Social Engineering adalah hacker yang menggunakan otaknya daripada otot komputernya. Hackers menelpon pusat data dab berpura-pura menjadi pelanggan yang kehilangan user dan passwordnya. Bentuk lain dari social engineering tidak mudah dikenali. Hacker selalu dikenal untuk membuat website palsu yang menanyakan kata sandi yang dimiliki si pengguna atau social engineering adalah seni dan sains dalam menjadikan orng untuk mematuhi keignanmu. Social engineering sebagai staff dan manusia sebagi target.
Mereka mendatangi staff tersebut untuk mendapatkan informasi yang mereka buthkan. Biasanya social engineering hacker akan berpura menjadi pelanggan untuk mendapatkan informasi yang mereka inginkan seperti password yang dimiliki palanggan sebenarnya. Mereka juga bisa berpura-pura sebagai orang dalam tersebut, hal ini bisa diperburuk dengan tidak adanya control yang jelas akan staff yang keluar dan masuk. Dalam penyerangan social engineering terdapat pola umum yang bisa mereka gunakan.
Ada ada 4 tahap yang menjadi pola umum yang bisa dilakukan oleh social engineering yaitu:
1. Pengumpulan informasi
Banyak teknik bisa dilakukan oleh penyerang untuk mendapatkan informasi mengenai sasarannya. Bisa berupa struktur organisasi, list nama orang dalam, tanggal lahir dan cara lain yang dapat digunakan nantinya untuk mengembangkan relasi atau hubungan dengan target.
2. Mengembangkan relasi
Setelah mendapatkan informasi yang cukup maka selanjutnya adalah berusaha mendekati salah seorang staff yang telah menjadi sasaran. Pada tahap inj semua informasi yang telah diperoleh diawal akan digunakan untuk mendapatkan kepercayaan sasaran tersebut. Misal saat bertemu dengan orang yang menjadi sasaran tersebut dengan menyebut nama panggilan dan alamat atasan tersebut, karena merasa informasi yang disebutkan oleh hacker tesbut benar, orang yang menjadi sasaran tersebut mulai mempercayai hacker tersbut.
3. Mengekploitasi
Setelah mendapatkan kepercayaan dari orang yang dijadikan sebagai sasarannya. Langkah selanjutnya yang akan dilakukan oleh hacker tersebut adalah berusaha mengekploitasi informasi-informasi penting yang dapat digunakan oleh hacker tersebut untuk masuk kedalam sistem perusahan. Informasi-informasi yang biasa digali oleh hacker bisa berupa username, password, arsitektur jaringan perusahaan, dan sebagainya.
4. Eksekusi
Setelah berhasil mendapatkan informasi yang diinginkan pada saat inilah tahapan dari pola penyerang social engineering berakhir dan dilanjutkan dengan mengakser sistem yang menjadi sasaran awal dari hacker dengan menggunakan informasi yang dia miliki. Setelah berhasil masuk kedalam sistem hacker tersebut terdapat dengan mudah mencuri, merubah, bahkan merusak sisstem dan data didlamny tampa terhalang oleh sistem keamanan.
A. Konsep Social Engineering
Social Engineering adalah seni meyakinkan seseorang untuk memberikan informasi rahasianya. Teknik SE sangat bergantung pada fakta bahwa korban tidak menyadari betapa pentingnya informasi yang mereka berikan tersebut, karena mereka ceroboh.
Teknik ini sangat efektif karena sulit untuk dideteksi, selain itu tidak ada software maupun hardware yang diciptakan khusus untuk menanggulangi teknik SE karena sasaran utamanya adalah user (manusia) yang rentan terkena pengaruh.
Fase atau tahapan yang biasa dilakukan pada SE adalah research, develop dan exploit. Pada fase research, attacker akan melakukan penyelidikan/pencarian informasi, kemudian lanjut ke fase develop, dimana fase ini seorang penyerang akan membangun terlebih dahulu relasi dengan korban kemudian masuk ke fase exploit dimana attacker akan mengeksploitasi seluruh informasi rahasia yang dia dapatkan dari korban.
B. Teknik Social Engineering
Teknik SE dapat dikelompokkan menjadi dua bagian, yaitu Human-based Social Engineering dan Computer-based Social Engineering. Pada Human-based Social Engineering, attacker mengumpulkan informasi melalui interaksi langsung dengan victim. Sedangkan Computer-based Social Engineering dilakukan dengan bantuan komputer (internet).
Pada Human-based Social Engineering terdapat metode yang dinamakan Eavesdropping, metode ini adalah attacker mendengarkan pembicaraan korban dengan diam-diam. Kemudian ada juga metode Shoulder Surfing, dimana attacker mencari informasi rahasia dengan cara mengamati korban secara langsung dari jarak yang cukup jauh atau tanpa sepengetahuan korban.
Pada Computer-based Social Engineering ada 5 metode yang sering digunakan, yaitu:
1. Pop-up Windows: Jendela yang muncul secara tiba-tiba ketika kita melakukan aktifitas internet dan meminta kita memasukkan informasi untuk login ke suatu situs.
2. Hoax Letters: Adalah email yang memberi informasi bahwa computer korban terkena virus, Trojan atau worms padahal sebenarnya tidak.
3. Chain Letters: Bentuknya berupa email yang memberi informasi kepada korban bahwa ia mendapat hadiah tapi dengan syarat, korban harus melakukan forward email tersebut kepada seseorang.
4. IM Chat: Metode yang cukup simpel, dimana attacker hanya melakukan obrolan (chatting) dengan korban dan mengumpulkan semua informasi yang ingin dia ketahui.
5. Spam Email: Email yang tidak diminta oleh korban, namun ada dalam inbox korban, mirip dengan Hoax Letter, bedanya email ini meminta informasi dari korban.
C. Penanggulangan Social Engineering
Ada beberapa cara yang dapat dilakukan untuk mengatasi teknik Social Engineering, yaitu:
1. Menghindari menggunakan password yang mudah ditebak.
2. Secara berkala melakukan perubahan pada password
3. Melakukan account blocking jika telah beberapa kali gagal ketika login.
Pada kasus sebuah perusahaan dimana terdiri dari beberapa karyawan maupun orang yang berbeda-beda, cara yang paling tepat dilakukan untuk mengatasi terjadinya kebocoran informasi akibat Social Engineering adalah dengan melakukan training pada karyawan perusahaan.
Selain itu perusahaan juga harus memiliki prosedur pengamanan yang jelas, misalnya menggunakan ID Card bagi masing-masing karyawan, menghapus dokumen-dokumen yang sudah kadaluarsa atau tidak penting lagi, mengawasi para pengunjung yang datang dan lain sebagainya.
D. Pentingnya Otentikasi: Who Are You Speaking With?
Otentikasi adalah proses untuk membuktikan identitas suatu subjek, bisa orang atau mesin. Proses membuktikan identitas seeorang ada banyak cara, namun semuanya bisa dikelompokkan dalam 3 kategori:
· What you know: PIN, password, pasangan kunci publik-privat
· What you have: smart card, kunci, USB dongle
· What you are: fingerprint, retina
Secara singkat otentikasi menjawab pertanyaan “Who are you speaking with?”. Pertanyaan itu sangat penting diketahui sebelum dua pihak berkomunikasi. Bila dua pihak berkomunikasi tanpa sebelumnya melakukan otentikasi, maka keduanya bisa terjebak berbicara dengan orang yang salah, yaitu orang yang menyamar menjadi lawan bicaranya. Bila sampai ini terjadi maka akibatnya bisa sangat fatal, salah satunya adalah terjadinya mitm attack.
Bila dua orang yang sudah saling mengenal berbicara dengan tatap muka langsung, maka tidak mungkin keduanya terjebak dan tertipu berbicara dengan orang yang salah. Otentikasi menjadi sangat penting bila kedua pihak berbicara melalui media komunikasi jarak jauh seperti telpon atau internet. Dalam komunikasi jarak jauh, kita hanya bisa mendengar suara lawan bicara kita, jadi sangat besar kemungkinan kita berbicara dengan orang yang salah.
E. Kesimpulan
1. Social Engineering adalah cara membobol sebuah perusahaan/korporasi memanfaatkan sisi kecerobohan manusia.
2. Social Engineering merupakan salah satu cara memperoleh informasi yang sensitive
3. Sukses atau tidaknya dalam mengatasi Social Engineering sangat bergantung pada aturan kebijakan dan implementasinya.
4. Pentingnya otentikasi untuk keamana suatu organisasi atau perusahaan agar tidak mudah seorang hacker mendapatkan informasi.
Mau bukti?
