Mengenal Social Engineering

Apa itu Social Engineering, adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu (Wikipedia bahasa Indonesia). 
Social engineering ini memfokuskan diri untuk menyerang pada rantai terlemah sistem jaringan komputer, yaitu manusia. Ada sebuah prinsip yang menarik mengenai hal ini yaitu “the strength of a chain depends on the weakest link” atau yang terjemahan bebasnya adalah “kekuatan sebuah rantai bergantung dari atau terletak pada sambungan yang terlemah.” Jadi, rantai terlemah yang dimaksud dalam hal ini adalah faktor manusia. Di dunia ini, tidak ada sistem komputer yang tidak melibatkan interaksi manusia sama sekali dan setiap orang yang punya akses ke dalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang udah disusun. Seperti metode hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.

Secara garis besar social engineering dapat dilakukan dengan beberapa macam teknik, seperti :

1. Pretexting adalah aksi yang menggunakan sebuah skenario untuk membuat target memberitahu informasi atau melakukan tindakan dan umumnya dilakukan melalui telephone. lebih tepat seperti pembohongan sederhana akan tetapi melibatkan beberapa penelitian atau kumpulan informasi (seperti :tanggal lahir, transaksi terakhir) untuk mendeviasi otak target.

2. Phishing adalah teknik tipuan untuk mendapat informasi pribadi. Umumnya, phiser mengirim email yang tampak seperti perusahaan mapan, bank, atau perusahaan kartu kredit dan meminta verifikasi dan peringatan jika langkah-langkah tersebut tidak diikuti. Biasanya email ini memiliki sebuah link ke halaman situs web tipuan yang tampak seperti perusahaan situs asli, dengan logo perusahaan dan isinya, dan memiliki form yang menanyakan alamat rumah serta nomor pin atm.

3. IVR/Phone Phising, tehnik ini menggunakan Interactive Voice Response (IVR) sistem yang menjiplak mesin penjawab bank atau institusi. Korban dihubungi (biasanya lewat email phishing) untuk menelpon ke “bank” melalui nomor bebas pulsa dan memberikan informasi. Sistem tersebut mereject login beberapa kali untuk memastikan korban memasukan pin secara berulang-ulang, cara ini biasanya untuk mendapatkan beberapa pasword berbeda. Sistem yang lebih canggih akan menyambungkannya pada penyerang yang menyamar sebagai costumer service untuk bertanya, beberapa orang bahkan sampai merekam perintah umum (”tekan satu untuk merubah password, tekan dua untuk berbicara dengan costumer service”…) dan memainkannya secara berulang ulang, hingga membuat IVR tampak seperti Call Center bebas biaya.

4. Trojan Horse/ Gimmes mengambil keuntungan dari keingintahuan korban dengan mengirimkan malware, biasa dikenal sebagai trojan horse, contoh simple dari gimmes adalah “email bervirus” yang memiliki attachment dan menjanjikan apa saja yang wah, dari screen saver seksi, antivirus upgrade atau bahkah gosip terkini. Ketika korban tergoda dan membuka sisipannya yang merupakan tombol untuk mengaktifkannya. dan korban cukup naif untuk mendownload tanpa berfikir, teknik ini cukup efektif dan contoh simple yang mendunia adalah virus i love you. 

5. Road Apple/Baiting adalah variasi lain dari Trojan Horse yang menggunakan media fisik dan membuat rasa ingin tahu yang sangat besar. Dalam serangan road apple, penyerang meninggalkan malware dalam sebuah disket, cd atau flashdisk di lokasi yang sangat mungkin ditemukan (kamar mandi, lift, jalanan, dan tempat parkir) dengan memberikan label yang sangat membangkitkan rasa ingin tahu, dan setelah itu tinggal menunggu. Sebagai contoh, penyerang menciptakan sebuah cd dengan logo perusahaan, dan memberikan label “gaji pegawai eksekutif tahun 2015″ didepannya. Kemudian penyerang meninggalkan cd itu di lantai sebuah lift atau di lobby perusahaan target. Salah satu pegawai sangat mungkin menemukannya dan kemudian membukanya untuk memuaskan rasa ingin tahunya. Dalam kasus ini pegawai tersebut akan memasukan cd untuk melihat isinya secara otomatis menginstal malware ke dalam komputer, yang memberikan penyerang akses ke dalam komputer korban, atau bahkan ke dalam jaringan perusahaan, kecuali terdapat kontrol lain yang dapat memblok infeksi tersebut. PC dengan sistem autorun akan menjadi sasaran empuk ketika sebuah cd dimasukan.

6. Quid Pro Quo, attacker menelpon nomor secara acak mengaku dari sebuah perusahaan yang menelpon untuk masalah teknis. Ketika mereka mendapatkan korban dengan masalah yang serius, mereka akan menelpon kembali dan penyerang akan “menolong” memecahkan masalahnya dengan memerintahkan korban mengetikan kode perintah yang dapet memberikan akses atau mengaktifkan malware.

Setelah kita mengetahui seperti apa Social Engineering itu bekerja, tentu ada solusi agar kita bisa mempersiapkan diri atau waspada dari Social Engneering tersebut agar tidak menjadi korban.
Berikut beberapa saran agar terhindar dari kasus atau menjadi korban dari Social Engeneering.

1. Selalu berhati-hati dan waspada dalam berinteraksi dalam dunia maya. Khususnya dalam ber sosial media. Diusahakan informasi pribadi jangan di umbar-umbar seperti tanggal lahir dan lokasi pendidikan kita atau alamat. Karena itu bersifat sensitif. informasi tersebut bisa di olah oleh orang tidak bertanggung jawab apabila melihat dan mendapatkan informasi kita tersebut.

2. Dalam Penggunaan Email :
a. Ingat!!! Selalu Sign out atau keluar begitu anda selesai menggunakan email di tempat umum seperti
    warnet. 
b. Jangan membuka email dari orang yang tidak dikenal yang mengirim email dengan lampiran (attachment) 
   dengan format *.exe, *.zip maupun lainnya. Karena kemungkinan besar itu adalah virus yang dapat 
   membahayakan komputer anda.
c. Jangan mengirimkan email penting berupa nomor PIN, nomor kartu kredit, maupun informasi penting
   lainnya kepada orang yang tak dikenal.

3. Dalam penggunaan password, di usahakan jangan ada sangkut paut nya dengan identitas diri kita. Karena hal tersebut sangatlah sensitif. Buatlah password yang unik dan tidak mudah di tebak oleh siapapun. kombinasi karakter di password sangat di anjurkan. dan hindari password yang menginputkan tanggal lahir, nama panggilan, dan bersifat sensitif lainnya. Usahakan pula mengganti password baru dalam beberapa jangka waktu ke depan demi keamanan

4. Selalu jaga emosi dalam hal pembicaraan dengan orang lain walaupun itu orang terdekat sekalipun. Karena emosi kita dapat menjadi pancingan pelaku dalam melakukan aksinya.

5. Selalu menjaga barang-barang yang berisi informasi-informasi penting khususnya handphone. Berilah security pada handphone tersebut baik secara sistem ataupun per aplikasi yang berisi informasi sensitif. Karena kita tidak tahu bila handphone itu tidak bersama kita atau hilang.

Disadur dari berbagai sumber.

Comments