Tidak ada manusia yang sempurna, dan social engineering mencoba menggali sebanyak mungkin kelemahan manusia
Sebagian kasus pencurian account, sistem yang diambil alih, ataupun penetrasi malware pada sistem komputer, dapat terjadi karena korban terkecoh oleh social engineering, dan bagaimana ia dapat masuk, dan mengancam sistem ataupun informasi rahasia Anda??
Dalam bidang keamanan komputer adalah suatu teknik-teknik yang digunakan untuk mengelabui manusia agar membocorkan akses atas informasi rahasia, disebut dengan social engineering (rekayasa sosial). Kelengahan user merupakan senjata yang ampuh yang biasa digunakan untuk melakukan penyerangan. Social engineering adalah faktor manusia (human factor) yang menyebabkan kebobolan pada system atau akun baik personal maupun perusahaan.
Seorang user mungkin saja memberikan informasi rahasia yang bersifat confidential tanpa keberatan sama sekali karena tidak disadarinya, yang menyebabkan kebobolan pada akun email-nya atau akun web site-nya. Walaupun Anda sudah menggunakan perlindungan berlapis dengan password yang unik, proses autenfikasi, firewall, virtual private network, atau bahkan software network yang paling canggih sekalipun masih rentan terhadap serangan yang menggunakan metode ini.
Kenapa seseorang dengan mudahnya memberikan informasi rahasianya tanpa menyadarinya ? entah mungkin melalui e-mail, telepon, atau dengan orang yang belum dikenal sekalipun. Jawabannya : Karena manusia pada umumnya mempunyai sifat sosial yang tinggi dan cenderung suka berinteraksi dengan orang lain.
Seseorang yang sudah terlatih dan menguasai teknik social engineering dapat mengumpulkan data yang cukup lengkap dari korbannya hanya melalui percakapan, tanpa disadari lawannya bahwa dia sedang di interogasi, ini merupakan perpaduan antara seni dengan keahlian (art & science) social engineering bukan merupakan hipnotis atau kontrol pikiran, di mana korbannya diminta untuk melakukan hal-hal diluar alam bawah sadarnya.
Seseorang yang sudah terlatih dan menguasai teknik social engineering dapat mengumpulkan data yang cukup lengkap dari korbannya hanya melalui percakapan, tanpa disadari lawannya bahwa dia sedang di interogasi, ini merupakan perpaduan antara seni dengan keahlian (art & science) social engineering bukan merupakan hipnotis atau kontrol pikiran, di mana korbannya diminta untuk melakukan hal-hal diluar alam bawah sadarnya.
Pada system computer, praktik social engineering semakin bervariasi dan berbahaya, karena dapat menggunakan teknologi itu sendiri sebagai tool, dan memanfaatkan ketidaktahuan pengguna pada kompleksitas sistem. Contoh: malware yang meniru icon atau nama file aplikasi popular, teknik phishing yang meniru website terpercaya, atau pharming (DNS cache poisoning) yang mengalihkan website tujuan ke website palsu.
Contoh berikut menunjukkan social engineering menggunakan salah satu metode pharming, dengan melakukan modifikasi file hosts yang digunakan sistem operasi untuk memetakan host-name ke alamat IP. Jika file hosts (pada sistem operasi Windows berada pada folder WINDOWS/System32/drivers\etc) berisi baris berikut:
127.0.0.1 www.facebook.com
Maka saat browser diarahkan ke facebook.com, alamat akses akan dialihkan ke IP 127.0.0.1 (umumnya digunakan oleh localhost). Bayangkan jika IP 127.0.0.1 diganti dengan IP websitetiruan facebook.com yang terdapat script untuk menyimpan username dan password yang diketikkan, pengguna yang tidak sadar sedang mengakses malicious website akan menjadi social engineering. Usaha untuk memodifikasi file hosts dapat dilakukan penyerang melalui malware ataupun jika dimungkinkan, melakukan kontak fisik ke komputer target dengan memanfaatkan kesempatan yang direkayasa.
Pencegahan yang Darus Dilakukan :
- Yakin bahwa anda memegang kendali penuh atas integritas dan tanggungjawab anda terhadap pekerjaan meskipun menghadapi suatu perintah dari yang lebih berwenang
- Pastikan untuk mendapatkan identitas detail seseorang saat menerima telepon
- Jika anda telah merasa menjadi korban Social Engineering segera laporkan kepada atasan anda atau petugas security secepatnya
Pencegahan yang Harus Dihindari :
- Terlalu mudah mempercayai orang lain terutama pihak-pihak yang meminta suatu informasi
- Mudah tergoda dengan tawaran-tawaran melalui email, atau Short Messages (SMS).
- Mudah mempercayai program-program yang mungkin muncul di komputer anda terutama yang meminta User ID dan Password anda
- Melakukan pembicaraan penting dan rahasia di tempat umum.
Pencegahan yang Harus Diwaspadai :
- Social Engineering akan selalu mencoba untuk mendapatkan informasi tanpa menimbulkan suatu kecurigaan tentang apa yang mereka lakukan. Target awal mereka adalah kepercayaan anda
- Social Engineering memanfaatkan sisi manusiawi sebagi kelemahan kita, misalnya keingingan untuk selalu menolong orang lain, mudah panik bila ada ancaman, dan sebagainya
- Suatu study mengindikasikan bahwa Helpdesk dan Resepsionis merupakan target serangan Social Engineering yang paling sering
- System Administrator atau Teknisi yang memiliki kepentingan dengan komputer anda tidak akan membutuhkan passwod anda
- Selalu waspada terhadap perubahan staff di kantor termasuk orang-orang baru atau tamu yang mendapat akses ke dalam ruangan kerja dan pastikan bahwa mereka adalah pihak yang berkepentingan
- Waspada dengan isi email yang dikrimkan kepada anda terutama yang berisi permintaan data atau bujukan-bujukan tertentu
- Sebuah kesalahan yang sering dilakukan adalah orang cenderung untuk menggunakan password yang sama untuk berbagai layanan yang dimilikinya, misalnya untuk email, messenger, ATM dan sebagainya. Akibatnya begitu seorang attacker berhasil mendapatkan password tadi, dia akan bisa memasuki semua layanan yang tersedia untuk orang tadi.
Trik-trik Social Engineering :
1. Human Based, contohnya :
- Berpura-pura menjadi karyawan yang meminta informasi teknis melalui Helpdesk
- Berpura-pura menjadi karyawan penting (misalnya atasan dan sebagainya)yang meminta suatu informasi dengan alasan data tersebut sanga dibutuhkan untuk sesuatu hal
- Berpura-pura sebagai petugas support (misalnya bagian teknologi informasi) yang meminta anda untuk logon karena suatu hal, misalnya untuk melakukan test koneksi, dan sebagainya
- Mengaku-ngaku dan menggunakan nama seseorang di instansi/perusahaan yang memiliki otorisasi untuk mendapatkan informasi
- Secara fisik menyamar sebagai salah seorang karyawan, tamu, atau staff pembantu (misalnya office boy, cleaning service, dan sebagainya) untuk mendapatkan akses masuk ke dalam ruangan
2. Information Technology Based, contohnya :
- Popup Windows – Suatu form window akan muncul di layar monitor dan memberitahu user bahwa koneksi jaringannya terputus dan menginput kembali User ID dan password-nya. Informasi ini akan secara otomatis dikirim ke intruder untuk kemungkinan disalahgunakan
- Website – Cara umumnya biasanya menawarkan sesuatu yang gratis atau kesempatan memenangkan suatu undian dan meminta anda untuk memberikan email address dan password-nya
- Spam, chain letter (surat berantai), dan hoaxes – mengirimkan email yang berisis perintah untuk meneruskan dan menyebarluaskan ke orang lain. Misalnya sulfnbk atau jdbmgr hoax (self- infected virus) yang tidak bersifat merusak tetapi akan memakan kapasitas jaringan sehingga jaringan menjadi lambat dan menurunkan produktivitas
- Telekomunikasi – Penipuan undian berhadiah lewat Short Messages (SMS).
Sumber :
- Artikel Bapak H. M. Burhan Amin S.Sos., MMsi : 8 - pencegahan TERHADAP Social Engineering
- http://suhepisaputri.blogspot.com/2011/02/social-engineering.html
No comments:
Post a Comment