social engineering adalah pemerolehan suatu informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui Telepon atau internet.
Social engineering merupakan salah satu metode yang digunakan oleh
hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta
informasi itu langsung kepada korban atau pihak lain yang mempunyai
informasi itu.
(Wikipedia Bahasa Indonesia)
Social Engineering ini memfokuskan diri pada rantai terlemah
sistem jaringan komputer, yaitu manusia, seperti dalam sebuah prinsip “the
strength of a chain depends on the weakest link” atau yang berarti “kekuatan
sebuah rantai tergantung dari atau terletak pada sambungan yang terlemah”,
dalam hal ini yang dimaksud adalah faktor manusia. Seperti yang telah kita
ketahui, tidak ada sistem komputer yang tidak melibatkan interaksi manusia.
Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman,
bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah
disusun. Seperti metoda hacking yang lain, Social Engineering juga memerlukan
persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
Ada berbagai macam metode dalam social engineering.
Metode pertama adalah metode yang paling dasar dalam social
engineering, dapat menyelesaikan tugas penyerang secara langsung yaitudengan
meminta langsung kepada korban: password, akses ke jaringan, peta jaringan,
konfigurasi sistem, atau kunci ruangan. Cara ini paling sedikit berhasil karena
tingkat awareness korban masih maksimal, tapi bisa sangat membantu dalam
menyelesaikan tugas penyerang.
Metode kedua adalah dengan menciptakan situasi palsu dimana
seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan
yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu,
misalnya.
Cara yang populer sekarang adalah melalui e-mail, dengan
mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa
kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Bahkan
ke dalam file jpg pun dapat disusupkan worm, padahal biasanya kita menganggap
file .jpg terkesan “tak berdosa” .
Peningkatan Kejahatan Komputer dan Beberapa sebab :
Aplikasi bisnis berbasis IT meningkat
1. E-banking
2. E-Commerce
3. Electronic Data Interchange
Jaringan Internet semakin meningkat
Desentralisasi server
Pengguna yang semakin pandai
Lemahnya cyberlaw
Kompleksitas sistem
Aplikasi bisnis berbasis IT meningkat
1. E-banking
2. E-Commerce
3. Electronic Data Interchange
Jaringan Internet semakin meningkat
Desentralisasi server
Pengguna yang semakin pandai
Lemahnya cyberlaw
Kompleksitas sistem
Teknik-teknik ini biasanya dilakukan
Pada dasarnya teknik social engineering dapat di bagi menjadi 2 jenis, yaitu berbasis interaksi sosial dan berbasis interaksi komputer berikut adalah sejumlah social engineering yang digunakan
Untuk skenario berbasis interaksi sosial ada beberapa modus antara lain
- berlaku sebagai user penting
- berlaku seperti user yang sah
- kedok sebagai mitra vendor
- kedok sebagai konsultan audit
- kedok sebagai penegak hukum
- Teknik phising melalui email
- Teknik phising melalui sms
- Teknik phising melalui pop up windows
Seorang hacker dalam Mendapatkan Sasarannya tidak terbatas hanya dengan komputer untuk mengeploitasi kelemahan-kelemahan sasarannya. mereka juga menggunakan manusia sebagai sasarannya untuk mendapatkan informasi penting untuk menerobos suatu sistem keamanan. cara yang di pakai itulah yang disebut dengan social engineering, yang bertujuan membuat manusia yang jadi sasarannya memberikan informasi-informasi penting yang dibutuhkan oleh yang menerobos sistem keamanan, maka sistem keamanan yang di pasang jadi tidak berguna.
Ada banyak
celah dari manusia yang dapat dimanfaatkan oleh oknum untuk dapat menyusup ke
dalam suatu sistem yang sebenarnya telah aman. Misalnya karena memanfaatkan
rasa takut, memanfatkan rasa mudah percaya, memanfaatkan ketidakelian, ataupun
memanfatkan kelalaian. Itulah mengapa sikap skeptis layaknya seorang jurnalis
ataupun auditor sangatlah diperlukan. Semoga pembaca dapat lebih waspada dan
berhati-hati.
No comments:
Post a Comment