Sebagai pengguna internet mungkin Anda pernah atau bahkan sering mendengar kata-kata social engineering, apa itu sosial engineering ? Dalam bidang keamanan komputer adalah suatu teknik-teknik yang digunakan untuk mengelabui manusia agar membocorkan akses atas informasi rahasia, disebut dengan social engineering (rekayasa sosial). Kelengahan user merupakan senjata yang ampuh yang biasa digunakan untuk melakukan penyerangan. Social engineering adalah faktor manusia (human factor) yang menyebabkan kebobolan pada system atau akun baik personal maupun perusahaan.
Satu hal yang perlu kita sepakati bersama adalah social engineering merupakan keahlian attacker dalam melakukan manipulasi yang menyebabkan orang lain percaya kepadanya. Tujuannya adalah mendapatkan informasi yang akan membantu dia dalam mendapatkan hak akses ke sistem dan mengambil informasi yang dibutuhkan dari sistem tersebut.
Seorang user mungkin saja memberikan informasi rahasia yang bersifat confidential tanpa keberatan sama sekali karena tidak disadarinya, yang menyebabkan kebobolan pada akun email-nya atau akun web site-nya. Walaupun Anda sudah menggunakan perlindungan berlapis dengan password yang unik, proses autenfikasi, firewall, virtual private network, atau bahkan software network yang paling canggih sekalipun masih rentan terhadap serangan yang menggunakan metode ini.
Kenapa seseorang dengan mudahnya memberikan informasi rahasianya tanpa menyadarinya ? entah mungkin melalui e-mail, telepon, atau dengan orang yang belum dikenal sekalipun. Jawabannya : Karena manusia pada umumnya mempunyai sifat sosial yang tinggi dan cenderung suka berinteraksi dengan orang lain.
Seseorang yang sudah terlatih dan menguasai teknik social engineering dapat mengumpulkan data yang cukup lengkap dari korbannya hanya melalui percakapan, tanpa disadari lawannya bahwa dia sedang di interogasi, ini merupakan perpaduan antara seni dengan keahlian (art & science) social engineering bukan merupakan hipnotis atau kontrol pikiran, di mana korbannya diminta untuk melakukan hal-hal diluar alam bawah sadarnya.
Ada dua terminology penting yang harus Anda ingat tentang social engineering :
- Pertama social engineering merupakan salah satu trik yang digunakan oleh para cracker untuk mengumpulkan informasi dari seseorang. Bukan membobol suatu sistem.
- Yang kedua Subversi Psychology adalah bentuk yang digunakan pada social engineering yang secara jangka panjang berusaha untuk menjaga secara continue alur informasi dan bantuan dari user.
Social engineering mempelajari polah kebiasaan dan tingkah laku manusia yang dapat di exploit. contoh yang lagi trend sekarang misalnya melalui kasus penipuan dalam bentuk sms massal. SMS yang berpura-pura menjadi mama dan papa dari penerima untuk mengirimkan pulsa ke nomer tertentu, e-mail ajakan ber-investasi atau telepon berhadiah. Kelihatannya mudah dan terlihat sederhana namun pada kenyataannya tidak sedikit yang menjadi korban, tidak menutup kemungkinan termasuk Anda yang sedang membaca artikel ini. Seorang pakar security expert Kevin Mitnick (sekaligus yang mempopulerkan istilah social engineering) berpendapat bahwa social engineering adalah metode yang efektif. Gartner Research mencatat bahwa ada beberapa sifat manusia yang dapat dimanfaatkan untuk melakukan proses social engineering berikut contohnya antara lain :
Reciprocation (Timbal balik)
Contoh : Kita cenderung untuk membeli suatu produk tertentu setelah diberikan sample gratis sebelumnya, yang namanya gratis bin cuma-cuma,siapa sih yang tidak suka?.
Consistency (Konsistensi)
Contoh : Pada saat kita sedang mengajukan suatu pertanyaan dan menunggu beberapa saat, orang yang ada disekitar kita akan berusaha celometan untuk mengutarakan suatu komentar atau berusaha untuk menjawab.
Social Validation (Validasi sosial)
Contoh : Umumnya kita cenderung untuk mengikuti apa yang dilakukan oleh orang lain, yang dinamakan latah seolah-olah sudah menjadi budaya bagi orang-orang tertentu.
Liking (kesukaan)
Contoh : Kita cenderung untuk mengatakan “ya” atau “setuju” pada orang-orang yang dekat dengan kita atau kepada orang yang kita suka.
Authority (kekuasaan)
Contoh : Kita cenderung untuk mengikuti atau menuruti anjuran atau saran dari orang yang memiliki kedudukan, posisi atau pagerank dalam posisi yang cukup tinggi, yahhh… dari pada juragan marah gitu !
Scarcity (kelangkaan)
Kita cenderung lebih menghargai sesuatu atau menjadi lebih menginginkan sesuatu yang jarang ada atau langka, misalnya memelihara mamoth…. he..he..he.. !
Lalu bagaimana cara pencegahannya ? kalo kita bisa membaca pikiran seseorang tentu mudah, namun maksud hati seserorang siapa yang tahu kecuali almarhum mama lorent, oleh karena itu beberapa hal yang dapat mencegah atau setidaknya mengurangi akibat dari human based social enginering adalah dengan mewaspadai hal-hal berikut ini:
Mail/IM (Instant messenger Attachement)
Setiap pengguna internet hampir semuanya memiliki alamat e-mail, melalui fasilitas semacam ini seorang cracker dapat dengan mudah mengirimkan suatu file attachement berisi trojan, virus atau worm yang apabila kita penasaran membukanya maka dapat dengan mudah data dan informasi dari komputer korban dapat di akses oleh seorang cracker.
Pop-Up Windows.
Mungkin Anda sering jengkel saat membuka website tertentu secara otomatis muncul browser baru yang membuka suatu situs tertentu atau iklan tertentu yang menyuruh-nyuruh kita untuk mengklik-nya, sama halnya dengan hal tersebut seorang cracker dapat membuat suatu software untuk menipu user agar memasukan username dan password miliknya dengan cara menggunakan pop-up Windows pada saat user sedang mempergunakan komputer.
Websites
Seorang cracker dapat membuat suatu website tipuan untuk menarik user agar memasukan alamat e-mail dan password (register) untuk memperoleh hadiah, atau memperoleh widget tertentu dengan alasan agar widget bisa terpasang di halaman websites, makanya jangan heran pada website tertentu kita akan menemui tampilannya yang meriah penuh dengan widget apa saja kecuali widget tabung pemadam kebakaran…. wekbekwekbek…!
Tingkatkan pengetahuan dan kewaspadaan Anda.
Kewaspadaan dapat meningkat jika Anda banyak mendapatkan pengetahuan mengenai isu dan resiko keamanan, termasuk saat Anda membaca artikel ini. Jangan hanya sibuk up date status saja, tetapi ikuti setiap perkembangan terkini tentang isu security.
Dalam ruang lingkup indivindu, Anda tidak harus menjadi seorang IT Expert.
Berpikirlah secara rasional, hal ini akan banyak membantu menghalau serangan sosial engineering. Misalnya Anda hobi mengungkapkan curahan hati di blog, resikonya tentu orang yang tidak Anda kenal akan banyak mengetahui tentang Anda hanya dari membaca cerita di artikel Anda, apabila seorang cracker ingin PDKT maka cracker tersebut sudah mempunyai bekal tentang apa kesukaan atau hobby Anda.
Saya berikan contoh kasus lain, seorang ahli social engineering mengirimkan virus kepada target , sehingga komputer dari korban menjadi rusak. Tentu korban akan panik dan membutuhkan bantuan, yang namanya panik ingatlah akan istilah “saat hanyut rumputpun akan kita pegangi” nahhh pada tahap ini sang cracker bagaikan dewa penolong akan datang dengan mengaku dari tim support yang akan berusaha memberikan bantuan, secara tidak sadar korban akan mengikuti segala perintah atau pertanyaan dari cracker, sehingga memudahkan cracker dalam mengumpulkan informasi gratis.
Dari hal diatas semuanya kembali ke Anda sebagai pengguna internet , yang perlu kita garis bawahi waspadalah dan tingkatkan pengetahuan Anda di dunia maya, internet itu kejam internet adalah sebuah sarana selanjutnya tergantung kita sendiri bagaimana mau memanfaatkannya.
Tidak ada komentar:
Posting Komentar