Pengungkapan
Pandangan dan opini yang diungkapkan dalam artikel ini sepenuhnya merupakan milik penulis dan tidak mewakili pandangan editorial dari crypto.news.
Faktor Manusia dalam Keamanan Siber
Selama setahun terakhir, sebagian besar eksploitasi terbesar dalam dunia cryptocurrency memiliki penyebab yang sama: faktor manusia. Dalam beberapa bulan terakhir, misalnya, Ledger mendesak pengguna untuk menghentikan aktivitas on-chain setelah pemelihara npm tertipu dan paket berbahaya menyebar. Selain itu, Workday mengungkapkan adanya kampanye rekayasa sosial yang berhasil mengakses data dalam CRM pihak ketiga, dan operator yang terkait dengan Korea Utara terus melakukan penipuan lowongan pekerjaan palsu terhadap tim crypto untuk menyebarkan malware.
Meskipun miliaran dolar telah diinvestasikan dalam keamanan siber, perusahaan-perusahaan masih kalah oleh serangan rekayasa sosial yang sederhana. Tim keamanan sering kali menghabiskan anggaran untuk perlindungan teknis, audit, dan tinjauan kode, sambil mengabaikan aspek keamanan operasional, kebersihan perangkat, dan faktor manusia yang mendasar. Seiring semakin banyak aktivitas keuangan yang berpindah ke on-chain, titik buta ini menjadi risiko sistemik bagi infrastruktur digital.
Investasi dalam Keamanan Operasional
Satu-satunya cara untuk memperlambat lonjakan serangan rekayasa sosial adalah dengan melakukan investasi yang luas dan berkelanjutan dalam keamanan operasional yang dapat mengurangi imbalan dari taktik ini.
Laporan Investigasi Pelanggaran Data Verizon 2025 mengaitkan “elemen manusia” dalam keamanan siber (seperti phishing, kredensial yang dicuri, dan kesalahan sehari-hari) dengan sekitar 60% pelanggaran data.
Rekayasa sosial berhasil karena menargetkan individu, bukan kode, serta mengeksploitasi kepercayaan, urgensi, keakraban, dan rutinitas. Jenis eksploitasi ini tidak dapat dihilangkan melalui audit kode dan sulit untuk ditangkal dengan alat keamanan siber otomatis. Tinjauan kode dan praktik keamanan siber umum lainnya tidak dapat menghentikan seorang karyawan dari menyetujui permintaan penipuan yang tampaknya berasal dari manajer, atau mengunduh pembaruan Zoom palsu yang terlihat sah.
Risiko dalam Transaksi Cryptocurrency
Akibatnya, rekayasa sosial terus menyebabkan insiden di dunia nyata. Uang yang dapat diprogram mengkonsentrasikan risiko. Di web3, mengkompromikan frasa seed atau token API dapat setara dengan membobol brankas bank. Sifat transaksi cryptocurrency yang tidak dapat dibalik memperbesar kesalahan: setelah dana berpindah, sering kali tidak ada cara untuk membalikkan transaksi. Satu kelalaian dalam keamanan perangkat atau penanganan kunci dapat mengakibatkan hilangnya aset.
Desain terdesentralisasi web3 berarti sering kali tidak ada meja bantuan untuk dihubungi, meninggalkan pengguna untuk mengurus diri mereka sendiri.
Adaptasi Peretas terhadap Rekayasa Sosial
Peretas, termasuk tentara bayaran yang didukung negara, telah mencatat efektivitas serangan rekayasa sosial dan beradaptasi sesuai. Operasi yang dikaitkan dengan Grup Lazarus dari Korea Utara sangat bergantung pada rekayasa sosial: tawaran pekerjaan palsu, PDF beracun, paket berbahaya, dan phishing yang disesuaikan yang memangsa kerentanan manusia.
Eksploitasi ini sangat efektif dan mudah dilakukan, dan perusahaan teknologi tampaknya tidak mampu mempertahankan diri terhadapnya. Berbeda dengan eksploitasi zero-day, yang dengan cepat diperbaiki, peretas dapat memanfaatkan taktik rekayasa sosial yang sama berulang kali.
Pentingnya Keamanan Operasional
Terlalu banyak organisasi masih memperlakukan keamanan sebagai latihan kepatuhan — sikap ini diperkuat oleh standar regulasi yang permisif. Perusahaan secara rutin melewati audit dan menerbitkan laporan tanpa cela meskipun menyimpan risiko operasional yang mencolok.
Memperbaiki kegagalan disiplin ini memerlukan keamanan operasional yang eksplisit dan ditegakkan. Tim harus menggunakan perangkat yang dikelola, perlindungan titik akhir yang kuat, dan enkripsi disk penuh; login perusahaan harus memanfaatkan pengelola kata sandi dan MFA yang tahan phishing.
Pendidikan dan Pelatihan Keamanan
Yang terpenting, tim perlu berinvestasi dalam pelatihan keamanan operasional; karyawan (bukan tim keamanan siber) adalah garis pertahanan pertama terhadap serangan rekayasa sosial. Perusahaan harus meluangkan waktu untuk melatih tim mereka agar dapat mengenali serangan phishing yang mungkin terjadi, mempraktikkan kebersihan data yang aman, dan memahami praktik keamanan operasional.
Secara kritis, kita tidak dapat mengharapkan organisasi untuk secara sukarela mengadopsi sikap keamanan siber yang ketat; regulator harus turun tangan dan menetapkan dasar operasional yang dapat ditegakkan.
Menanggapi Ancaman yang Meningkat
Sangat penting untuk berinvestasi dalam keamanan operasional sekarang karena tingkat serangan semakin meningkat secara eksponensial. AI generatif telah mengubah ekonomi penipuan. Penyerang sekarang dapat mempersonalisasi, melokalisasi, dan mengotomatiskan phishing pada skala industri.
Rekayasa sosial berkembang di mana kepercayaan implisit dan kenyamanan mengalahkan verifikasi dan kehati-hatian. Organisasi perlu mengadopsi sikap yang lebih defensif dan (dengan benar) mengasumsikan bahwa mereka berada di bawah ancaman konstan dari serangan rekayasa sosial.
Yang terpenting, perusahaan perlu menemukan di mana kepercayaan masih ada dalam operasi mereka dan menambahkan perlindungan tambahan. Rekayasa sosial tidak akan menghilang, tetapi kita dapat membuatnya jauh lebih tidak efektif dan jauh lebih tidak bencana ketika serangan terjadi.
