Sosial engineering adalah mendapatkan informasi atau suatu rahasia dengan cara menipu pemilik informasi tersebut. Biasanya dilakukan dalam langkah melalui telepon ataupun internet, sekarang maraknya sekarang seperti misalnya di handpon kita sering mendapat SMS yang isi nya menyebutkan kita mendapatkan hadiah hingga 1 M, misalnya. atau banyak lagi lainya.
sosial engineering ini merupakan metode yang digunakan oleh para hacker untuk memperoleh informasi dari kita pemilik informasi tadi, dan metode ini bukan satu-satunya metode untuk para hacker tentunya. cara ini dilakukan dengan langsung meminta sikorban atau target yang di incar oleh hacker untuk memperoleh informasi mengenai beliau atau bahkan melalui orang terdekat sekalian.
FACTOR
UTAMA PENYEBAB TERJADINYA SOSIAL ENGINEERING KEAMANAN
Semua
factor keamanan itu memang kembali lagi kepada usernya atau manusia tersebut,
dimana factor ini mempunyai banyak kelemahan dibanding system keamanan yang
sudah ada.
Beberapa tingkatan keamananya Factor
Manusia dinilai sebagai tingkatan paling lemah dalam sebuah system keamanan.
Kemudian dari segi administrator yang kurang kompoten. Kebanyakan masalah
keamanan ini masih banyak yang kurang peduli akan hal ini, padahal akibat yang
ditimbulkanya sangat mengangu. Kecerobohan kariayawan atau pekerja yang
meninggalkan computer yang dipakai login tidak di logout sebelum meninggalkan
ruangan kerja atau komputernya.
.
korban
serangan social engineering, yaitu :
- Receptionist dan/atau Help Desk sebuah
perusahaan, karena merupakan pintu masuk ke dalam organisasi yang
relatif memiliki data/informasi lengkap mengenai personel yang bekerja
dalam lingkungan dimaksud;
- Pendukung teknis dari divisi teknologi
informasi – khususnya yang melayani pimpinan dan manajemen
perusahaan, karena mereka biasanya memegang kunci akses penting ke
data dan informasi rahasia, berharga, dan strategis
- Administrator sistem dan pengguna
komputer, karena mereka memiliki otoritas untuk mengelola manajemen
password dan account semua pengguna teknologi informasi di perusahaan;
- Mitra kerja atau vendor perusahaan yang
menjadi target, karena mereka adalah pihak yang menyediakan berbagai
teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap
manajemen dan karyawan perusahaan; dan
- Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan
informasi di perusahaan.
Teknik Social
Engineering
Secara
garis besar social engineering dapat dilakukan dengan beberapa macam teknik,
seperti :
- Pretexting : Pretexting adalah suatu teknik untuk membuat dan
menggunakan skenario yang diciptakan yang melibatkan korban yang
ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan
informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana
dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat
yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
- Diversion Theft : Diversion Theft atau yang sering dikenal dengan
Corner Game adalah pengalihan yang dilakukan oleh professional yang
biasanya dilakukan pada bidan transportasi atau kurir. Dengan meyakinkan
kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman
suatu barang ke tempat kita.
- Phising : Phising adalah suatu teknik penipuan untuk
mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui
email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu
dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat
legal agar target dapat memasukkan account-nya. Teknik phising bisa
dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
- Baiting : Baiting adalah Trojan horse yang diberikan melalui
media elektronik pada target yang mengandalkan rasa ingin tahu target.
Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk,
atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet
umum, telepon umum, dll dengan harapan target akan mengambilnya dan
menggunakannya pada komputernya.
- Quid pro pro : Quid pro pro adalah
sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu
perusahaan dan mengaku berasal dari technical support dan berharap user
menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu”
menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware
ke dalam komputer target.
- Dumpster diving : Dumpster diving adalah pengkoleksian data dari
sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa
berharganya sampah mereka akan menjadi target para hacker. Dari sampah
yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan
memberikan hacker akses besar pada perusahaan tersebut.
- Persuasion : Persuasion lebih dapat
disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target
untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar
dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura
sebagai teman lama.
Teknik-teknik ini
biasanya dilakukan dengan menggunakan skenario tertentu untuk dapat
mencapainya.
Pada
dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu:
berbasis interaksi sosial dan berbasis interaksi komputer. Berikut adalah
sejumlah teknik social engineering yang biasa dipergunakan.
Untuk skenario dengan basis interaksi sosial, ada beberapa
modus skenario, antara lain:
- Berlaku sebagai User penting,
- Berlaku sebagai User yang sah,
- Kedok sebagai Mitra Vendor,
- Kedok sebagai Konsultan Audit,
- Kedok sebagai Penegak Hukum
Sementara itu untuk jenis kedua, yaitu menggunakan komputer
atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus
operandi yang sering dipergunakan seperti :
- Teknik phising melalui email,
- Teknik phising melalui SMS,
- Teknik phising melalui pop up window.
Itu
dia modus-modus dalam social engineering. Ada banyak lagi cara yang baru yang
sedang berkembang di luar sana maka hendaknya kita lebih paham akan keamanan.
Hendaknya kita lebih mengutamakan hal tersebut. Kita telah mengetahui bahwa
factor Social Engineerig tersebut terjadi karena factor manusianya itu sendiri.
Tidak ada komentar:
Posting Komentar