Social engineering (keamanan)
Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau Internet.
Social engineering merupakan salah satu metode yang digunakan oleh
hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta
informasi itu langsung kepada korban atau pihak lain yang mempunyai
informasi itu.
Social engineering mengkonsentrasikan diri pada rantai terlemah
sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada
sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya
lagi, celah keamanan ini bersifat universal, tidak tergantung platform,
sistem operasi, protokol, software ataupun hardware.
Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor
manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik
adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam
kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain,
social engineering juga memerlukan persiapan, bahkan sebagian besar
pekerjaan meliputi persiapan itu sendiri.
Faktor utama
Di balik semua sistem keaman dan prosedur-prosedur pengamanan yang
ada masih terdapat faktor lain yang sangat penting, yaitu : manusia.
Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan.
Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika
ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya
pada sebuah jaingan yang cukup kompleks terdapat banyak user yang kurang
mengerti masalah keamanan atau tidak cukup peduli tentang hal itu.
Ambil contoh di sebuah perusahaan, seorang network admin sudah
menerapkan kebijakan keamanan dengan baik, namun ada user yang
mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan
password yang mudah ditebak, lupa logout ketika pulang kerja, atau
dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau
bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang
memanfaatkan celah tersebut dan mencuri atau merusak datadata penting
perusahaan.
Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai
pihak yang berkepentingan dan meminta akses kepada salah satu user yang
ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.
Metode
Metode pertama adalah metode yang paling dasar dalam social
engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu,
penyerang tinggal meminta apa yang diinginkannya: password, akses ke
jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang
cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam
menyelesaikan tugas penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang
menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang
menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu,
misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari
informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi
tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu
berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta
lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket
yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa
tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan
dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan
data dengan target. Tentu saja target tidak merasa memesan tiket, dan
penyerang tetap perlu mencocokkan nama, serta nomor pegawainya.
Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke
sistem di perusahaan tersebut dengan account target. Contoh lain, bisa
berpura-pura sedang mengadakan survei hardware dari vendor tertentu,
dari sini bisa diperoleh informasi tentang peta jaringan, router,
firewall atau komponen jaringan lainnya.
Cara yang populer sekarang adalah melalui e-mail, dengan mengirim
e-mail yang meminta target untuk membuka attachment yang tentunya bisa
kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya.
Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak
berdosa” sekalipun.
Cara-cara tersebut biasanya melibatkan faktor personal dari target:
kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang
target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan
sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa
dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia
dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa bahwa
dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah
kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk
membujuk target secara sukarela membantu kita, tidak dengan memaksanya.
Selanjutnya kita bisa menuntun target melakukan apa yang kita mau,
target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut.
Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita
dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik
semakin baik. kopral garenx seorang penguasa hacker.
Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah
memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum
permintaan inti cobalah untuk meminta target melakukan hal-hal kecil
terlebih dahulu.
Posting Komentar