Social Engineering, Sebuah Teknik
Menyerang Sistem Keamanan Komputer
Social engineering dipopulerkan oleh seorang hacker
terkenal bernama Kevin Mitnick pada era 1990-an. Social engineering merupakan
sebuah teknik mendapatkan informasi penting dari korban dengan cara memperdaya
koban dengan memanfaatkan kelemahan interaksi sosial korban. Menurut Benz,
social engineering adalah seni dan ilmu bagaimana mendapatkan orang untuk
memenuhi apa yang kita inginkan. Menurut Palumbo, social engineering adalah
sebuah trik psikologi yang digunakan oleh hacker dari luar pada pengguna sah
dari sebuah sistem komputer untuk mendapatkan informasi yang dibutuhkan agar
mendapatkan akses ke sistem komputer.
Pada dasarnya, tujuan dari sosial engineering sama
dengan hacking pada umumnya: mendapatkan akses yang tidak diotorisasi ke dalam
sistem atau informasi untuk melakukan tindakan ilegal, penyerangan jaringan,
mata-mata industri, pencurian identitas, atau menyerang sistem atau jaringan.
Umumnya, perusahaan yang menjadi target adalah perusahaan-perusahaan besar
seperti perusahaan telekomunikasi, militer, lembaga pemerintah, lembaga
financial, rumah sakit, dan sebagainya.
Menurut Sarah Granger, serangan melalui social
engineering mempunyai dua level: secara
fisik dan secara psikologi. Serangan secara fisik dilakukan dengan berbagai
macam, seperti datang langsung ke tempat kerja, menggunakan telepon,
sampah-sampah dan bahkan secara online. Pelaku dapat saja berpura-pura sebagai
pegawai maintenance gedung, konsultan
dan bahkan pegawai perusahaan itu sendiri yang mempunyai akses ke dalam
organisasi. Pelaku kemudian mencari password, memasang perangkat penyadap di
jaringan kemudian menyerang sistem atau jaringan dari luar. Cara lain adalah
dengan memperhatikan pekerja yang sedang memasukkan password kemudian mencari
password tersebut.
Menurut Joan Goodchild, ada berbagai trik yang digunakan
oleh penyerang dengan memanfaatkan kelemahan korban, yaitu :
1.
Sepuluh
derajat pemisah
Salah satu
cara untuk mendapatkan informasi dengan memanfaatkan social engineering adalah
dengan menggunakan telepon. Namun sebelum mendapatkan informasi penting dari
korban, pelaku akan terlebih dahulu mendapatkan informasi sepotong demi
sepotong sampai akhirnya sampai ke korban. Informasi tersebut diperoleh satu per
satu dari orang-orang di sekeliling korban. Pelaku bisa saja bertanya terlebih
dahulu kepada petugas keamanan, petugas kebersihan, supir, bawahan, dan
seterusnya hingga sampai kepada korban. Menurut Sir Lifrieri, seorang pensiunan
New York City Police Department, kemungkinan ada sepuluh tahap yang dilakukan
oleh pelaku sebelum akhirnya sampai ke korban. Korban mungkin saja orang
kesepuluh yang didekati oleh pelaku.
2.
Mempelajari
bahasa perusahaan target
Setiap
organisasi memiliki budaya dan bahasa sendiri dalam berkomunikasi dan memiliki
istilah-istilah atau singkatan-singkatan yang digunakan ketika berkomunikasi
satu dengan yang lainnya. Misalnya, perusahaan kimia akan terbiasa berbicara
dengan bahasa kimia, perusahaan obat-obatan dsb. Karena itu sebelum melakukan
penyerangan, pelaku akan mempelajari terlebih dahulu bahasa organisasi.
Sehingga pada saat melakukan penyerangan, korban akan mudah percaya karena
pelaku berbicara dalam bahasa organisasi yang dikenal akrab oleh korban.
3.
Meminjam
musik “nada tangga” perusahaan
Teknik ini
dilakukan dengan memanfaatkan music “nada tunggu telepon” yang digunakan
organisasi. Sebelum melakukan aksinya, pelaku terlebih dahulu menelpon
organisasi, tujuannya agar mendapatkan kesempatan untuk mendengarkan music
“nada tunggu” perusahaan. Pelaku kemudian merekam music “nada tunggu” tersebut
dan digunakan untuk mengelabui karyawan lain.
Berikutnya,
pelku akan menelpon katyawan yang menjadi target. Ketika sedang menelpon,
pelaku pura-pura ada telepon yang masuk ke linenya dan target disuruh menunggu.
Pada saat menunggu tersebut, pelaku akan memutar music “nada tunggu” yang sudah
direkamnya. Hal ini akan membuat target merasa bahwa pelaku menelpon dari
internal perusahaan dan merupakan pegawai perusahaan. Sehingga, ketika diminta
informasi penting yang rahasia, target akan memberikan tanpa rasa curiga.
4.
Menyamarkan
Nomor Telepon
Teknik ini
dilakukan dengan cara menyamarkan nomor telpon yang digunakan untuk menelpon
korban. Korban akan melihat nomor telpon itu adalah nomor telpon dari dalam
perusahaan atau perusahaan yang dikenal, tetapi sebenarnya telepon berasal dari
pelaku. Teknik ini dapat mengecoh korban. Karena korban akan mengira telpon
berasal dari orang yang terpercaya. Bila korban menelpon balik ke nomor tersebut,
maka telepon akan disambungkan ke nomor yang benar. Karenanya, korban akan
mudah percaya dan memberikan informasi-informasi penting yang rahasia.
5.
Menggunakan
isu berita
Berita-berita
yang ada di surat kabar atau TV digunakan oleh pelaku untuk mempedaya korban.
Sebagai contoh, jika berita utama “adanya bank yang terkena likuidasi” , maka
pelaku akan menelpon atau mengirimkan email ke karyawan bank yang bersangkutan
untuk memberikan informasi-informasi penting yang rahasia.
6.
Memanfaatkan
kepercayaan pada website jejaring sosial
Saat ini
ada banyak website jejaring sosial yang mempunyai banyak pengguna seperti
facebook, my space, twitter, dll. Para pengguna percaya kepada website
tersebut. Kepercayaan itu dimanfaatkan pelaku dengan cara mengirimkan email
palsu kepada pengguna jejaring sosial yang isinya bahwa website tersebut dalam
perbaikan dan mohon memperbaiki akun dengan cara mengklik link yang disertakan.
Ketika mengklik link tersebut korban akan dibawa ke website palsu. Jika tidak
sadar, korban akan memberikan informasi penting yang rahasia di website palsu
tersebut.
7.
Memanfaatkan
kesalahan ketik
Ketika
berselancar di internet, sering kali orang salah ketik alamat URL dan tidak
terlalu teliti memperhatikannya. Pelaku kemudian menyiapkan website palsu
dengan alamat URL yang mirip dengan alamat website aslinya. Akibatnya, ketika
ada pengunjung yang salah ketik dan masuk ke website palsu tersebut, secara
tidak sadar akan memberikan informasi yang penting.
8.
Menyebarkan
berita bohong untuk mempengaruhi harga saham
Teknik ini
dilakukan dengan cara menyebarkan berita bohong yang dapat mempengaruhi harga
saham perusahaan. Sebagai contoh tentang kesehatan Bill Gates akan dapat
membuat harga saham Microsoft turun. Pelaku akan memberi sejumlah saham dari
perusahaan tertentu, kemudian mengirimkan email yang berisi isu yang dapat
membuat harga saham perusahaan tersebut akan naik, misalnya isu bahwa
perusahaan tersebut akan dibeli oleh perusahaan yang lebih besar. Ketika orang
banyak termakan isu tersebut, maka orang akan memburu saham perusahaan
bersangkutan dan harga sahamnya akan naik secara drastis. Pada saat harga saham
naik, maka pelaku akan melepas sahamnya.
Komentar
Posting Komentar