Social engineering adalah pemerolehan informasi
atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social
engineering umumnya dilakukan melalui telepon atau Internet.
Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk
memperoleh informasi tentang targetnya, dengan cara meminta informasi itu
langsung kepada korban atau pihak lain yang mempunyai informasi itu.
Social
engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan
komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang
tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini
bersifat universal, tidak tergantung platform, sistem operasi, protokol, software
ataupun hardware.
Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia.
Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman,
bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah
disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan
persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
Di
balik semua sistem keaman dan prosedur-prosedur pengamanan yang ada masih
terdapat faktor lain yang sangat penting, yaitu : manusia.
Pada
banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam
sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak
berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu,
biasanya pada sebuah jaingan yang cukup kompleks terdapat banyak user yang
kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil
contoh di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan
keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu.
Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout
ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan
kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan
seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak datadata
penting perusahaan.
Atau
pada kasus di atas, seorang penyerang bisa berpura-pura sebagai pihak yang
berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut.
Tindakan ini digolongkan dalam Social Engineering.
Metode
pertama adalah metode yang paling dasar dalam social engineering, dapat
menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta
apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi
sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa
sangat membantu dalam menyelesaikan tugas penyerang.
Cara
kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian
dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut
kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini
memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut
dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini
juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi
tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.
Sebagai
contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon
salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah
dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target
di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target
tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta
nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk
masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa
berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini
bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen
jaringan lainnya.
Cara
yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang
meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm
atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan
worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.
Cara-cara
tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung
jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan
tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama
sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang
berpura-pura akan membuat dia dipuji atau mendapat kedudukan ynag lebih baik.
Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu
memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan
untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya.
Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin
bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa
dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit
waktu dan tenaganya. Semakin sedikit konflik semakin baik. kopral garenx
seorang penguasa hacker.
Riset
psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan
jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk
meminta target melakukan hal-hal kecil terlebih dahulu.
Tidak ada komentar:
Posting Komentar