Latar belakang Munculnya Sosial
Engineering.
Kebutuhan akan pentingnya informasi tidak dapat kita pungkiri, apalagi di
zaman yang sudah berbasis internet dan teknologi seperti sekarang ini. Hadirnya
internet dan berkembangnya teknologi informasi cendrung membuat orang mudah
untuk mendapatkan dan menyimpan informasi tersebut, Naman dibalik keuntungan
dari perkembangan zaman tersebut, ada factor keamanan yang sulit untuk kita
hindari yaitu manusia, seperi yang di jelaskan dala Wikipedia tentang social
engineering,bahwa rantai terlemah sistem jaringan computer ada pada manusia.
Seperti kita
tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan
parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung
platform, sistem operasi, protokol, software
ataupun hardware,
artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia.
Sehingga manusia tidak hanya sebagai pengendali namun sekaligus pembobol
pertahanan system tersebut.
Semakin
hausnya orang akan sebuah informasi maka semakin gencar orang tersebut untuk
mendapatkan informasi tersebut, semakin penting informasi tersebut semakin
tinggilah keamanan dan pertahanan sistem penyimpanan informasinya, namun
semakin tinggi keamanan maka semakin tinggi resiko pembobolannya, munculnya individu-individu yang tidak
bertanggung jawab yang mengincar informasi yang bersifat pribadi serta rahasia
targetnya,media yang mereka gunakan biasa melalui internet atau telepon untuk
kepentingan pribadi. Dalam dunia teknologi dan informasi hal ini
cukup sangat mengkhawatirkan. Palagi teknologi dan informasi sudah menjadi
bagian hidup yang penting dan tidak dapat di pisahkan dari manusia.
“Apa itu social Engineering ??”
Social
engineering adalah metode pemerolehan informasi
biasanya informasi yang bersifat rahasia/sensitif dengan cara menipu pemilik
informasi yang umumnya umumnya dilakukan melalui telepon
atau Internet.
Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk
memperoleh informasi tentang targetnya, dengan cara membobol keamanan informasi
dari akun korban sehingga mendapatkan
data ,korban yang nantinya akan dia gunakan untuk kepentingan pribadi.
Social Engineering banyak definisi,
yaitu
·
seni memanipulasi orang untuk melakukan hal yang
diinginkan
·
teknik
psikologis yang digunakan hacker untuk memperoleh informasi yang dapat
dipergunakan untuk mengakses sistem computer
·
memperoleh
informasi (password misalnya) dari seseorang ketimbang melakukan usaha
pembobolan sistem
Setiap orang
yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika
orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun.
Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan
serta tahapan sehingga mendapatan data korban atau nformasinya, bahkan sebagian
besar pekerjaan meliputi persiapan itu sendiri yang intinya untuk mengumpulkan
data- data si korban tadi.
Tipe
Social Engineering
Pada dasarnya teknik social
engineering dapat dibagi menjadi dua jenis, yaitu:
·
Berbasis
interaksi sosial
·
Berbasis
interaksi komputer.
Perlu
diketahui bahwa teknik social engineering yang biasa dipergunakan oleh
kriminal, musuh, penjahat, penipu,adalah mereka yang memiliki intensi tidak baik namun
mampu berkomunikasi dengan baik dan mempengaruhi orang,
perawakannya yang pandai menyakinkan si korban, sehingga korban bisa trepedaya
olehnya. Dalam skenario ini yang menjadi sasaran penipuan adalah individu yang
bekerja di divisi teknologi informasi perusahaan. Biasanya modus operandinya
sama, yaitu melalui medium telepon atau social meda lainnya.
Faktor utama
Di balik semua sistem keaman dan prosedur-prosedur
pengamanan yang ada masih terdapat faktor lain yang sangat penting,
yaitu : manusia dalam aspek keamanan. Sebuah sistem keamanan yang baik,
akan menjadi tidak berguna jika ditangani oleh administrator yang kurang
kompeten. Selain itu, biasanya pada sebuah jaingan yang cukup kompleks terdapat
banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli
tentang hal itu.
Dicontohkan pada sebuah perusahaan, seorang network admin
sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang
mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password
yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya
memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya.
Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan
mencuri atau merusak datadata penting perusahaan.
Membuang sampah yang bagi kita tidak berguna, dapat
dijadikan orang yang berkepentingan lain. Misal: slip gaji, slip atm. Barang
tersebut kita buang karena tidak kita perlukan, namun ada informasi didalamnya
yang bisa dimanfaatkan orang lain. Atau pada kasus di atas, seorang penyerang
bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada
salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social
Engineering.
Metode pertama
adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan
tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang
diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem,
atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat
membantu dalam menyelesaikan tugas penyerang.
Cara kedua
adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari
situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan
pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja
lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga
harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita
tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala
fakta-fakta lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang
menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya
telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi
target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja
target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama,
serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal
untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh
lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu,
dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau
komponen jaringan lainnya.
Cara yang
populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta
target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan
horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan
dalam file .jpg yang terkesan “tak berdosa” sekalipun.
Cara-cara
tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung
jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan
tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama
sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang
berpura-pura akan membuat dia dipuji atau mendapat kedudukan ynag lebih baik.
Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu
memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan
untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya.
Selanjutnya
kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa
dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia
membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu
dan tenaganya. Semakin sedikit konflik semakin baik. kopral garenx seorang
penguasa hacker.
Riset
psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan
jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk
meminta target melakukan hal-hal kecil terlebih dahulu.
Tujuan dari social engineering bisa dipastikan adalah
untuk memperoleh informasi yang memungkinkan seorang hacker untuk
mengakses sistem komputer dan mengakses informasi yang tersimpan di dalam
sistem komputer tersebut. Yang menjadi masalah, bagaimana informasi yang dicuri
tadi dipergunakan
TARGET DAN SASARAN
Tujuan
dasar social engineering sama seperti umumnya hacking mendapatkan akses tidak
resmi pada sistem atau informasi untuk melakukan penipuan, instruksi jaringan,
mata-mata industrial, pencurian identitas, atau secara sederhana untuk
mengganggu sistem atau jaringan.
Target-target
tipikal termasuk perusahaan telepon dan jasa-jasa pemberian jawaban, perusahaan
dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan
rumah sakit. Boom internet memiliki andil dalam serangan-serangan rekayasa
industri sejak awal, namun umumnya serangan terfokus pada entitas-entitas yang
lebih besar.
FAKTOR YANG MEMPENGARUHI
Predikat negara berkembang membuat metode rekayasa sosial
ini mudah dan terasa tepat diaplikasikan ke masyarakat dikarenakan mulai
terbukanya segala akses informasi bagi sebagian masyarakat dan disisi lain
kurangnya pengetahuan masyarakat akan hal tersebut sehingga mudahnya
dalam memberikan informasi kepada orang lain untuk disalah gunakan.
Jumlah masyarakat yang melimpah dengan pendidikan yang
belum merata dan masih banyaknya masyarakat di pelosok menjadi korban dari
rekayasa sosial ini seperti masuknya sebuah budaya asing yang merubah kebiasan
baik menjadi hal lain yang nantinya akan memberikan dampak negatif bahkan
menghilangkan tata budaya dan perkerti masyarakat tsb.
Dengan banyaknya pengguna alat telekomunikasi dan kemudahan
untuk mendapatkannya, menjadikan celah terbesar untuk melakukan rekayasa sosial
seperti penipuan melalui sms, media jejaring sosial, konten web, email,dll.
Dikarenakan masuknya sifat budaya asing seperti ingin pamer atau unjuk diri
dengan bangga mencantumkan biodata asli yang dapat disalahgunakan oleh orang
lain yang melihatnya.
Minimnya penyerapan informasi masyarakat terhadap dampak
rekayasa sosial yang membuat mereka sering terkena dampak negatif nya seperti
seringnya kasus penipuan via Website yang mengatasnamakan program pemerintah
yang pada faktanya tidak melibatkan aparat.
Solusi Untuk Menghindari Resiko
Setelah
mengetahui isu social engineering di atas, timbul pertanyaan mengenai bagaimana
cara menghindarinya. Berdasarkan
sejumlah pengalaman, berikut adalah hal-hal yang biasa disarankan kepada mereka yang merupakan
pemangku kepentingan aset-aset informasi penting perusahaan, yaitu:
·
Selalu
hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku
“ekstra hati-hati” diterapkan di sini mengingat
informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan;
·
Organisasi
atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi
yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi
insiden-insiden yang tidak diinginkan;
·
Belajar
dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar
terhindar dari berbagai penipuan dengan menggunakan modus social engineering;
·
Pelatihan
dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai
pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat;
·
Memasukkan
unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari –
misalnya “clear table and monitor policy” - untuk memastikan semua pegawai
melaksanakannya; dan lain sebagainya.
Selain
usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan
perlu pula melakukan sejumlah usaha, seperti:
·
Melakukan
analisa kerawanan sistem keamanan informasi yang ada di perusahaannya seperti mencoba melakukan uji coba ketangguhan
keamanan dengan cara melakukan “penetration test”;
·
Menjalin
kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi,
institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan
berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli
pada keamanan informasi;
·
Membuat
standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan
nilainya;
·
Melakukan
audit secara berkala dan berkesinambungan terhadap infrastruktur dan
suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain
sebagainya.
SUMBER
:
Tidak ada komentar:
Posting Komentar