SOSIAL ENGINEERING
A. DEFINISI
Sedikit
mnjelaskan tentang sejarah Social engineering dibawa oleh seorang hacker
bernama Kevin Mitnick pada era tahun 1990-an. Social engineering adalah teknik
mendapatkan informasi penting dari target kejahatan dengan cara menipu target
dengan memanfaatkan kelemahan interaksi social target. Menurut Bernz, social
engineering adalah “seni dan ilmu bagaimana mendapatkan orang untuk memenuhi
apa yang kita inginkan”. Menurut Palumbo, social engineering adalah “sebuah
trik psikologi yang digunakan oleh hacker dari luar pada pengguna sah dari
sebuah system komputer untuk mendapatkan informasi yang dibutuhkan agar
mendapatkan akses ke system komputer”[1].
Definisinya
adalah metode memperoleh informasi yang rahasia dengan cara menipu pemilik dari informasi
tersebut. Biasanya terjadinya sosial engineering terjadi menggunakan telpon
atau internet, ini merupakan metode yang dipakai oleh hacker untuk mendapatkan
informasi dari korban secara langsung, dengan membobol keamanan informasi akun
korban sehingga datanya akan digunakan untuk kepentingan pribadi [2].
B.
FAKTOR
PENYEBAP SOSIAL ENGINEERING
Jika
kita memiliki piranti Software seperti : firewall, antivirus, software keamanan
tingkat tinggi dan hardware yang canggih tetapi kita menjalankan lalai tidak
mempergunakakn dengan tepat maka perlaku sosial engineering akan memeanfaatkan
keadaan itu, disitulah letak kelemahan kita sebagai user yang dibobol
keamananya [3]. Faktor manusialah
penyebab utamanya dalam keamanan informasi, keamanan informasi yang baik akan
menjadi tidak berguna jika ditangani oleh admin yang tidak berkompeten. Dalam
sebuah jaringan yang cukup komplek memiliki user yang kurang mengerti/peduli tentang keamanan
informasi.
Contoh : sebuah perusahaan, seorang
network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user
yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan
password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan
mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada
kliennya. Hal ini menyebabkan penyerang mengambil celah tersebut dan
mencuri/merusak data penting perusahaan. Data yang dibuang di ricycle bin,
dapat dijadikan orang yang berkepentingan lain. Misal: slip gaji, slip atm.
Barang tersebut kita buang karena tidak kita perlukan, namun ada informasi
didalamnya yang bisa dimanfaatkan orang lain. Atau seorang penyerang bisa
berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah
satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering
[4].
C.
METODE
SOSIAL ENGINEERING
Ada
beberapa metode yang dikumpulkan dari beberapa sumber, yaitu:
1 . Metode
yang pertama sangat mendasar sekali dalam sosial engineering, menyelesaikan
penyerangan secara langsung dimana hacker akan meminta langsung apa yang
diinginkan olehnya seperti password, akses jaringan, peta jaringan, konfogurasi
sistem, ataupun kunci ruangan. Cara ini belum tentu berhasil, hanya sedikit
yang berhasil menggunakan metode ini, tetapi paling tidak membantu hacker
dengan metode dasar ini.
2 . Metode
yang kedua adalah menciptakan suasana palsu dimana seseorang menjadi ikut dalam
suasana yang dibuat. Bisa saja hacker membuat alasan mengatasnamakan perusahana
yang menyangkut hal penting bagi pihak lain atau dari perusahaan tersebut,
hacker perlu bekerja lebih extra mencari informasi dan mengumpulkan informasi tentang target. Hal ini berpengaruh
besar terhadap kepercayaan si target kepada hacker, karena fakta lebih bisa diterima oleh siterget.
Contoh
kasus: seseorang berpura-pura sebagai agen tiket yang menelepon salah satu
pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan
siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan
itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa
memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor
pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke
sistem di perusahaan tersebut dengan account target. Cara yang paling ngetrend
sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target
untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse
untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam
file .jpg [5].
3 . Metode
yang berbasis interaksi sosial, maka kita ambil saja contoh dari kisah Master
Social Engineering yang melegenda yaitu Kevin Mitnick, cerita yang dikisahkan
Mitnick sendiri pada sebuah forum online Slasdot.org.
"Pada satu
kesempatan, saya ditantang oleh seorang teman untuk mendapatkan nomor (telepon)
Sprint Foncard-nya. Ia mengatakan akan membelikan makan malam jika saya bisa
mendapatkan nomor itu. Saya tidak akan menolak makan enak, jadi saya berusaha
dengan menghubungi Customer Service dan perpura-pura sebagai seorang dari
bagian teknologi informasi. Saya tanyakan pada petugas yang menjawab apakah ia
mengalami kesulitan pada sitem yang digunakan. Ia bilang tidak, saya tanyakan
sistem yang digunakan untuk mengakses data pelanggan, saya berpura-pura ingin
memverifikasi. Ia menyebutkan nama sistemnya."
“Setelah itu
saya kembali menelepon Costumer Service dan dihubungkan dengan petugas yang
berbeda. Saya bilang bahwa komputer saya rusak dan saya ingin melihat data
seorang pelanggan. Ia mengatakan data itu sudah berjibun pertanyaan. Siapa nama
anda? Anda kerja buat siapa? Alamat anda dimana? Yah, seperti itulah. Karena
saya kurang riset, saya mengarang nama dan tempat saja. Gagal. Ia bilang akan
melaporkan telepon-telepon ini pada keamanan."
“Karena saya
mencatat namanya, saya membawa seorang teman dan memberitahukannya tentang
situasi yang terjadi. Saya meminta teman itu untuk menyamar sebagai 'penyelidik
keamanan' untuk mencatat laporan dari petugas Customer Service dan berbicara
dengan petugas tadi. Sebagai 'penyelidik' ia mengatakan menerima laporan adanya
orang berusaha mendapatkan informasi pribadinya pelanggan. Setelah tanya jawab
soal telepon tadi, 'penyelidik menanyakan apa informasi yang diminta penelepon
tadi. Petugas itu bilang nomor Foncard. 'penyelidik' bertanya, memang berapa
nomornya? Dan petugas itu memberikan nomornya."
4 .
Metode yang berbasis interaksi komputer
seperti teknik
phising melalui e-mail, SMS, dan Pop up windows [6].
D.
SOLUSI DARI
SOSIAL ENGINEERING
Kita sudah menyimak kasus diatas
bahwa penyebab terjadinya sosial engineering salah satunya adalah dari
manusianya sendiri karena kelalaian mereka mengakibatkan masalah terjadi,
bayangkan jika terjadi di perusahaan besar, maka kerugian yang dialami mereka
jika data-data penting hilang. Untuk
menghindari kejadian sosial engineeriag ada beberapa tips sederhana yang dapat
di perhatikan :
1 . Selelu
berhati-hati, jika bertemu dengan hal yang baru, jangan langsung percaya dan
membagi halhal yang menyangkut pribadi yang bersifat privasi perusahahan atau
diri kita sendiri. Kita wajib waspada dengan informasi yang tiba-tiba muncul
begitu saja.
2 . Belajar dari
pengalaman yang sebelumnya, bisa kita lihat info dari buku, internet ataupun
dari televisi mengenai kejahatan.
3 . Organisasi
atau perusahan wajib megeluarkan bukusaku tentang pentingnya mengamankan
informasi yang mudah bagi para karyawan untuk mencegah kejadian kejahatan
ataupun masalah yang tidak diinginkan.
4 . Pelatihan
dan sosialisasi juga penting diterapkan pada karyawan untuk mengelola keamanan
informasi dengan cara yang dimengerti bagi para pegawai.
[1] http://KAMSIS/TheShadowFallen's Life Social Engineering, Sebuah Teknik Menyerang
Sistem Keamanan Komputer.html
[2] http:// KAMSIS/Social engineering (keamanan)
- Wikipedia bahasa Indonesia, ensiklopedia bebas.htm
[3] http:// KAMSIS/Social Engineering -
ChumChumSoft.html
[4] http:// KAMSIS/Social engineering (keamanan)
- Wikipedia bahasa Indonesia, ensiklopedia bebas.htm
[5] http:// KAMSIS/Social engineering (keamanan)
- Wikipedia bahasa Indonesia, ensiklopedia bebas.htm
[6] http:// KAMSIS/Social Engineering -
ChumChumSoft.html
0 komentar:
Posting Komentar