Nah, pada postingan kali ini saya akan membahas tentang
apa itu “Social Engineering” guna untuk memenuhi tugas kuliah “KEAMANAN SISTEM
INFORMASI” :D
Cekidoot...
Barangkali
banyak yang pernah mendengar istilah “social engineering” dan kaitannya dengan
hacking. Dan jika sebelumnya kamu sudah coba melakukan pencarian “definisi
social engineering” di Google, barangkali kamu diperhadapkan dengan banyak
definisi seni memanipulasi orang untuk melakukan hal yang diinginkan teknik psikologis yang digunakan hacker untuk
memperoleh informasi yang dapat dipergunakan untuk mengakses sistem komputer memperoleh informasi (password misalnya) dari
seseorang ketimbang melakukan usaha pembobolan sistem.
Ya,
semua itu benar adanya. Tujuan dari social engineering bisa dipastikan adalah
untuk memperoleh informasi yang memungkinkan seorang hacker untuk mengakses
sistem komputer dan mengakses informasi yang tersimpan di dalam sistem komputer
tersebut. Yang menjadi masalah, bagaimana informasi yang dicuri tadi
dipergunakan.
Kenapa kita perlu sadar
tentang social engineering?
Tak
perduli ada berapa banyak patch yang tersedia untuk sebuah sistem, atau
firewall terbaru yang dirilis di pasar, tetap saja hal sederhana bisa menjadi
jalur yang mengancam keamanan sistem komputer dan informasi di dalamnya.
Sosial
Engineering adalah pemerolehan informasi rahasia dengan cara menipu pemilik
informasi tersebut. Bisa
dibilang sebagai rekayasa sosial, karena yang dilakukan adalah merekayasa
sosial, yaitu bagaimana caranya agar meyakinkan orang lain, agar dapat
memperoleh informasi bahkan password milik orang tersebut. Teknik ini sendiri
sebenarnya lebih mengarah kepada seni dan kemudian dipadukan dengan kemampuan
teknologi.
Sosial Engineering
mengonsentrasikan diri pada rantai terlemah system jaringan computer, yaitu
manusia. Seperti kita tahu, tidak ada system computer yang tidak melibatkan
interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal
(umum), tidak tergantung platform, system operasi, protocol, software, ataupun
hardware.
Artinya, setiap sistem mempunyai kelemahan yang sama
pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara
fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan
kemanan yang telah disusun.
Dalam
kehidupan sehari-hari pun penerapan social engineering cukup banyak. Sebagai
contoh, Jika anda mendapatkan hadiah berupa mobil alphard dari sebuah produk
makanan ringan, dan anda diminta untuk mentrasfer uang sebesar 5jt untuk ongkos
kirim, siapa yang tidak mau ? bagaimana jika logikanya kita balik. Anda
ditawari uang sebesar 10jt , lalu anda diminta untuk mengirimkan atm beserta
pin yang didalamnya berisi uang anda sebesar 100jt. Siapa yang mau ?
Adapun
teknik social engineering dalam dunia maya, misalkan ketika seseorang sedang
browsing di internet, kemudian mendapatkan peringatan bahwa komputernya terkena
virus, dan dianjurkan untuk menginstall anti-virus tertentu. Tapi nyatanya,
peringatan itu palsu dan yang disebut anti-virus itu sendiri sebenarnya adalah
Trojan. Akibatnya, setelah menginstall ‘anti-virus’ tersebut, malah komputernya
yang terkena virus Trojan.
Social Engineering dapat dibagi menjadi dua tipe
:
- Social Engineering yang didasarkan pada sisi manusianya (human based social engineering), yaitu dengan melibatkan interaksi antara manusia yang satu dengan yang lainnya.
- Social Engineering yang didasarkan pada sisi teknis atau komputernya (computer based social engineering), dengan bergantung pada software yang digunakan untuk mengumpulkan data atau informasi yang diperlukan.
Human based social engineering dikategorikan menjadi lima jenis :
- Impersonation (pemalsuan)Contoh : Seseorang menyamar sebagai salah seorang karyawan dari suatu perusahaan, petugas kebersihan, kurir pengantar barang, dan sebagainya.
- Important User (menyamar sebagai orang penting)
Contoh : Seseorang menyamar sebagai seorang yang memiliki kedudukan tinggi di perusahaan dan kemudian berusaha untuk mengintimidasi karaywan atau bawahannya untuk mengumpulkan informasi dari mereka. - Third Party Authorization (pemalsuan otorisasi)Contoh : Seseorang berusaha meyakinkan target untuk memberikan informasi yang diperlukan dengan mengatakan bahwa ia telah diberi otorisasi oleh seseorang untuk menanyakn hal tersebut yang biasanya adalah seseorang yang lebih tinggi jabatannya.
- Technical Support (menyamar sebagai bagian technical support)Contoh : Seseorang menyamar sebagai salah satu dari tim IT dan berusaha mengumpulkan informasi dari korbannya.
- In Person (mendatangi langsung ke tempat korban)Contoh : Seseorang mendatangi langsung lokasi target untuk mengumpulkan informasi dari lokasi di sekitar tempat korbannya, antara lain dengan menyamar sebagai petugas kebersihan dan mencari atau mengumpulkan data/informasi dari tempat sampah yang ada di tempat korban (dumpster diving), atau berusaha melihat sekeliling pada saat user sedang mengetikkan password di komputernya (shoulder surfing).
Computer based social engineering datap dikategorikan menjadi empat jenis :
- Mail/IM (Instant Messenger Attachment)Seseorang yang melakukan chatting melalui Instant Messenger lalu lawan bicaranya mengirimkan sebuah file attachment berisi Trojan, virus, atau worm dengan tujuan untuk mengumpulkan data atau informasi dari computer korban.
- Pop-Up WindowsHacker membuat suatu software untuk menipu user agar memasukkan username dan password miliknya dengan menggunakan pop-up window pada saat user sedang menggunakan computer.
- WebsiteHacker membuat suatu website tipuan untuk menarik user agar memasukkan alamat email dan password pada saat mendaftar (register) untuk memperoleh sesuatu, misalnya hadiah.
- Spam EmailHacker mengirimkan email berisi attachment yang mengandung virus atau Trojan
Udah itu dulu aja, ini juga bole dapet bakal copas, terima kasih yang udah baca semoga ilmunya bertambah dan bermanfaat bagi kita dan orang lain.. AMIN
~SalamCahaya!! :')
Sumber :
Buku Sakti Hacker – Efvy Zam
0 komentar:
Posting Komentar