Social engineering adalah teknik memperoleh informasi rahasia dengan menipu pemilik informasi itu yang umumnya dilakukan lewat telepon atau internet. Social engineering sendiri merupakan salah satu metode yang digunakan hacker untuk mendapat informasi korbannya, dengan meminta informasi langsung ke korban atau pihak lain yang tahu.
Terdapat beberapa hal yang menjadi faktor utama yang menyebabkan teknik social engineering efektif dilakukan oleh seorang penyerang, antara lain adalah sebagai berikut:
- Kelengahan yang disertai dengan ketidakwaspadaan seseorang sehingga mudah sekali terperdaya oleh suatu keadaan.
- Keisengan para hacker pada awalnya, membuat peluang yang lebih besar untuk memperdaya orang lain.
- Kecanggihan teknologi.
Content social networking atau jejari Facebook, YM, Twitter, dan email bisa dijadikan alat untuk melakukan social engineering. Dampak yang mungkin ditimbulkan adalah keresahan masyarakat terkait ruang privasi dalam hidup karena account pribadi seseorang bisa saja sudah dibajak, kriminalitas yang meningkat, misalnya karena penyadapan no PIN serta manipulasi data untuk mendapatkan password suatu account.
Faktor Penyebab Utama
Di balik semua sistem keamanan dan prosedur-prosedur pengamanan yang ada, masih terdapat faktor lain yang sangat penting yaitu manusia.
Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh seseorang administrator yang kurang kompeten. Sebagai contoh misalnya di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik namun ada user yang mengabaikan masalah keamanan itu dimana contohnya user tersebut menggunakan password yang mudah diteba, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lainatau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak data-data penting milik perusahaan.
Metode aksi soclal engineering
Terdapat beberapa cara pelaku social engineering melancarkan aksinya, yaitu:
- Pelaku melakukan serangan langsung yaitu dengan cara meminta apa saja yang dibutuhkan. Sebut saja password, peta jaringan, akses jaringan, kunci ruangan yang berisi database, dan konfigurasi sistem.
- Pelaku membuat skenerio yang berisi situasi palsu. Misalnya si pelaku berpura-pura sebagai bagian dari suatu perusahaan yang akan ‘diserang’. Atau bisa juga si pelaku berpura-pura sebagai bagian dari situasi palsu yang disusunnya. Sebagai contoh, pelaku membuat alasan yang menyangkut pautkan dengan kepentingan pihak lain. Ketika pelaku sudah berhasil masuk ke dalam ‘zona’ perusahaan, pelaku kemudian menjalankan aksi lanjutan seperti mencari informasi-informasi penting tentang target/ korbannya. Pelaku yang pandai dan sudah ahli biasanya tidak perlu mengumbar kebohongan pada calon korbannya. Pelaku justru akan menunjukan fakta-fakta agar calon korbannya benar-benar percaya pada si pelaku. Contoh riil, pelaku berpura-pura sebagai seorang agen tiket. Pelaku melakukan konfirmasi bahwa tiket sudah siap untuk dikirim. Pelaku pastinya akan meminta data-data penting korbannya untuk kepentingan pengiriman tiket. Meskipun calon korban merasa tidak memesan tiket, pelaku tetap perlu mengetahui nama dan nomor kepegawaiannya dengan alasan untuk dicocokkan. Informasi seperti nama lengkap dan nomor kepegawaian adalah dua data penting yang dapat digunakan oleh pelaku untuk dapat mengakses sistem informasi perusahaan di mana korban bekerja.
- Pelaku menggunakan akun email. Caranya yaitu si pelaku mengirim email pada target/ korban. Ketika korban membuka attachment. Sebelumnya pelaku meretaskan virus/ worm seperti Trojan sebagai jalur backdoor pada sistemnya. Worm/ virus bahkan dapat dimasukan dalam file yang berformat jpg sekalipun.
Pencegahan social engineering
Lantas, bagaimana cara menghindari aksi pelaku social engineering? Terdapat beberapa cara pencegahan, yaitu:
- Selalu waspada ketika sedang melakukan interaksi baik di dunia nyata maupun di dunia maya. Apalagi jika berkaitan dengan sistem informasi perusahaan di mana Anda bekerja.
- Bagi Anda yang membawahi suatu perusahaan/ organisasi besar, Anda sekiranya perlu mempelajari trik-trik bagaimana cara mengamakan sistem informasi. Setelah Anda kuasai dengan baik, tularkan pada para karyawan Anda. Tujuannya adalah untuk meminimalisir terjadinya peristiwa-peristiwa yang tidak diinginkan.
- Sering-seringlah membaca buku atau mengikuti acara seminar tentang pemcegahan social engineering.
- Adakan pelatihan dan sosialisasi pada para karyawan Anda terkait pentingnya pengelolaan sistem keamanan informasi.
- Terapkan unsur keamanan informasi sesuai dengan standard prosedur yang dapat diakses sehari-hari. Misalnya dengan menerapkan monitor policy dan clear table. Kedua contoh ini perlu dilakukan agar para karyawan Anda terbiasa melakukannya.
- Perusahaan juga perlu melakukan analisa kerawanan sistem keamanan informasi perusahaan. Misalnya dengan melakukan uji coba kekuatan sistem keamanan informasi perusahaan melalui cara penetration test.
- Bekerja sama dengan pihak ketiga untuk membantu memperkuat sistem keamanan perusahaan. Misal, kerjasama dengan vendor, institusi yang ahli di bidang keamanan sistem informasi, dll.
Referensi
Sanusi, M 2010, THE GENIUS Hacking untuk Membobol Facebook & Email,
PT Elex Media Komputindo. Jakarta
https://www.softovator.com/teknik-social-engineering-dan-cara-pencegahannya/
https://www.softovator.com/teknik-social-engineering-dan-cara-pencegahannya/
No comments:
Post a Comment