Social Enggeneering

Social Enggeneering 

Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Social engineering adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Social engineering pada  umumnya dilakukan melalui telepon atau Internet.

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya dalah  celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia.

faktor

Ada prinsip dalam dunia keamanan jaringan yang berbunyi “kekuatan sebuah rantai tergantung dari atau terletak pada sambungan yang terlemah” atau dalam bahasa asingnya “the strength of a chain depends on the weakest link”. Apa atau siapakah “the weakest link” atau “komponen terlemah” dalam sebuah sistem jaringan komputer?

Ternyata jawabannya adalah: manusia. Walaupun sebuah sistem telah dilindungi dengan piranti keras dan piranti lunak canggih penangkal serangan seperti firewalls, anti virus, IDS/IPS, dan lain sebagainya – tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan peralatan itu tidaklah ada artinya. Para kriminal dunia maya paham betul akan hal ini sehingga kemudian mereka mulai menggunakan suatu kiat tertentu yang dinamakan sebagai “social engineering” untuk mendapatkan informasi penting dan krusial yang disimpan secara rahasia oleh manusia.

Kelemahan Manusia

Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia. 

Contohnya kelemahan manusia yang dimaksud misalnya:

·         Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;

·         Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga; dan

·         Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.

Tipe cyber dalam social enggeneering

Berikut adalah sejumlah teknik socialengineering yang biasa dipergunakan oleh kriminal, musuh, penjahat, penipu, atau mereka yang memiliki intensi tidak baik. Dalam skenario ini yang menjadi sasaran penipuan adalah individu yang bekerja di divisi teknologi informasi perusahaan. Modus operandinya sama, yaitu melalui medium telepon.

Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu:

      1.      berbasis interaksi sosial.

Skenario 1 (Kedok sebagai User Penting)

Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”. Karena takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.

Skenario 2 (Kedok sebagai User yang Sah)

Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita menelepon staf junior teknologi informasi sambil berkata “Halo, ini Iwan ya? Wan, ini Septi dari Divisi Marketing, dulu kita satu grup waktu outing kantor di Cisarua. Bisa tolong bantu reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang yang tahu passwordku, sementara saat ini aku di luar kantor dan tidak bisa merubahnya. Bisa bantu ya?”. Sang junior yang tahu persis setahun yang lalu merasa berjumpa Septi dalam acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan cek dan ricek. Sementara kriminal yang mengaku sebagai Septi mengetahui nama-nama terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor telepon Iwan diketahuinya dari Satpam dan/atau receptionist.

Dan masih bayak lagi skenario cyber untuk mendapatkan yang dia inginkan dalam menjalankan misinya.

      2.      berbasis interaksi komputer.

Skenario 1 (Teknik Phishing – melalui telphone)

Strategi ini adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank. menelphone yang dimaksud berbunyi misalnya sebagai berikut:

Fiktif CS : Halo, selamat pagi. Bisa bicara dengan Bapak Budi?
Budi        : Iya, saya sendiri. Ada yang bisa saya bantu?
Fiktif CS : Bapak Budi, kami dari card center Bank Kaya Raya Sejahtera ingin melakukan survei mengenai  kartu kredit bapak sebab kami akan melakukan kenaikan limit untuk kartu kredit yang bapak miliki saat ini. (Modus tersebut bisa juga berupa perubahan sistem bank, menawarkan bonus/hadiah, mendata ulang customer, memastikan transaksi yang dilakukan sebelumnya, meng-upgrade kartu menjadi Gold/Platinum).
Budi        : O, iya silahkan.
Fiktif CS : Tagihan Bapak Budi dialamatkan kemana?
Budi        : Jl. Kesasar Gang Buntu No.13 Malang sekali.
Fiktif CS : Alamat tinggal Bapak Budi saat ini?
Budi        : Jl. Uranium Niklir no.911
Fiktif CS : Tanggal lahir bapak?
Budi        : 17 Agustus 1945.
Fiktif CS : Maaf Pak, nama ibu kandungnya?
Budi        : Emak Guwe
Fiktif CS : Tolong sebutkan 16 digit nomor kartu kredit bapak.
Budi        : Tunggu sebentar ya, saya ambil dulu dari dompet.
Fiktif CS : Silahkan.
Budi        : Halo, ini nomornya: 1234 5678 9012 3456.
Fiktif CS : Tolong sebutkan 3 angka terakhir di belakang kartu Anda.
Budi        : Kalo yang di belakang, 212.
Fiktif CS : Kartu kredit bapak berlaku sampai kapan?
Budi        : Desember 2015
Fiktif CS : Baik Pak Budi, data Anda sudah cukup. Kartu kredit bapak akan segera kami proses. Terima kasih atas waktunya.
Budi        : Sama-sama.

Skenario 2 (Teknik Phishing – melalui Pop Up Windows)

Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window” yang bertuliskan sebagai berikut:

“Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya, tekanlah tombol BERSIHKAN di bawah ini.”

Tentu saja para awam tanpa pikir panjang langsung menekan tombol BERSIHKAN yang akibatnya justru sebaliknya, dimana penjahat berhasil mengambil alih komputer terkait yang dapat dimasukkan virus atau program mata-mata lainnya.

Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik. kopral garenx seorang penguasa hacker.

Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.