The Art of Social Engineering

Nggak ada bahan posting, dan kebetulan tadi jalan-jalan ke HN ada yang bahas soceng, akhirnya saya jadi punya ide untuk membahas apa itu soceng. Menurut Wikipedia, Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Pada dasarnya manusia cenderung mudah percaya dan menghindari konflik. Social Engineering memanfaatkan dua kelemahan tersebut.

Soceng biasanya dilakukan melalui telepon atau Internet. Soceng merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, entah itu menayakan langsung ataupun melalui pihak lain.

Soceng mengkonsentrasikan diri pada user (manusia). Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun.Soceng sendiri mmemerlukan persiapan yang agak lama sebelum penyerang mengeksekusi korbannya.

Pada banyak referensi, manusia dinilai sebagai faktor paling lemah dalam jaringan komputer. Kita ambil contoh, untuk apa komputer canggih dengan sistem keamanan yang baik jika yang jadi administrator adalah orang yang samasekali tidak tahu tentang security ?. Selain itu, pada sebuah jaingan yang cukup kompleks biasanya terdapat banyak user yang meremehkan masalah keamanan . misalnya, suatu perusahaan memiliki sistem keamanan yang cukup baik. Namun bagaimana jika ada user yang memiliki akun dengan password “nama perusahaan” tersebut ? Itu mudah ditebak ! Sekali tebak maka Acces Granted ! Atau saking buru-burunya, user lupa log-out ketika pulang kerja.

Kalau sudah seperti itu, penyerang dengan mudah mengetahui siapa saja orang yang ceroboh pada perusahaan tersebut. Dan bisa saja penyerang menanyakan apa saja yang dibutuhkan/diinginkan kepada user yang ceroboh tersebut. Tindakan ini bisebut sebagai : Social Engineering (SOCENG)

Metode pertama adalah metode yang paling dasar dalam soceng, yaitu penyerang mencoba untuk meminta secara langsung dan terang-terangan apa yang diinginkan dari korban.

Cara kedua adalah dengan menciptakan situasi palsu dimana korban masuk dalam situasi tersebut. Dalam hal ini penyerang memerlukan informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang β€˜target’. Kita tidak harus berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Example : Seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim (tentu saja ini hanya jebakan betmen). Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target.Jadi intinya pelaku tadi menelpon hanya untuk mencocokkan data yang dia miliki dengan data yang dimiliki korban. Dalam hal ini tentu korban tidak akan curiga !

Cara yang paling populer adalah metode phising, yaitu dengan mengirim email ke korban dan didalam emailnya terdapat link, trojan maupun worm yang berfungsi mencuri data dari komputer korban. Tentu saja jika korban mau meng-klik link yang terdapat pada email tersebut. Maka disinilah keahlian pengirim email dibituhkan : membuat korban mengeklik link tanpa curiga sedikitpun

Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa tindakannya memberikan informasi tidak akan menimbulkan efek buruk. Atau target merasa bahwa dengan memenuhi keinginan penyerang akan membuat dia dipuji. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita tidak harus memaksa korban untuk memberikan informasi, karena korban akan memberikannya dengan sukarela. Selanjutnya, kita tinggal menuntun taeget menuruti apa yang kita mau, dan korban tidak merasa bahwa dia sedang dimanfaatkan. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya.

Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.

Sekian postingan dari saya, terimakasih .

Apa itu soceng ?
Pengertian Soceng
Social engineering itu apa ?

Shares

37 Comments

Leave a Reply