Kebutuhan akan pentingnya informasi tidak dapat kita
pungkiri, apalagi di zaman yang sudah berbasis internet dan teknologi seperti
sekarang ini. Hadirnya internet dan berkembangnya teknologi informasi cendrung
membuat orang mudah untuk mendapatkan dan menyimpan informasi tersebut, Naman
dibalik keuntungan dari perkembangan zaman tersebut, ada factor keamanan yang
sulit untuk kita hindari yaitu manusia, seperi yang di jelaskan dala Wikipedia
tentang social engineering,bahwarantai terlemah sistem jaringan computer ada
pada manusia.
Seperti kita tahu, tidak ada sistem komputer yang tidak
melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat
universal, tidak tergantung platform, sistem operasi, protokol, software atau pun hardware,
artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia.
Sehingga manusia tidak hanya sebagai pengendali namun sekaligus pembobol
pertahanan system tersebut.
Semakin hausnya orang akan sebuah informasi maka semakin
gencar orang tersebut untuk mendapatkan informasi tersebut, semakin penting
informasi tersebut semakin tinggilah keamanan dan pertahanan sistem penyimpanan
informasinya, namun semakin tinggi keamanan maka semakin tinggi resiko
pembobolannya, munculnya individu-individu yang tidak bertanggung jawab
yang mengincar informasi yang bersifat pribadi serta rahasia targetnya,media
yang mereka gunakan biasa melalui internet atau telepon untuk kepentingan
pribadi. Dalam dunia teknologi dan informasi hal ini cukup sangat
mengkhawatirkan. Palagi teknologi dan informasi sudah menjadi bagian hidup yang
penting dan tidak dapat di pisahkan dari manusia.
“Apa itu social Engineering ??”
Social engineering adalah metode pemerolehan informasi biasanya
informasi yang bersifat rahasia/sensitif dengan cara menipu pemilik informasi
yang umumnya umumnya dilakukan melalui telepon atau Internet.
Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk
memperoleh informasi tentang targetnya, dengan cara membobol keamanan informasi
dari akun korban sehingga mendapatkan data ,korban yang nantinya
akan dia gunakan untuk kepentingan pribadi.
Social Engineering banyak definisi, yaitu
- seni memanipulasi orang untuk melakukan hal yang diinginkan
- teknik psikologis yang digunakan hacker untuk memperoleh informasi yang dapat dipergunakan untuk mengakses sistem computer
- memperoleh informasi (password misalnya) dari seseorang ketimbang melakukan usaha pembobolan sistem
Setiap orang yang mempunyai akses kedalam sistem secara
fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan
kemanan yang telah disusun. Seperti metoda hacking yang lain, social
engineering juga memerlukan persiapan serta tahapan sehingga mendapatan data
korban atau nformasinya, bahkan sebagian besar pekerjaan meliputi persiapan itu
sendiri yang intinya untuk mengumpulkan data- data si korban tadi.
Tipe Social Engineering
Pada dasarnya teknik social engineering dapat dibagi menjadi
dua jenis, yaitu:
- Berbasis interaksi sosial
- Berbasis interaksi komputer.
Perlu diketahui bahwa teknik social engineering yang biasa
dipergunakan oleh kriminal, musuh, penjahat, penipu,adalah mereka
yang memiliki intensi tidak baik namun mampu berkomunikasi dengan
baik dan mempengaruhi orang, perawakannya yang pandai menyakinkan si korban,
sehingga korban bisa trepedaya olehnya. Dalam skenario ini yang menjadi sasaran
penipuan adalah individu yang bekerja di divisi teknologi informasi perusahaan.
Biasanya modus operandinya sama, yaitu melalui medium telepon atau social meda
lainnya.
Faktor utama
Di balik semua sistem keaman dan prosedur-prosedur
pengamanan yang ada masih terdapat faktor lain yang sangat penting,
yaitu : manusia dalam aspek keamanan. Sebuah sistem keamanan yang baik,
akan menjadi tidak berguna jika ditangani oleh administrator yang kurang
kompeten. Selain itu, biasanya pada sebuah jaingan yang cukup kompleks terdapat
banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli
tentang hal itu.
Dicontohkan pada sebuah perusahaan, seorang network admin
sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang
mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password
yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan
akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini
dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri
atau merusak datadata penting perusahaan.
Membuang sampah yang bagi kita tidak berguna, dapat dijadikan
orang yang berkepentingan lain. Misal: slip gaji, slip atm. Barang tersebut
kita buang karena tidak kita perlukan, namun ada informasi didalamnya yang bisa
dimanfaatkan orang lain. Atau pada kasus di atas, seorang penyerang bisa
berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah
satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social
Engineering.
Metode pertama adalah metode yang paling dasar dalam social
engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu,
penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan,
peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling
sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana
seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan
yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu,
misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi
lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang
‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan
situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai
agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa
tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan
nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan
target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu
mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai
informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account
target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari
vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan,
router, firewall atau komponen jaringan lainnya.
Cara yang populer sekarang adalah melalui e-mail, dengan
mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa
kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita
juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.
Cara-cara tersebut biasanya melibatkan faktor personal dari
target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang
target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu
tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi
keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat
kedudukan ynag lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan
membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang
lain. Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu
kita, tidak dengan memaksanya.
Selanjutnya kita bisa menuntun target melakukan apa yang
kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut.
Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan
mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik.
kopral garenx seorang penguasa hacker.
Riset psikologi juga menunjukkan bahwa seorang akan lebih
mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum
permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih
dahulu.
Tujuan dari social engineering bisa dipastikan
adalah untuk memperoleh informasi yang memungkinkan seorang hacker untuk
mengakses sistem komputer dan mengakses informasi yang tersimpan di dalam
sistem komputer tersebut. Yang menjadi masalah, bagaimana informasi yang dicuri
tadi dipergunakan
TARGET DAN SASARAN
Tujuan dasar social engineering sama seperti umumnya hacking
mendapatkan akses tidak resmi pada sistem atau informasi untuk melakukan
penipuan, instruksi jaringan, mata-mata industrial, pencurian identitas, atau
secara sederhana untuk mengganggu sistem atau jaringan.
Target-target tipikal termasuk perusahaan telepon dan
jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar,
badan-badan militer dan pemerintah dan rumah sakit. Boom internet memiliki
andil dalam serangan-serangan rekayasa industri sejak awal, namun umumnya
serangan terfokus pada entitas-entitas yang lebih besar.
FAKTOR YANG MEMPENGARUHI
Predikat negara berkembang membuat metode rekayasa sosial
ini mudah dan terasa tepat diaplikasikan ke masyarakat dikarenakan mulai terbukanya
segala akses informasi bagi sebagian masyarakat dan disisi lain kurangnya
pengetahuan masyarakat akan hal tersebut sehingga mudahnya dalam
memberikan informasi kepada orang lain untuk disalah gunakan.
Jumlah masyarakat yang melimpah dengan pendidikan yang
belum merata dan masih banyaknya masyarakat di pelosok menjadi korban dari
rekayasa sosial ini seperti masuknya sebuah budaya asing yang merubah kebiasan
baik menjadi hal lain yang nantinya akan memberikan dampak negatif bahkan
menghilangkan tata budaya dan perkerti masyarakat tsb.
Dengan banyaknya pengguna alat telekomunikasi dan kemudahan
untuk mendapatkannya, menjadikan celah terbesar untuk melakukan rekayasa sosial
seperti penipuan melalui sms, media jejaring sosial, konten web, email,dll.
Dikarenakan masuknya sifat budaya asing seperti ingin pamer atau unjuk diri
dengan bangga mencantumkan biodata asli yang dapat disalahgunakan oleh orang
lain yang melihatnya.
Minimnya penyerapan informasi masyarakat terhadap dampak
rekayasa sosial yang membuat mereka sering terkena dampak negatif nya seperti
seringnya kasus penipuan via Website yang mengatasnamakan program pemerintah
yang pada faktanya tidak melibatkan aparat.
Solusi Untuk Menghindari Resiko
Setelah mengetahui isu social engineering di atas, timbul
pertanyaan mengenai bagaimana cara menghindarinya. Berdasarkan
sejumlah pengalaman, berikut adalah hal-hal yang biasa disarankan kepada
mereka yang merupakan pemangku kepentingan aset-aset informasi penting
perusahaan, yaitu:
- Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan
- Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan
- Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering
- Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat
- Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari – misalnya “clear table and monitor policy” - untuk memastikan semua pegawai melaksanakannya; dan lain sebagainya.Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:
- Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya seperti mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”
- Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi
- Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya
- Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya
SUMBER :
