Social engineering (Keamanan)
Social engineering adalah pemerolehan Informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau Internet.
Social engineering merupakan salah satu metode yang digunakan oleh
hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta
informasi itu langsung kepada korban atau pihak lain yang mempunyai
informasi itu.
Social engineering mengkonsentrasikan diri pada rantai terlemah
sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada
sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya
lagi, celah keamanan ini bersifat universal, tidak tergantung platform,
sistem operasi, protokol, Software ataupun Hardware.
Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor
manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik
adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam
kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain,
social engineering juga memerlukan persiapan, bahkan sebagian besar
pekerjaan meliputi persiapan itu sendiri.
Faktor utama
Di balik semua sistem keaman dan prosedur-prosedur pengamanan yang
ada masih terdapat faktor lain yang sangat penting, yaitu : manusia.
Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan.
Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika
ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya
pada sebuah jaingan yang cukup kompleks terdapat banyak user yang kurang
mengerti masalah keamanan atau tidak cukup peduli tentang hal itu.
Ambil contoh di sebuah perusahaan, seorang network admin sudah
menerapkan kebijakan keamanan dengan baik, namun ada user yang
mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan
password yang mudah ditebak, lupa logout ketika pulang kerja, atau
dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau
bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang
memanfaatkan celah tersebut dan mencuri atau merusak datadata penting
perusahaan. Membuang sampah yang bagi kita tidak berguna, dapat
dijadikan orang yang berkepentingan lain. Misal: slip gaji, slip atm.
Barang tersebut kita buang karena tidak kita perlukan, namun ada
informasi didalamnya yang bisa dimanfaatkan orang lain.
Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai
pihak yang berkepentingan dan meminta akses kepada salah satu user yang
ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.
Metode
Metode pertama adalah metode yang paling dasar dalam social
engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu,
penyerang tinggal meminta apa yang diinginkannya: password, akses ke
jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang
cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam
menyelesaikan tugas penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang
menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang
menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu,
misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari
informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi
tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu
berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta
lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket
yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa
tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan
dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan
data dengan target. Tentu saja target tidak merasa memesan tiket, dan
penyerang tetap perlu mencocokkan nama, serta nomor pegawainya.
Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke
sistem di perusahaan tersebut dengan account target. Contoh lain, bisa
berpura-pura sedang mengadakan survei hardware dari vendor tertentu,
dari sini bisa diperoleh informasi tentang peta jaringan, router,
firewall atau komponen jaringan lainnya.
Cara yang populer sekarang adalah melalui e-mail, dengan mengirim
e-mail yang meminta target untuk membuka attachment yang tentunya bisa
kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya.
Kita juga bisa sisipkan worm bahkan dalam yang terkesan “tak
berdosa” sekalipun.
Cara-cara tersebut biasanya melibatkan faktor personal dari target:
kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang
target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan
sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa
dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia
dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa bahwa
dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah
kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk
membujuk target secara sukarela membantu kita, tidak dengan memaksanya.
Selanjutnya kita bisa menuntun target melakukan apa yang kita mau,
target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut.
Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita
dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik
semakin baik. kopral garenx seorang penguasa hacker.
Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah
memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum
permintaan inti cobalah untuk meminta target melakukan hal-hal kecil
terlebih dahulu.
Contoh Sosial Enginnering
PAK CS : Halo, selamat pagi. Bisa bicara dengan Bapak Alfi?
Alfi : Iya, saya sendiri. Ada yang bisa saya bantu?
PAK CS : Bapak Alfi, kami dari card center Bank Kaya Raya Sejahtera
ingin melakukan survei mengenai kartu kredit bapak sebab kami akan
melakukan kenaikan limit untuk kartu kredit yang bapak miliki saat ini.
(Modus tersebut bisa juga berupa perubahan sistem bank, menawarkan
bonus/hadiah, mendata ulang customer, memastikan transaksi yang
dilakukan sebelumnya, meng-upgrade kartu menjadi Gold/Platinum).
Alfi : O, iya silahkan.
PAK CS : Tagihan Bapak Alfi dialamatkan kemana?
Alfi : Jl. Kesasar Gang Buntu No.13 Malang sekali.
PAK CS : Alamat tinggal Bapak Alfi saat ini?
Alfi : Jl. Uranium Niklir no.911
PAK CS : Tanggal lahir bapak?
Alfi : 17 Agustus 1945.
PAK CS : Maaf Pak, nama ibu kandungnya?
Alfi : Emak Guwe
PAK CS : Tolong sebutkan 16 digit nomor kartu kredit bapak.
Alfi : Tunggu sebentar ya, saya ambil dulu dari dompet.
PAK CS : Silahkan.
Alfi : Halo, ini nomornya: 1234 5678 9012 3456.
PAK CS : Tolong sebutkan 3 angka terakhir di belakang kartu Anda.
Budi : Kalo yang di belakang, 212.
PAK CS: Kartu kredit bapak berlaku sampai kapan?
Alfi : Desember 2015
PAK CS : Baik Pak Alfi, data Anda sudah cukup. Kartu kredit bapak akan segera kami proses. Terima kasih atas waktunya.
Alfi : Sama-sama.
Sepintas percakapan ini biasa saja dan tak ada yang mencurigakan.
Itulah teknik social engineering untuk melakukan fraud/penyalahgunaan
kartu kredit. Akibatnya, data kartu kredit Pak Alfi dimiliki orang lain.
Saat billing tagihan datang di bulan berikutnya, ada transaksi yang
besar. Padahal Pak Alfi tidak pernah melakukan transaksi itu. Dari
percakapan telpon, limit Pak Alfi juga tidak naik. Baru Pak Alfi sadar
akan kelalaiannya. Dari penjelasan ini, ternyata melakukan aktivitas
carding bisa dilakukan dengan mudah tanpa alat, hanya dengan modal nekat
yaitu dengan teknik social engineering.
Tidak ada komentar:
Posting Komentar