Social Engineering, Celah yang Terbentuk dari Kelemahan Manusia

Perkembangan teknologi kerap kali menyuguhkan  kosakata baru yang terasa asing bagi kita. Mungkin karena memang kita belum pernah mendengarnya sama sekali, atau sebenarnya kita mengetahuinya namun merasa tidak tahu karena biasa disajikan dalam bahasa asing atau bahasa serapan. Kosa kata yang kerap kita temui antara lain cybercrime, digital signature, social engineering, hacker, dan cracker. Kali ini saya akan mencoba membahas mengenai social engineering. Apa sih sebenarnya yang dimaksud dengan social engineering?

Kali ini berbeda dengan istilah-istilah sebelumnya yang bisa dipahami hanya dengan melihat arti harafiahnya saja seperti cybercrime dan digital signature, pengertian Social Engineering tidak dapat langsung diartikan begitu saja dari bahasa asalnya. Social Engineering, jika diartikan

secara harafiah maka berarti Teknik sosial, agak jauh hubungannya jika dibandingkan dengan pengertian artinya. Mungkin ada hubungannya sih, mungkin, tapi sangat jauh.

Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. (Wikipedia bahasa Indonesia)

Social engineering ini memfokuskan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia, seperti dalam sebuah prinsip “the strength of a chain depends on the weakest link” atau yang berarti “kekuatan sebuah rantai tergantung dari atau terletak pada sambungan yang terlemah”, dalam hal ini yang dimaksud adalah faktor manusia. Seperti yang telah kita ketahui, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.

Metode-Metode dalam Social Engineering

Ada berbagai macam metode dalam social engineering.

Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitudengan meminta langsung kepada korban: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Cara ini paling sedikit berhasil karena tingkat awareness korban masih maksimal, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

Metode kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya.

Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Bahkan ke dalam file jpg pun dapat disusupkan worm, padahal biasanya kita menganggap file .jpg  terkesan “tak berdosa” .

Korban Social Engineering

Menurut studi dari data, secara statistik, ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :

• Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud;
• Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci  akses penting ke data dan informasi rahasia, berharga, dan strategis
• Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;
• Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
• Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.

Teknik Social Engineering

Secara garis besar social engineering dapat dilakukan dengan beberapa macam teknik, seperti :

• Pretexting : Pretexting adalah suatu teknik untuk membuat dan menggunakan skenario yang diciptakan yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
• Diversion Theft : Diversion Theft atau yang sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidan transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita.
• Phising : Phising adalah suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
• Baiting : Baiting adalah Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk, atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya.
• Quid pro pro : Quid pro pro adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
• Dumpster diving : Dumpster diving adalah pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akan menjadi target para hacker. Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan hacker akses besar pada perusahaan tersebut.
• Persuasion : Persuasion lebih dapat disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.

Teknik-teknik ini biasanya dilakukan dengan menggunakan skenario tertentu untuk dapat mencapainya.

Skenario Social Engineering

Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social engineering yang biasa dipergunakan.

Untuk skenario dengan basis interaksi sosial, ada beberapa modus skenario, antara lain: 

• Berlaku sebagai User penting, 
• Berlaku sebagai User yang sah, 
• Kedok sebagai Mitra Vendor, 
• Kedok sebagai Konsultan Audit, 
• Kedok sebagai Penegak Hukum

Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan seperti :

• Teknik phising melalui email, 
• Teknik phising melalui SMS, 
• Teknik phising melalui pop up window.

Itu dia modus-modus dalam social engineering. Ada banyak celah dari manusia yang dapat dimanfaatkan oleh oknum untuk dapat menyusup ke dalam suatu sistem yang sebenarnya telah aman. Misalnya karena memanfaatkan rasa takut, memanfatkan rasa mudah percaya, memanfaatkan ketidakelian, ataupun memanfatkan kelalaian. Itulah mengapa sikap skeptis layaknya seorang jurnalis ataupun auditor sangatlah diperlukan. Semoga pembaca dapat lebih waspada dan berhati-hati.

Disadur dari berbagai sumber