Setelah kita berkutat mengenai berbagai teknik pembobolan informasi yang terkait dengan teknologi informasi berbasis web secara teknis komputeristik, kali ini kita akan membahas suatu teknik pembobolan informasi yang sifatnya lebih ke psikologis, meskipun tetap saja melibatkan kemampuan dalam menguasai teknologi informasi dan komunikasi yang mumpuni dalam praktiknya. Teknik itu bernama Social Engineering. Dari namanya saja kita tentu bertanya-tanya bahwa "apa hubungannya 'teknik sosial' atau 'menjalin hubungan kemanusiaan' dengan ICT atau TIK apalagi dengan pembobolan informasi?" Ya, teknik Social Engineering memang teknik pembobolan informasi dengan memanfaatkan manusia sebagai rantai terlemah dalam sistem jaringan komputer. Teknik ini memanfaatkan sisi terlemah manusia yaitu komunikasi sosial. Manusia biasanya dapat diajak berkompromi apabila sudah disentuh sisi sosialnya. Inilah yang membedakan manusia dengan komputer. Sekaku-kakunya manusia, tetap saja masih ada ruang/celah untuk diajak berkompromi dengan pendekatan-pendekatan psikologis sosial. Hal ini berbeda dengan komputer yang hanya menjalankan program/proses yang telah diperintahkan kepadanya mentah-mentah, zero tolerance.
Pengertian
Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu (Wikipedia bahasa Indonesia). Social engineering ini memfokuskan diri untuk menyerang pada rantai terlemah sistem jaringan komputer, yaitu manusia. Ada sebuah prinsip yang menarik mengenai hal ini yaitu “the strength of a chain depends on the weakest link” atau yang terjemahan bebasnya adalah “kekuatan sebuah rantai bergantung dari atau terletak pada sambungan yang terlemah.” Jadi, rantai terlemah yang dimaksud dalam hal ini adalah faktor manusia. Di dunia ini, tidak ada sistem komputer yang tidak melibatkan interaksi manusia sama sekali dan setiap orang yang punya akses ke dalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang udah disusun. Seperti metode hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
Metode-Metode Social Engineering
Terdapat beberapa metode dalam penerapan social engineering ini, antara lain:
- Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu dengan meminta langsung kepada korban: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Cara ini paling sedikit berhasil karena tingkat awareness korban masih maksimal, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
- Metode kedua adalah dengan menciptakan situasi palsu di mana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Bahkan ke dalam file dengan ekstensi .jpg pun dapat disusupkan worm, padahal biasanya kita (atau anti virus kita) menganggap bahwa file .jpg “tak berdosa.”
Korban Social Engineering
Menurut studi data yang ada, secara statistik ada 5 (lima) kelompok individu yang sering menjadi korban serangan social engineering, yaitu :
- Receptionist dan/atau Help Desk sebuah perusahaan, karena mereka adalah pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud.
- Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis.
- Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan.
- Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan.
- Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.
Teknik Social Engineering
Secara garis besar social engineering dapat dilakukan dengan beberapa macam teknik, seperti :
- Pretexting : suatu teknik untuk membuat dan menggunakan skenario yang diciptakan yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
- Diversion Theft : sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidang transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita.
- Phising : suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
- Baiting : Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk atau storage (media penyimpanan) lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya.
- Quid pro pro : adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
- Dumpster diving : pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akan menjadi target para hacker. Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan hacker akses yang besar pada perusahaan tersebut.
- Persuasion : Persuasion lebih dapat disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.
Teknik-teknik ini biasanya dilakukan dengan menggunakan skenario tertentu untuk dapat mencapainya.
Skenario Social Engineering
Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social engineering yang biasa dipergunakan.
- Skenario dengan basis interaksi sosial, ada beberapa modus skenario, antara lain:
- Berlaku sebagai User penting.
- Berlaku sebagai User yang sah.
- Kedok sebagai Mitra Vendor.
- Kedok sebagai Konsultan Audit.
- Kedok sebagai Penegak Hukum.
- Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan seperti :
- Berlaku sebagai User penting
- Teknik phising melalui email
- Teknik phising melalui SMS
- Teknik phising melalui pop up window
Simpulan
Dari pembahasan di atas, dapat kita simpulkan bahwa ada banyak celah dalam diri manusia yang sangat lemah sehingga dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab untuk dapat menyusup ke dalam suatu sistem yang dirancang secara aman. Modus semacam ini mirip dengan "sms mama minta pulsa" atau "sms undian berhadiah", hanya saja, bahaya yang ditimbulkan akan jauh lebih besar dari bahaya kiriman sms-sms 'tersesat' itu. Hal ini yang pertama tentu saja terkait dengan skala serangan yang lebih besar, yaitu perusahaan. Yang kedua, yang lebih berbahaya adalah serangan dapat dilakukan tanpa kita sendiri menyadari bahwa kita sendirilah yang membantu pelaku dalam melakukan serangan. Oleh karena itu, sikap hati-hati menjadi sangat penting dalam mencegah kasus-kasus social engineering. Terkait dengan kehati-hatian, saya jadi teringat dengan salah satu quote yang dikatakan oleh ibunda dari Genghis Khan. Quote inilah yang membuat Genghis Khan sukses menjadi pemimpin bangsa Mongol yang meski hidupnya nomaden, dapat menaklukkan bangsa-bangsa besar di dunia. Quote ini berbunyi: "remember, you have no companions but your shadow." Ingat, kamu tidak memiliki sahabat kecuali bayanganmu sendiri. Maksudnya adalah jangan mudah percaya kepada orang lain 100% karena meskipun bagaimanapun hubungan dia dengan kita, bisa saja dia mempunyai maksud tertentu dengan hubungannya tersebut.
No comments:
Post a Comment