Mengenal Tentang Social Engineering

Posted by Nicki Hermanto Putro On Saturday 23 February 2013 0 komentar
Mengenal Tentang Social Engineering - Apakah sobat nickizoner pernah mendengar istilah “social engineering” dan kaitannya dengan hacking? Apabila  sebelumnya kamu sudah coba mencari “definisi social engineering” di Om Google, barangkali kamu disodorkan dengan banyak definisi.
  • seni memanipulasi orang untuk melakukan hal yang diinginkan.
  • teknik psikologis yang digunakan hacker untuk memperoleh informasi yang dapat dipergunakan untuk mengakses sistem komputer.
  • memperoleh informasi (password misalnya) dari seseorang ketimbang melakukan usaha pembobolan sistem.
  • melakukan pendekatan dengan si korban untuk memperoleh informasi yang dibutuhkan melalui hubungan sosial (saling berkomunikasi).
Ya, semua itu benar adanya. Tujuan dari social engineering bisa dipastikan adalah untuk memperoleh informasi yang memungkinkan seorang hacker untuk mengakses sistem komputer dan mengakses informasi yang tersimpan di dalam sistem komputer tersebut. Yang menjadi masalah, bagaimana informasi yang dicuri tadi dipergunakan.

Kenapa Social Engineering perlu Diwaspadai?

Tak perduli ada berapa banyak patch yang tersedia untuk sebuah sistem, atau firewall terbaru yang dirilis di pasar, antivirus up-to-date, tetap saja hal sederhana bisa menjadi jalur yang mengancam keamanan sistem komputer dan informasi di dalamnya. Coba disimak cerita berikut, yang benar-benar terjadi beberapa tahun lalu:
Sekelompok orang memasuki kantor sebuah perusahaan pengiriman yang cukup besar, dan keluar dengan informasi untuk mengakses SELURUH jaringan komputer perusahaan tersebut. Bagaimana hal itu bisa terjadi? Dengan mengumpulkan informasi sedikit demi sedikit, dari beberapa pegawai yang ditemui di perusahaan tersebut.
Sebelum mendatangi kantor tersebut, mereka mempelajari perusahaan itu, dan itu mereka lakukan dalam rentang waktu dua hari saja. Salah satu persiapan mereka adalah menghubungi departemen HRD. Dan hasilnya, mereka memiliki beberapa nama orang penting di perusahaan tersebut. Nama-nama yang bisa mereka pergunakan ketika berpapasan dengan pegawai yang bekerja di kantor tersebut, nama-nama penting yang jika di dengar oleh penjaga pintu depan akan membukakan pintu buat mereka, meski mereka tidak memiliki kartu pass. Di lantai ketiga, mereka mengatakan kalau kartu pass-nya tertinggal, lalu seorang pegawai yang baik hati membukakan pintu ke ruangan yang terbatas untuk orang-orang dengan akses keamanan tertentu saja yang boleh masuki.
Mereka tahu bahwa CFO perusahaan tersebut sedang tidak di tempat, jadi mereka dengan gampang memasuki kantor CFO perusahaan tersebut dan mengakses komputernya yang tidak diproteksi password. Dan mereka pun mendapatkan data seluruh data finansial perusahaan tersebut. Kemudian mereka berhasil mengumpulkan beberapa dokumen yang ditemukan di tempat sampah. Ya, mereka bahkan meminta seorang janitor (cleaning service, begitu) untuk membawakan tempat-tempat sampah yang ada di beberapa ruangan. Lalu mereka membawa pulang semua data dan dokumen itu.
Dari “markas” mereka, salah seorang sudah belajar meniru suara CFO (yang sedang keluar kota tadi), lalu menelpon system admin perusahaan tersebut, dengan suara yang terkesan terburu-buru dia meminta password untuk remote access dengan alasan lupa dan bahwa catatannya tertinggal di rumah. Setelah titik ini, yang mereka lakukan tinggal menggunakan teknik hacking yang “biasa saja” tanpa memeras otak hanya dengan mengumpulkan informasi yang didapat melalui hubungan sosial untuk mendapatkan akses tingkat super user ke dalam sistem komputer.

Jika diperhatikan, teknis hacking tidak digunakan sampai bagian akhir cerita di atas. Bagian-bagian sebelumnya memaparkan betapa sifat alami manusia yang bisa ditebak, dimanfaatkan demi tujuan tertentu. Dan sifat yang paling rentan adalah mudah percaya.

Banyak metode yang dapat dilakukan untuk mencapai situasi psikologis yang tepat sebelum “serangan” dilancarkan. Yang umum adalah dilakukan dengan meniru orang lain, memuji, berpura-pura “eh kita sama”, atau sekedar benar-benar bersikap ramah terhadap sasaran.
Lalu kamu berada dimana?
Barangkali kamu merasa apa yang dituliskan di atas tidak berkaitan dengan kamu secara langsung; “hei, saya tidak punya perusahaan” atau kamu ngerasa tidak mengelola sebuah server.
Tunggu dulu, coba jawab pertanyaan ini.
Kamu punya password?
Entah untuk Facebook, Twitter, atau email kamu. Kamu yakin password kamu aman?

Kamu tidak menggunakan tanggal lahir kan untuk password kamu?
Atau jangan-jangan kamu masih mencatat password kamu di secarik kertas?
Atau kamu sudah pastikan gak ada teman yang ngintip ketika kamu mengetikan password kamu?
Setelah kamu membaca cerita di atas, gak perlu pengetahuan teknis tentang hacking kan untuk mendapatkan password kamu. Dan perlu disadari bahwa social engineering tidak hanya ditujukan untuk pencurian password saja; pembuat virus menggunakannya untuk membujuk kamu membuka attachment email yang mengandung malware, phisher menggunakanya untuk mendapatkan informasi berharga dari kamu, bahkan ada pembuat scareware yang menakut-nakuti kamu untuk membeli atau mendownload program (yang bisa jadi tidak berguna, atau bahkan merusak)
Sebaiknya kita semua menyadari bahwa di era informasi digital ini tidak ada informasi yang sepele.

Sumber:
http://ngemeng.com/artikel/social-engineering/   diakses hari Sabtu, 23 Pebruari 2013, 19:00 WIB.
Label: ,

0 komentar:

Post a Comment

Silahkan isi komentar dengan baik dan sopan, tidak mengandung unsur SARA, provokatif, dan tanpa SPAM / iklan. Pesan / Komentar yang tidak layak akan dihapus. Terimakasih.