>>
Pengertian
Social
engineering adalah pemerolehan informasi atau
maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social
engineering umumnya dilakukan melalui telepon atau Internet.
Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk
memperoleh informasi tentang targetnya, dengan cara meminta informasi itu
langsung kepada korban atau pihak lain yang mempunyai informasi itu.
Social
engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan
komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang
tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini
bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya,
setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang
yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika
orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun.
Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan,
bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
>> Faktor Utama
Di balik semua
sistem keaman dan prosedur-prosedur pengamanan yang ada masih terdapat faktor
lain yang sangat penting, yaitu : manusia.
Pada banyak
referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah
sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna
jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya
pada sebuah jaingan yang cukup kompleks terdapat banyak user yang kurang
mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil contoh
di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan
dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user
tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja,
atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau
bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang
memanfaatkan celah tersebut dan mencuri atau merusak datadata penting
perusahaan.
Atau pada kasus
di atas, seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan
dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini
digolongkan dalam Social Engineering.
>> Metode
Metode pertama
adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan
tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang
diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem,
atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat
membantu dalam menyelesaikan tugas penyerang.
Cara kedua adalah
dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi
tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain
atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan
bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus
mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak
harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala
fakta-fakta lebih bisa diterima oleh target.
Sebagai contoh
seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu
pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan
siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan
itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa
memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor
pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke
sistem di perusahaan tersebut dengan account target. Contoh lain, bisa
berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini
bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen
jaringan lainnya.
Cara yang populer
sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target
untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse
untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam
file .jpg yang terkesan “tak berdosa” sekalipun.
Cara-cara
tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung
jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan
tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama
sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang
berpura-pura akan membuat dia dipuji atau mendapat kedudukan ynag lebih baik.
Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu
memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan
untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya.
Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin
bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa
dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit
waktu dan tenaganya. Semakin sedikit konflik semakin baik. kopral garenx
seorang penguasa hacker.
Riset psikologi
juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika
sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk
meminta target melakukan hal-hal kecil terlebih dahulu.
>> Cara Menanggulangi Serangan Social Engineering
Sebenarnya bahaya social engineering susah-susah gampang untuk ditanggulangi, karena ini adalah masalah yang disebabkan oleh human error, semuanya tergantung pada masing-masing orang yang mengalaminya. Namun tentunya, ada beberapa cara yang dapat memudahkan para target serangan ini untuk mendeteksi dan meminimalisasi kemungkinan terjadinya serangan social engineering. Berikut ini adalah beberapa langkahnya:
Sebenarnya bahaya social engineering susah-susah gampang untuk ditanggulangi, karena ini adalah masalah yang disebabkan oleh human error, semuanya tergantung pada masing-masing orang yang mengalaminya. Namun tentunya, ada beberapa cara yang dapat memudahkan para target serangan ini untuk mendeteksi dan meminimalisasi kemungkinan terjadinya serangan social engineering. Berikut ini adalah beberapa langkahnya:
1. Buatlah
seperangkat peraturan tertulis untuk diikuti oleh para personal Anda yang
bertujuan untuk menghalau, mencegah, dan mengurangi serangan social engineering
ini. Revisilah selalu peraturan tertulis Anda ini secara berkala agar tidak
ketinggalan jaman atau dapat menutup celah-celah baru yang sebelumnya memang
tidak ada. Dan jangan lupa untuk selalu mendidik para staf di belakangnya
karena staf yang terdidik dengan baik merupakan pertahanan yang kuat bagi
serangan ini.
2. Didiklah para
customer atau pengguna jasa Anda untuk dapat menerima dan mengikuti segala
syarat yang tertulis dalam peraturan tersebut. Sadarkan mereka akan pentingnya
prosedur ini untuk menjaga keamanan data dan informasi mereka sendiri.
3. Buatlah
sebuah prosedur yang dapat mengeliminasi pertukaran password dan username dalam
segala proses. Buat agar semua sistem yang berhubungan dengan password dapat
dilakukan secara otomatis dengan program atau perangkat komputer, tanpa adanya
perantara manusia dalam keperluan password tersebut. Seperti misalnya membuat
program reset password otomatis, halaman penentuan password yang dapat diakses
langsung oleh pengguna, dan banyak lagi.
4. Hindarilah
penggunaan pertanyaan untuk petunjuk password karena ini juga dapat digunakan para
hacker sebagai petunjuk untuk melakukan crack terhadap password Anda. Mereka
memiliki berbagai macam cara untuk memecahkan misteri password Anda tersebut
dengan sedikit penelitian.
5. Gunakanlah
password yang berisikan kata-kata yang tidak biasa diucapkan atau tidak ada
relevansinya dengan kehidupan Anda. Misalnya jangan menggunakan tanggal lahir,
nama kecil Anda, nama binatang peliharaan Anda, nama anggota keluarga, dan
banyak lagi, karena hal ini bisa jadi sangat mudah dapat ditebak oleh
penyerang.
6. Jika
memungkinkan hilangkan semua elemen manusia pada titik-titik yang penting untuk
dijaga keamanannya, seperti misal-nya menggunakan sistem token password yang
dapat meng-generate nomor acak sebagai password, biometric, smard
card, sistem location-based authentication, dan banyak lagi.
SUMBER:
0 komentar:
Posting Komentar