Selasa, 11 Oktober 2011

Social Engineering

Social Engineering, Sebuah teknik menyerang sistem keamanan komputer
Social Engineering dipopopulerkan oleh seorang hacker terkenal bernama Kevin Mitnick pada tahun 1990-an. Social Engineering merupakan sebuah teknik mendapatkan informasi penting dari korban dengan cara memperdaya korban dengan memanfaatkan kelemahan interaksi sosial untuk memenuhi apa yang kita inginkan. Menurut Palumbo, Social Engineering adalah sebuah trik psikologi yang digunakan oleh hacker dari luar pengguna sah dari sebuah sistem komputer untuk mendapatkan informasi yang dibutuhkan agar mendapatkan akses ke sistem komputer.
Pada dasarnya, tujuan dari Social Engineering sama dengan hacking pada umunya yaitu mendapatkan akses yang tidak diotorasi ke dalam sistem atau informasi untuk melakukan tindakan ilegal, penyerangan jaringan, mata-mata industri, pencurian identitas atau menyerang sistem jaringan komputer. Pada umumnya, perusahaan yang menjadi target adalah perusahaan besar seperti : Telekomunikasi, militer, lembaga pemerintah, lembaga finansial, rumah sakit dll.

Menurut Sarah Granger, serangan melalui Social Engineering mempunyai 2 level yaitu secara fisik & secara psikologi. Serangan secara fisik dilakukan dengan berbagai macam seperti datang langsung ke tempat kerja, menggunakan telepon, sampah & bahkan secara online. Sang pelaku dapat berpura-pura sebagai pegawai Maintance gedung, konsultan & bahkan pegawai perusahaan itu sendiri yang memiliki akses ke dalam organisasi. Lalu sang pelaku mulai mencari Password, memasang perangkat penyadap di jaringan dsb. Lalu kemudian menyerang sistem atau jaringan dari luar. Cara lainnya adalah dengan cara memperhatikan pekerja yang sedang memasukan password lalu mencuri password tsb.
Menurut Joan Goodchild, ada berbagai trik yang digunakan oleh penyerang dengan memanfaatkan kelemahan sosial korban. Beberapa diantaranya adalah sebagai berikut :

1. Sepuluh Derajat Pemisah
Salah 1 cara untuk mendapatkan informasi dengan memanfaatkan Social Engineering adalah dengan memakai telepon. Namun, sebelum mendapatkan informasi penting dari korban pelaku akan lebih dulu mendapat informasi sedikit demi sedikit sampai akhirnya sampai ke korban. Informasi tersebut diperoleh satu per satu dari orang di sekeliling korban. Pelaku bisa saja bertanya lebih dulu pada petugas keamanan, petugas kebersihan, supir, bawahan, rekan kerja dst hingga sampai kepada korban. Menurut Sal Lifrieri, seorang pensiunan New York City Police Department, kemungkinan ada 10 tahap yang bisa dilakukan oleh pelaku sebelum akhirnya sampai ke korban. Korban mungkin saja orang ke 10 yang didekati pelaku.

2. Mempelajari Bahasa Perusahaan Target
Setiap organisasi pasti memilki budaya & bahasa sendiri dalam berkomunikasi & memiliki istilah atau singkatan yang digunakan antara 1 dengan yang lain. Misalnya, perusahaan kimia akan terbiasa berbicara dengan istilah kimia, perusahaan obat-obatan akan terbiasa berbicara dalam istilah obat-obatan dsb.
Karena itu sebelum melakukan penyerangan, sang pelaku akan mempelajari dulu bahasa organisasi targetnya. Sehingga pada saat melakukan penyerangan, sang korban akan mudah percaya karena sang pelaku berbicara dalam bahasa organisasi tsb yang dikenal akrab oleh sang korban.

3. Meminjam Musik ”Nada Tunggu” pada Perusahaan
Teknik ini dilakukan dengan memanfaatkan musik “nada tunggu telepon” yang digunakan organisasi. Sebelum melakukan aksinya, sang pelaku akan menelepon organisasi terlebih dahulu, tujuannya adalah agar mendapat kesempatan untuk mendengarkan musik “nada tunggu” perusahaan. Lalu sang pelaku merekam musik “nada tunggu” tsb untuk menglabui karyawan lainnya.
Lalu , pelaku akan menelepon karyawan yang dijadikan target. Saat sedang menelepon, sang pelaku berpura-pura ada telepon masuk ke line nya & terget disuruh menunggu. Nah, pada saat menunggu tersebut, pelaku akan memutarkan sebuah musik ”nada tunggu” yang berhasil direkamnya. Hal ini akan membuat korban merasa bahwa pelaku menelepon dari internal perusahaan & merupakan pegawai perusahaan. Sehingga, ketika diminta informasi penting yang rahasia, target akan memberikannya tanpa rasa curiga sedikitpun.

4. Menyamarkan Nomor Telepon
Teknik ini dilakukan dengan cara menyamarkan nomor telepon yang digunakan untuk menelepon korban. Sang korban yang melihat nomor telepon itu akan mentira bahwa itu adalah nomor telepom dari dalam perusahaan atau perusahaan yang dikenal, tetapi sebenarnya itu adalah nomor telepon dari pelaku. Teknik ini dapat mengecoh korban karena korban akan mengira bahwa telepon ini berasal dari orang yang dipercaya perusahaan. Bila korban menelepon balik ke nomor tersebut, maka telepon akan disambungkan ke nomor yang benar. Karenanya, korban mudah percaya & memberikan informasi penting yang rahasia.

5. Menggunakan Isu Berita
Berita yang ada di koran atau TV digunakan oleh pelaku untuk memperdaya korban. Contohnya, jika berita utamanya adalah ”adanya bank yang terkena likuidasi”, Maka pelaku akan menelepin atau mengirimkan e-mail kepada karyawan bank yang bersangkutan untuk memberikan informasi penting yang rahasia sekalipun.

6. Memanfaatkan Kepercayaan pada Website Jejaring Sosial
Saat ini ada banyak sekali jejaring social yang mempunyai banyak pengguna seperti Facebook, MySpace, Google+, Twitter dll. Para pengguna pasti sudah percaya kepada website tersebut. Kepercayaan tsb dimanfaatkan pelaku dengan cara mengirimkan e-mail palsu pada pengguna jejaring social tersebut yang berisikan bahwa website tsb sedang diperbaiki & memohon agar kita memperbaiki akun dengan cara mengklik link yang sudah disertakan oleh sang pelaku. Saat kita mengklik link tsb, korban pun akan dibawa ke website palsu. Jika sang korban tidak sadar, dia akan memberikan informasi penting yang sangat rahasia di website palsu tsb.

7. Memanfaatkan Kesalahan Ketik
Ketika berselancat di internet, kadangkala kita salah mengetik alamat URL & tidak terlalu teliti memperhatikannya. Lalu sang pelaku menyiapkan website palsu dengan alamat URL yang mirip dengan alamat website aslinya. Akibatnya, saat ada pengunjung yang salah ketik & masuk ke website palsu tsb, secara tak sadar sang korban akan memberikan informasinya yang penting.

8. Menyebarkan Berita Bohong Untuk Mempengaruhi Harga Saham
Teknik ini dilakukan dengan cara menyebarkan berita bohong yang dapat mempengaruhi harga saham perusahaan. Misalnya, informasi tentang kesehatan Bill Gates akan membuat harga saham Microsoft menjadi turun. Pelaku akan membeli sejumlah saham dari perusahaan tsb, lalu mengirimkan e-mail yang berisi isu yang dapat membuat harga saham perusahaan tsb akan naik, misalnya isu bahwa perusahaan tsb akan dibeli oleh perusahaan yang lebih besar. Ketika banyak orang yang sudah mengetahui isu tsb, maka orang akan memburu saham perusahaan yang bersangkutan & harga sahamnya akan naik secara drastis. Pada saat harga saham naik, sang pelaku pun akan melepas sahamnya.

Related Articles

0 komentar:

Posting Komentar