lembaga keuangan, atau operator seluler. Pesan teks yang memberi tahu penerima bahwa paket mereka tidak dapat dikirim dan memerlukan pembayaran bea cukai kecil, atau bahwa aktivitas mencurigakan telah terdeteksi di akun mereka dan memerlukan verifikasi segera, menciptakan skenario yang masuk akal di saluran yang mendapat perhatian tinggi. Tautan dalam pesan mengarah ke situs penipuan yang dirancang untuk menangkap informasi pembayaran, kredensial, atau akses perangkat.

Pergeseran ke smishing telah dipercepat karena pengguna menjadi agak lebih berhati-hati terhadap email yang mencurigakan sementara tetap jauh kurang skeptis terhadap pesan teks. Kebaruan relatif saluran ini sebagai vektor rekayasa sosial, dikombinasikan dengan kepercayaan yang secara historis diberikan orang pada pesan teks sebagai media komunikasi yang lebih langsung dan personal, telah membuatnya efektif bahkan terhadap orang-orang yang cukup waspada terhadap serangan berbasis email.

AI Telah Mengindustrialisasi Rekayasa Sosial

Manifestasi yang paling langsung adalah konten phishing yang dihasilkan AI. Model bahasa besar sekarang dapat menghasilkan email phishing dalam bahasa apa pun, dengan nada apa pun, dengan tingkat kosakata teknis apa pun, dengan pengetahuan khusus domain tentang organisasi dan individu target, dengan ribuan email per menit. Kualitas phishing yang dihasilkan AI, saat ini, tidak dapat dibedakan dari konten yang dihasilkan manusia — ciri-ciri yang dulunya membuat phishing dapat diidentifikasi, termasuk kesalahan ejaan, tata bahasa yang canggung, dan frasa umum, tidak ada. Tingkat generasi AI sebesar 82,6 persen untuk email phishing mencerminkan seberapa menyeluruh transisi ini telah terjadi.

AI juga memungkinkan personalisasi yang belum pernah terjadi sebelumnya dalam skala besar. Penyerang yang memiliki akses ke profil LinkedIn target, unggahan media sosial publik, dan data pelanggaran apa pun yang tersedia dapat memasukkan informasi tersebut ke dalam sistem AI yang menghasilkan pesan serangan yang sangat personal yang merujuk pada kolega target yang sebenarnya, proyek saat ini, dan konteks profesional — dalam hitungan detik, untuk ribuan target secara bersamaan. Investasi riset yang dulunya membuat spear phishing membutuhkan banyak sumber daya telah berkurang secara drastis.

Pengkloningan suara AI hanya membutuhkan beberapa detik audio untuk menghasilkan suara sintetis yang secara fungsional tidak dapat dibedakan dari aslinya. Ini berarti bahwa setiap eksekutif yang suaranya telah direkam dalam panggilan pendapatan publik, wawancara podcast, video perusahaan, atau presentasi dapat dikloning suaranya oleh penyerang dengan upaya minimal. Suara yang dikloning kemudian dapat digunakan dalam serangan vishing yang tampaknya berasal dari eksekutif tersebut, atau dalam panggilan video deepfake di mana eksekutif tersebut tampak hadir dan berbicara.

Deepfake: Ketika Melihat Bukan Lagi Berarti Percaya

Teknologi deepfake — penggunaan AI untuk menghasilkan video dan audio sintetis yang meyakinkan dari orang sungguhan — telah menciptakan kategori baru serangan rekayasa sosial yang melewati salah satu mekanisme kepercayaan paling mendasar dalam komunikasi manusia: konfirmasi visual identitas secara tatap muka.

Pada Januari 2025, penipu di Hong Kong menggunakan kloning suara yang dihasilkan AI untuk meniru manajer keuangan sebuah perusahaan di WhatsApp, meyakinkan korban untuk mentransfer sekitar $18,5 juta ke akun mata uang kripto palsu. Di Maine, pejabat kota tertipu oleh pesan suara deepfake yang mengklaim sebagai instruksi sah dari pejabat mereka sendiri, yang menyebabkan transfer keuangan tanpa izin. Ini bukanlah insiden terisolasi — ini mewakili kategori serangan yang berkembang pesat.

Serangan vishing yang didukung deepfake melonjak lebih dari 1.600 persen pada kuartal pertama tahun 2025 dibandingkan dengan akhir tahun 2024, dan jumlah file deepfake yang beredar tumbuh dari 500.000 menjadi lebih dari delapan juta dalam dua tahun sebelum tahun 2025. Laju pertumbuhan ini mencerminkan peningkatan kualitas alat pembuatan deepfake dan penurunan biaya serta keterampilan teknis yang dibutuhkan untuk menggunakannya. Kloning suara sekarang tersedia melalui aplikasi konsumen yang tidak memerlukan keahlian khusus.

Cara Mengenali Upaya Rekayasa Sosial

Mengenali rekayasa sosial yang sedang berlangsung memang sulit—serangan tersebut dirancang agar terasa sah dan untuk menekan evaluasi kritis yang akan mengidentifikasinya sebagai penipuan. Namun, ada sinyal yang dapat diandalkan yang, ketika beberapa sinyal muncul secara bersamaan, menunjukkan upaya rekayasa sosial.

Desakan yang tidak diminta adalah sinyal yang paling konsisten. Komunikasi apa pun yang menciptakan tekanan waktu yang intens—bertindak sekarang, ini akan berakhir dalam beberapa menit, akun kita akan ditutup secara permanen—berupaya menekan kapasitas pertimbangan kita. Lembaga yang sah jarang menciptakan keadaan darurat yang benar-benar membutuhkan tindakan segera dan tidak dapat diverifikasi melalui saluran terpisah.

Permintaan kredensial, informasi pembayaran, atau akses jarak jauh melalui saluran apa pun selain proses resmi yang terverifikasi adalah tanda bahaya terlepas dari identitas pemohon yang dinyatakan. Departemen TI yang sah tidak memerlukan kata sandi kita untuk membantu kita. Bank yang sah tidak memerlukan nomor kartu kita untuk menyelidiki penipuan di akun kita. Eksekutif yang sah tidak mengatur transfer uang melalui pesan teks pribadi.

Tekanan untuk melewati prosedur normal — "ini mendesak dan perlu melewati proses persetujuan normal," "jangan sebutkan ini kepada tim keamanan karena ini sensitif," "ini perlu tetap di antara kita untuk saat ini" — adalah taktik rekayasa sosial yang dirancang untuk mencegah proses verifikasi dan eskalasi yang akan mengungkap serangan tersebut.

Ketidaksesuaian dalam detail kontak perlu diselidiki. Email yang mengaku berasal dari perusahaan terkenal tetapi menggunakan domain dengan sedikit variasi — support@paypa1.com daripada support@paypal.com — menunjukkan identitas palsu. Nomor telepon yang tidak sesuai dengan informasi kontak yang dipublikasikan oleh organisasi, atau ID penelepon yang tampaknya telah diedit, memerlukan verifikasi langsung melalui kontak yang bersumber secara terpisah.

Perasaan tidak nyaman atau gelisah yang mendalam terhadap suatu permintaan patut ditanggapi dengan serius. Naluri manusia untuk mengetahui ada sesuatu yang salah, bahkan ketika pikiran sadar belum mengidentifikasi ketidaksesuaian spesifik tersebut, seringkali benar dan patut ditindaklanjuti dengan berhenti sejenak dan memverifikasi sebelum mematuhi.

Pencegahan: Apa yang Dapat Dilakukan

Pengguna individu yang memahami prinsip-prinsip rekayasa sosial dan menerapkannya secara konsisten dalam kehidupan digital sehari-hari mereka jauh lebih tahan terhadap serangan daripada mereka yang tidak.

Mengadopsi kebijakan verifikasi independen untuk setiap permintaan yang tidak terduga memberikan pertahanan perilaku yang praktis. Ketika email, pesan teks, atau panggilan meminta sesuatu yang tidak biasa — kredensial, pembayaran, informasi pribadi, akses jarak jauh — tutup telepon dan hubungi kembali nomor dari situs web resmi organisasi tersebut, bukan nomor yang diberikan dalam komunikasi. Langkah tunggal ini mengalahkan sebagian besar serangan rekayasa sosial yang bergantung pada korban yang menerima detail kontak yang diberikan penyerang.

Menggunakan kata sandi yang berbeda dan kuat untuk setiap akun yang dikombinasikan dengan pengelola kata sandi berarti bahwa kompromi satu akun melalui serangan phishing tidak akan berdampak pada kompromi akun lain. Ini sekarang merupakan kebersihan digital yang wajib, tetapi implementasinya masih jauh dari universal.

Bersikap skeptis secara konsisten terhadap urgensi dalam komunikasi digital adalah kebiasaan yang berkembang seiring dengan latihan. Melatih diri untuk mengenali respons emosional yang ditimbulkan oleh urgensi — kepanikan ringan, rasa kewajiban untuk bertindak segera — sebagai tanda peringatan itu sendiri, bukan alasan untuk bertindak cepat, adalah salah satu pergeseran kognitif yang paling bermanfaat secara praktis.

Membatasi apa yang kita bagikan secara publik di LinkedIn dan media sosial mengurangi data pengintaian yang tersedia bagi penyerang. Jabatan yang tepat, hubungan pelaporan, proyek saat ini, rencana perjalanan, dan detail pribadi semuanya memberi makan personalisasi yang membuat serangan spear phishing dan pretexting menjadi meyakinkan.

Memahami bahwa suara dan video bukan lagi metode konfirmasi identitas yang andal untuk keputusan bernilai tinggi mungkin merupakan pembaruan kesadaran khusus saat ini yang paling penting bagi individu. Kasus deepfake yang dijelaskan sebelumnya menunjukkan bahwa panggilan video yang meyakinkan bukan lagi bukti identitas para peserta. Untuk permintaan yang melibatkan uang atau informasi sensitif, konfirmasi visual tidak lagi cukup.

Jadi, social engineering merupakan ancaman dominan dalam keamanan siber bukan karena para pembela gagal membangun pertahanan teknis yang memadai, tetapi karena pertahanan tersebut, betapapun canggihnya, hanya menangani permukaan teknis dari ancaman yang pada dasarnya beroperasi pada psikologi manusia. Setiap organisasi, terlepas dari investasinya dalam keamanan teknis, tetap rentan terhadap serangan yang menargetkan penilaian dan kepercayaan orang-orang yang beroperasi di dalamnya.