Social Engineering adalah teknik
atau cara untuk membuat orang atau pengguna dari sebuah sistem untuk
mendapatkan segala hal atau apa saja yang berkaitan dengan sistem keamanan
dalam dunia teknologi khususnya yang berkaitan dengan IT, di mana
kemudian dari informasi yang diperoleh tersebut, dipakai untuk tujuan mengakses
secara illegal dan melakukan hal-hal yang sifatnya merugikan.
Teknik atau cara yang dilakukan oleh
orang yang menggunakan Social Engineering adalah mencari dan menemukan titik
lemah dari sisi orang atau manusia yang menjalankan atau mengatur serta
mengawasi sistem pengaman dalam dunia IT tersebut sehingga bisa mendapatkan
celah atau kelemahan, dengan kelemahan dan celah pada sisi social tersebut,
sang pelaku lalu mencoba menembus atau merusak sistem pengaman dari IT
sistem.
Teknik yang digunakan dalam social
engineering sama sekali tidak menggunakan teknik konvensional dengan kemampuan
menguasai bahasa programming tingkat tinggi tapi harus bisa menganalisa seseorang
dari sudut pandang social dan hal-hal yang sifatnya non teknis.
2. Tujuan dan sasaran Social Engineering
Tujuan Utama dari Social Engineering adalah
menggakses ke dalam sistem IT yang terlindungi oleh sistem pengaman dan
melakukan tindakan-tindakan yang merugikan dan bahkan melanggar
hukum. Sasaran dari Social Enggineering sangat beragam, mulai dari
mengakses email account seseorang sampai mendapatkan akses kepada data-data
pribadi sesorang yang sangat penting seperti user id dan password perbankan
online seseorang.
3.
Cara
dan teknik melakukan serangan
Teknik
untuk melakukan social engineering bisa dibagi ke dalam dua cara yaitu secara
fisik dan secara psikologi. Untuk teknik social engineering secara fisik
bisa dilakukan dengan mendatangi tempat kerja, melakukan hubungan telepon,
memeriksa dari hasil sampah (mengambil sampah orang lain bukan merupakan
pelanggaran hukum) atau dengan koneksi Internet. Bila attacker memilih
mendatangi tempat kerja, dia cukup memasuki perusahaan sasaran dengan
berpura-pura menjadi konsultan, pegawai operasional, atau siapa pun yang
berhak memasuki perusahaan tersebut. Selanjutnya dia bisa
memasuki ruang-ruang seperti pada cerita di atas, atau cukup duduk dan
menunggu sampai ada pegawai yang secara ceroboh menuliskan atau
membicarakan password atau informasi penting lainnya di depannya.
a. Social
Engineering dengan melakukan hubungan telepon
Yang paling sering terjadi adalah teknik
ini. Dengan melakukan sedikit trik seorang attacker yang berpengalaman akan
mampu membuat pegawai yang menerima telepon mengucapkan username maupun
passwordnya atau informasi lainnya yang dibutuhkan attacker.
Biasanya
pegawai yang bertugas seperti bagian informasi atau customer service yang
akan dihubungi karena selain mereka memang dilatih untuk selalu bersikap ramah
dan memberikan informasi kepada penelpon. Mereka biasanya hanya
mendapatkan sedikit pelatihan mengenai masalah teknik sehingga kurang
mengerti bagaimana mengamankan informasi yang penting bagi keamanan
perusahaan. Mereka akan selalu berusaha memberikan informasi yang diminta
penelpon secepat mungkin agar bisa segera menerima penelpon berikutnya tanpa
sempat memikirkan apa yang dapat dilakukan oleh penelpon dengan informasi
yang telah diberikannya.
Dari mereka biasanya attacker
mendapatkan informasi yang diinginkannya dengan mudah. Bisa juga dengan
langsung menelpon ke admin. Misalnya setelah seorang attacker
mempelajari suatu perusahaan yang menjadi sasarannya, dia akan menelpon ke
admin dengan mengaku sebagai pegawai yang ada di perusahaan tersebut. Karena
dia telah mempelajari, bisa saja dia mengaku sebagai pegawai A yang
menempati ruang kantor sebelah B di urutan meja ke X. Setelah merasa admin
bisa diperdaya, dia akan mengatakan ,”Buku catatan kecil saya yang berisikan
catatan password tertinggal di meja sehingga saya tidak bisa menyelesaikan
pekerjaan saya dari rumah. Bisakah anda mengambilkan untuk saya ?” Seorang
admin tentunya terlalu sibuk untuk dapat mengambilkan buku catatan
seseorang, dan karena dia telah merasa yakin penelpon adalah pekerja di
situ, dia cukup membuka database dan memberitahukan password ke penelpon.
b. Dumpster Diving
Dumpster diving atau juga disebut
trashing adalah teknik populer lainnya, yaitu attacker
mengumpulkan
informasi dengan memeriksa sampah perusahaan sasaran. Ada banyak yang
bisa didapatkan seorang hacker dari sampah perusahaan selama sampah itu
tidak berupa makanan busuk. Buku telepon akan memberikan petunjuk nama dan
nomer orang-orang yang bisa dihubungi, kalender menunjukkan pekerja mana
saja yang akan bertugas keluar kota pada saat tertentu, catatan kerja
harian bisa dipelajari untuk dicari kelemahannya, dan sebagainya.
c. Koneksi
Internet
Ketika seorang pekerja sedang melakukan
koneksi Internet, tiba-tiba sebuah pop-up window keluar dan mengatakan
bahwa koneksinya terputus dan untuk itu dia harus kembali
menuliskan username dan passwordnya. Tanpa curiga pekerja tadi akan
melakukannya dan semudah itu attacker mendapatkan informasi.
Sebuah kesalahan yang sering dilakukan
adalah orang cenderung untuk menggunakan password yang sama untuk berbagai
layanan yang dimilikinya, misalnya untuk e-mail, messenger, ATM, dan
sebagainya. Akibatnya begitu seorang attacker berhasil mendapatkan password
tadi, dia akan bisa memasuki semua layanan yang tersedia untuk orang tadi.
Pengiriman e-mail juga sering dilakukan
karena e-mail bisa membawa berbagai virus dan trojan. Misalnya dengan
memberitahukan bahwa attachment file yang disertakan di e-mail
merupakan patch sistem operasi yang harus segera dijalankan. User mungkin
merasa ini bukan hal yang perlu dilakukan verifikasi terlebih dahulu
karena merasa e-mail itu berasal dari vendor sistem operasi yang
digunakan. Selanjutnya dengan satu langkah klik user telah berhasil
menanamkan trojan (meskipun tidak sengaja) yang siap membuka jalan untuk
serangan.
Pada
intinya dengan bekal pengetahuan dan pemahaman tentang keamanan jaringan yang
kurang, manusia sebagai user bisa melakukan berbagai tindakan yang
membahayakan keamanan jaringan dan secara tidak langsung membantu attacker
untuk menyusup ke dalamnya.
d.
Pendekatan
Psikologi
Selain cara-cara di atas, seorang
attacker bisa menggunakan langkah-langkah psikologis untuk mendapatkan
informasi, yaitu dengan mengadakan sebuah ikatan emosional dalam
tujuan mendapatkan kepercayaan. Atau seperti yang pernah Kevin Mitnick
ucapkan, "That is the whole idea: to create a sense of trust and then
exploiting it." Misalnya dengan menjalin suatu hubungan dengan orang
dalam, sebagai contoh dengan memacari sekretaris dari pemimpinperusahaan. Dia
lalu akan memberikan kesan sebagai orang yang bisa dipercaya dan lambat
tapi pasti tidak hanya si sekretaris, tapi setiap rahasia perusahaan pun
akan berada di tangannya.
Attacker bisa melakukan berbagai hal
untuk sekedar menarik simpati atau menjalin hubungan dengan orang-orang
yang dianggap bisa menjadi jalan untuk mencapai tujuannya dan memang pada
dasarnya seni dari social engineering adalah bagaimana seorang attacker bisa
mendapatkan kepercayaan dari pihak korban.
4. Bagaimana cara kerja dari social
engineering
Berbagai macam cara dikembangkan untuk mendapatkan informasi
rahasia seseorang terkait dengan proses autentifikasi, antara lain:
a. Membuat semacam kegitaan dengan scenario
yang bersifat mengelabui korban dengan membuat semacam kegiatan yang
mengharuskan calon korban memasukkan atau memberikan informasi penting seperti
tanggal lahir dan juga informasi lainnya yang bisa dipakai sebagai petunjuk
yang bisa mengarahkan kepada password atau pin dari si calon korban.
b. Mengirimkan pesan email atau sms kepada
calon korban yang isinya berupa informasi atau pemberitahuan yang sifatnya
bombastis dan mengejutkan serta menggoda calon korbannya untuk tidak
segan-segan memberikan semua segala informasi yang sifatnya amat sangat
rahasia.
5. Contoh Social Engineering
yang sering kita temukan
- Mama, ini adek kena tilang di jalan x, tolong kirimkan uang 100 rb ke rekening ****7856
- Nak, tolong isikan pulsa mama 20rb sekarang ya
- Menggunakan pishing (menyamar dengan situs yang mirip) agar bisa mendapatkan acount orang lain. setelah mendapatkan acount tersebut sipenipu akan membajak acount tersebut dan mengganti passwordnya agar si pemilik tidak bisa membuka acount tersebut. bisa jadi sipembajak melakukan penipuan ataupun mencemarkan nama baik sipemilik acount.
6. Bagaimana Cara Menghindarkan Diri dari
Serangan Social Engineering
Serangan pada sistem pengaman IT dengan cara social engineering disebabkan tidak saja oleh karena kesalahan sang pengguna tapi juga disebabkan oleh kelengahan dari sisi penyedia sistem itu sendiri. Berikut adalah langkah-langkah pencegahan dini yang dapat kita lakukan agar terhindar dari serangan social engineering:
a. Jangan pernah memberikan informasi rahasia anda kepada siapapun.
Saya tidak pernah memasukan atau mendaftarkan informasi penting dan rahasia kepada setiap pendaftaraan user id pada internet. Salah satu bank swasta di mana saya terdaftar sebagai nasabah tidak pernah meminta informasi terkait tanggal lahir dan info penting lainnya pada saat saya mendaftarkan internet banking, hal ini cukup melegahkan karena mengingat hal-hal seperti bisa menjadi celah yang sangat rentan untuk dimanfaatkan. Termasuk media social yang saya ikuti, tidak pernah saya masukkan tanggal lahir saya secara benar.
b. Selalu waspada dalam memberikan informasi tentang diri.
Selalu waspada terhadap informasi tentang diri kita meskipun informasi yang kita berikan kelihatannya tidak terlalu berdampak besar terhadap masalah keamanan. Janganlah terlalu jujur dengan informasi yang akan kita berikan, misalnya tentang tempat lahir, nama orang tua, makanan favorit dan sebagainya.
c. Memberikan informasi palsu saat menjawab pertanyaan keamanan.
Security question adalah pertanyaan yang biasa ditanyakan untuk memberikan gambaran terkait password kita, jawaban dari pertanyaan tersebut sebaiknya tidak perlu dijawab sesuai kebenarannya tapi cukup berikan jawabannya berbeda alias berbohong. Namun kita harus tetap mengingat jawaban yang kita berikan meskipun berbohong.
d. Abaikan Permintaan via email untuk mengganti password.
Pada perusahaan tertentu password diganti setiap bulan dengan pemberitahuan 1 sampai dua minggu sebelum masa pakai berakhir, penggantian password bisa menjadi celah bagi hacker untuk membuat semacam link yang bisa mengarahkan user kepada alamat yang bisa mengcapture data kita saat melakukan penggantian. Jika ada pemberitahuan terkait penggantian password maka sebaiknya diabaikan saja dan jangan mengklik link apapun dalam isi email tersebut. Hubungi pihak terkait jika anda ragu atau curiga akan hal tersebut. Untuk email yang disiapkan oleh provider yang sifatnya global sebaiknya abaikan sama sekali, bila perlu sampai benar-benar tidak bisa berfungsi sama sekali barulah menghubungi si admin.
e. Cek aktivitas dari Account kita.
Misalnya pastikan bahwa setiap aktivitas yang terjadi atau melalui email adalah kita yang melakukannya, pastikan tidak ada aktivitas yang tidak dilakukan oleh kita.
f. Gunakan password yang bervariasi.
Jangan menggunakan satu password untuk beberapa account. Buatlah variasi password yang terdiri atas karakter-karakter yang kuat dan susah ditebak.
7. Kesimpulan
Social Engineering adalah hacker
yang lebih menggunakan interaksi sosial dari pada menggunakan jaringan komputer
untuk mendapat informasi yang ia inginkan, dengan berpura – pura menjadi bagian
dari korban social engineering berusaha mendapat informasi penting dengan
berbagai cara yang halus seperti berpura – pura menjadi pelanggan tetap suatu
informasi lalu berdalih kehilangan usernama dan password. Dengan demikian
keamanan pada suatu sistem menjadi rentan bahkan tidak berguna lagi. Oleh
karena itu perlu adanya suatu prosedur di sebuah instansi yang memberikan
edukasi kepada para karyawannya akan bahaya dari social engineering ini dengan
menetapkan beberapa aturan/standar resmi mengenai keamanan informasi agar dapat
dipatuhi oleh setiap orang untuk terjaga data pada sistem dari ancaman
hacker (Social Engineering).
Komentar
Posting Komentar