Social engineering adalah
faktor manusia (human factor) yang menyebabkan kebobolan pada sistem dan
network dari suatu perusahaan. Perusahaan yang sudah memiliki proses
autentikasi, firewall, virtual private network, atau bahkan software network
monitoring yang paling canggih sekalipun masih rentan terhadap serangan yang
menggunakan metode ini. Seorang karyawan mungkin saja memberikan informasi
rahasia perusahaan tanpa menyadarinya. Entah mungkin melalui e-mail, telepon,
atau dengan orang yang belum dikenal sekalipun. Hal ini umumnya terjadi karena
manusia mempunyai sifat sosial yang tinggi dan cenderung suka berinteraksi
dengan orang lain. Di samping itu juga orang seringkali salah menafsirkan
seseorang dengan hanya mengira-ngira berdasarkan ciri-ciri fisik saja.Misalkan
saja, kita akan spontan membantu membukakan pintu apabila ada orang yang datang
mengangkut beberapa boks berukuran besar, karena mengira orang tersebut adalah
seorang kurir yang sedang mengantarkan barang.
Seringkali orang secara tidak sadar membocorkan informasi penting yang dapat digunakan oleh cracker untuk melakukan pembobolan terhadap suatu sistem komputer. Seorang cracker yang sudah terlatih dan menguasai teknik social engineering dapat mengumpulkan data yang cukup lengkap dari korbannya hanya melalui percakapan, tanpa disadari korbannya bahwa dia sedang diinterogasi. Beberapa perusahaan yang sudah memiliki website sekalipun terkadang tanpa ragu-ragu mempublikasikan data pribadi karyawan atau bahkan pemilik perusahaan tersebut, seperti data jabatan, nomor telepon, alamatemail, atau bahkan alamat tempat tinggalnya.
Seorang cracker yang sedang mengincar untuk membobol suatu perusahaan bahkan dapat memanfaatkan informasi yang secara tidak sadar dibocorkan sendiri oleh perusahaan yang bersangkutan pada saat memasang iklan lowongan kerja di media massa, dengan mempublikasikan sistem yang harus dikuasai oleh pelamar kerja yang bersangkutan (contohnya UNIX,WINDOWS 2000, ORACLE, SQL, dll). Perpaduan Seni dan Keahlian Social engineering adalah paduan antara seni dan keahlian (art & science) untuk mempengaruhi seseorang agar menuruti segala permintaan cracker. Social engineering bukan merupakan salah satu bentuk hipnotis atau kontrol pikiran, di mana korbannya diminta untuk melakukan halhal di luar kebiasaan normal. Dua terminologi penting yang mendefinisikan
social engineering adalah:
- Social engineering merupakan salah satu trik yang digunakan oleh cracker untuk mengumpulkan informasi
dari seseorang. Bukan
membobol suatu sistem.
- Subversi Psychology adalah bentuk yang digunakan pada social engineering yang secara jangka panjang berusaha untuk menjaga secara kontinu alur informasi dan bantuan dari user.
Social engineering menekankan penyerangan pada sambungan yang paling lemah pada rantai keamanan komputer. Manusia pada umumnya adalah titik lemah pada sambungan tersebut. Usaha untuk mempengaruhi seseorang agar mau diminta untuk menyelesaikan suatu tugas tertentu dapat dilakukan dengan beberapa cara. Cara pertama yang paling mudah dan jelas adalah dengan melalui permintaan secara langsung, dimana seseorang diminta secara langsung untuk menjalankan serangkaian tugas tertentu. Cara tersebut umumnya mudah diketahui atau disadari oleh korbannya, namun merupakan salah satu cara yang paling mudah dilakukan. Cara kedua adalah dengan menciptakan suatu kondisi di mana target dibuat ikut serta. Pada cara kedua ini, cracker membuat alasan yang lebih sesuai daripada alasan personal yang digunakan pada cara pertama. Cara kedua ini lebih sulit untuk dilakukan, namun keuntungannya, dengan cara ini kita dapat mengumpulkan informasi yang lebih lengkap.
Social engineering dapat dibagi menjadi dua tipe :
1. Social engineering yang didasarkan pada sisi manusianya (human based social engineering)
2. Social engineering yang didasarkan pada sisi teknis atau komputernya (computer based social engineering)
Human based social engineering melibatkan interaksi antara manusia yang satu dengan yang lainnya.
Sementara computer based social engineering bergantung pada software yang digunakan untuk mengumpulkan data atau informasi yang diperlukan.
Gartner Research mencatat bahwa ada enam sifat manusia yang dapat dimanfaatkan untuk melakukan proses social engineering:
- Reciprocation (Timbal Balik)
Contoh: Kita cenderung untuk membeli suatu produk tertentu setelah diberikan sample gratis sebelumnya.
- Consistency (Konsistensi)
Contoh: Pada saat kita sedang mengajukan suatu pertanyaan dan menunggu beberapa saat, orang yang ada di sekitar kita akan berusaha untuk mengutarakan suatu komentar atau berusaha untuk menjawab.
- Social Validation (Validasi Sosial)
Contoh: Umumnya kita cenderung untuk mengikuti apa yang dilakukan oleh orang lain.
Liking (Kesukaan)
Contoh: Kita cenderung untuk mengatakan “ya” atau “setuju” kepada orangorang yang dekat dengan kita atau pada orang yang kita suka.
- Authority (Kekuasaan)
Contoh: Kita cenderung untuk mengikuti atau menuruti anjuran atau saran dari orang yang memiliki
- Subversi Psychology adalah bentuk yang digunakan pada social engineering yang secara jangka panjang berusaha untuk menjaga secara kontinu alur informasi dan bantuan dari user.
Social engineering menekankan penyerangan pada sambungan yang paling lemah pada rantai keamanan komputer. Manusia pada umumnya adalah titik lemah pada sambungan tersebut. Usaha untuk mempengaruhi seseorang agar mau diminta untuk menyelesaikan suatu tugas tertentu dapat dilakukan dengan beberapa cara. Cara pertama yang paling mudah dan jelas adalah dengan melalui permintaan secara langsung, dimana seseorang diminta secara langsung untuk menjalankan serangkaian tugas tertentu. Cara tersebut umumnya mudah diketahui atau disadari oleh korbannya, namun merupakan salah satu cara yang paling mudah dilakukan. Cara kedua adalah dengan menciptakan suatu kondisi di mana target dibuat ikut serta. Pada cara kedua ini, cracker membuat alasan yang lebih sesuai daripada alasan personal yang digunakan pada cara pertama. Cara kedua ini lebih sulit untuk dilakukan, namun keuntungannya, dengan cara ini kita dapat mengumpulkan informasi yang lebih lengkap.
Social engineering dapat dibagi menjadi dua tipe :
1. Social engineering yang didasarkan pada sisi manusianya (human based social engineering)
2. Social engineering yang didasarkan pada sisi teknis atau komputernya (computer based social engineering)
Human based social engineering melibatkan interaksi antara manusia yang satu dengan yang lainnya.
Sementara computer based social engineering bergantung pada software yang digunakan untuk mengumpulkan data atau informasi yang diperlukan.
Gartner Research mencatat bahwa ada enam sifat manusia yang dapat dimanfaatkan untuk melakukan proses social engineering:
- Reciprocation (Timbal Balik)
Contoh: Kita cenderung untuk membeli suatu produk tertentu setelah diberikan sample gratis sebelumnya.
- Consistency (Konsistensi)
Contoh: Pada saat kita sedang mengajukan suatu pertanyaan dan menunggu beberapa saat, orang yang ada di sekitar kita akan berusaha untuk mengutarakan suatu komentar atau berusaha untuk menjawab.
- Social Validation (Validasi Sosial)
Contoh: Umumnya kita cenderung untuk mengikuti apa yang dilakukan oleh orang lain.
Liking (Kesukaan)
Contoh: Kita cenderung untuk mengatakan “ya” atau “setuju” kepada orangorang yang dekat dengan kita atau pada orang yang kita suka.
- Authority (Kekuasaan)
Contoh: Kita cenderung untuk mengikuti atau menuruti anjuran atau saran dari orang yang memiliki
kedudukan atau posisi yang
cukup tinggi.
- Scarcity (Kelangkaan)
Contoh: Kita cenderung lebih menghargai sesuatu atau menjadi lebih menginginkan sesuatu yang jarang ada atau langka di pasaran.
Human based social engineering dapat dikategorikan menjadi lima jenis :
- Impersonation (Pemalsuan)
Contoh: Cracker menyamar sebagai salah seorang karyawan dari suatu perusahaan, petugas kebersihan,
- Scarcity (Kelangkaan)
Contoh: Kita cenderung lebih menghargai sesuatu atau menjadi lebih menginginkan sesuatu yang jarang ada atau langka di pasaran.
Human based social engineering dapat dikategorikan menjadi lima jenis :
- Impersonation (Pemalsuan)
Contoh: Cracker menyamar sebagai salah seorang karyawan dari suatu perusahaan, petugas kebersihan,
kurir pengantar barang, dan
sebagainya.
- Important User (Menyamar sebagai orang penting)
- Important User (Menyamar sebagai orang penting)
Contoh: Cracker menyamar sebagai seorang yang
memiliki kedudukan tinggi di perusahaan dan kemudian
berusaha untuk
meng-intimidasi karyawan atau bawahannya untuk mengumpulkan informasi dari
mereka.
- Third Party Authorization (Pemalsuan otorisasi)
- Third Party Authorization (Pemalsuan otorisasi)
Contoh: Cracker berusaha meyakinkan target
atau korbannya untuk memberikan informasi yang
diperlukan dengan mengatakan
bahwa ia telah diberi otorisasi penuh oleh seseorang untuk menanyakan hal tersebut.
- Technical Support (Menyamar sebagai bagian technical support)
- Technical Support (Menyamar sebagai bagian technical support)
Contoh: Cracker menyamar sebagai salah satu
dari tim teknisi dan berusaha mengumpulkan informasi dari
korbannya.
- In Person (Mendatangi langsung ke tempat korban)
- In Person (Mendatangi langsung ke tempat korban)
Contoh: Cracker mendatangi langsung tempat
atau lokasi korbannya untuk mengumpulkan informasi dari
lokasi di sekitar
tempat korbannya, antara lain dengan menyamar sebagai petugas kebersihan dan
mencari
atau mengumpulkan data/informasi dari tempat sampah yang ada di tempat
korban (dumpsterdiving), atau
berusaha melihat sekeliling pada saat user
sedang mengetikkan password di komputernya (shoulder
surfing).
Beberapa aturan yang dapat mencegah atau setidaknya mengurangi akibat atau kerusakan yang dapat terjadi pada human based social engineering adalah:
- Semua pengunjung yang bukan karyawan internal dari perusahaan harus selalu dikawal selama berada di dalam perusahaan.
- Segera laporkan apabila secara tibatiba perusahaan Anda kedatangan tamu yang mengaku sebagai petugas kebersihan, atau siapa saja yang datang tanpa ada pemberitahuan terlebih dahulu. Periksa dengan teliti identitas mereka.
- Kunci selalu ruangan tempat penyimpanan data atau peralatan penting, seperti server, pabx, ruang filing, dan sebagainya.
- Buat daftar inventaris dari semua barang yang ada di dalam perusahaan. Lakukan pemeriksaan dan laporkan setiap kehilangan barang yang terjadi.
Computer based social engineering dapat dikategorikan menjadi empat jenis:
- Mail/IM (Instant Messenger Attachment)
Setiap karyawan umumnya sering atau setidaknya pernah menggunakan software e-mail atau instant messenger (chatting). Melalui fasilitas semacam itu seorang cracker dapat dengan mudah mengirimkan suatu file attachment berisi trojan, virus atau worm dengan tujuan untuk mengumpulkan data atau informasi dari komputer korban.
- Pop-Up Windows
Cracker dapat membuat suatu software untuk menipu user agar memasukkan username dan password miliknya dengan menggunakan pop-up window pada saat
user sedang menggunakan komputer.
- Websites
Cracker dapat membuat suatu website tipuan untuk menarik user agar memasukkan alamat e-mail dan password pada saat mendaftar (register) untuk memperoleh
hadiah, misalnya. Biasanya password yang digunakan oleh kebanyakan user adalah sama dengan password yang digunakan di PC kantor.
- Spam Email
Cracker dapat mengirimkan e-mail berisi attachment yang mengandung virus atau trojan. Virus atau trojan ini dapat dimanfaatkan untuk mengumpulkan informasi
yang terdapat di komputer user (korban).
Reverse Social Engineering
Beberapa aturan yang dapat mencegah atau setidaknya mengurangi akibat atau kerusakan yang dapat terjadi pada human based social engineering adalah:
- Semua pengunjung yang bukan karyawan internal dari perusahaan harus selalu dikawal selama berada di dalam perusahaan.
- Segera laporkan apabila secara tibatiba perusahaan Anda kedatangan tamu yang mengaku sebagai petugas kebersihan, atau siapa saja yang datang tanpa ada pemberitahuan terlebih dahulu. Periksa dengan teliti identitas mereka.
- Kunci selalu ruangan tempat penyimpanan data atau peralatan penting, seperti server, pabx, ruang filing, dan sebagainya.
- Buat daftar inventaris dari semua barang yang ada di dalam perusahaan. Lakukan pemeriksaan dan laporkan setiap kehilangan barang yang terjadi.
Computer based social engineering dapat dikategorikan menjadi empat jenis:
- Mail/IM (Instant Messenger Attachment)
Setiap karyawan umumnya sering atau setidaknya pernah menggunakan software e-mail atau instant messenger (chatting). Melalui fasilitas semacam itu seorang cracker dapat dengan mudah mengirimkan suatu file attachment berisi trojan, virus atau worm dengan tujuan untuk mengumpulkan data atau informasi dari komputer korban.
- Pop-Up Windows
Cracker dapat membuat suatu software untuk menipu user agar memasukkan username dan password miliknya dengan menggunakan pop-up window pada saat
user sedang menggunakan komputer.
- Websites
Cracker dapat membuat suatu website tipuan untuk menarik user agar memasukkan alamat e-mail dan password pada saat mendaftar (register) untuk memperoleh
hadiah, misalnya. Biasanya password yang digunakan oleh kebanyakan user adalah sama dengan password yang digunakan di PC kantor.
- Spam Email
Cracker dapat mengirimkan e-mail berisi attachment yang mengandung virus atau trojan. Virus atau trojan ini dapat dimanfaatkan untuk mengumpulkan informasi
yang terdapat di komputer user (korban).
Reverse Social Engineering
Reverse social engineering merupakan suatu
bentuk social engineering tingkat tinggi.Proses yang dilakukan merupakan
kebalikan dari social engineering biasa. Pada reverse social engineering
cracker berusaha menciptakan suatu situasi sedemikian rupa sehingga target atau
korban akan berusaha untuk menghubunginya untuk meminta bantuan, bukan
sebaliknya. Contoh kasus, seorang cracker mengirimkan suatu virus kepada target
korbannya sehingga komputer korban rusak terinfeksi oleh virus. Pada tahap ini,
korban akan berusaha untuk mencari bantuan dan sang cracker menyamar sebagai
seorang dari tim support yang berusaha memberikan bantuan. Target kemudian
secara tidak sadar akan mengikuti semua perintah atau petunjuk dari cracker
yang akan memudahkan cracker tersebut mengumpulkan informasi.
Sumber : Majalah CHIP
Tidak ada komentar:
Posting Komentar