Friday, September 27, 2013

Social Engineering, Celah yang Terbentuk dari Kelemahan Manusia



social engineering adalah pemerolehan suatu informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui Telepon atau internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.
(Wikipedia Bahasa Indonesia)

Social Engineering ini memfokuskan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia, seperti dalam sebuah prinsip “the strength of a chain depends on the weakest link” atau yang berarti “kekuatan sebuah rantai tergantung dari atau terletak pada sambungan yang terlemah”, dalam hal ini yang dimaksud adalah faktor manusia. Seperti yang telah kita ketahui, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, Social Engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.

 
Ada berbagai macam metode dalam social engineering.

Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitudengan meminta langsung kepada korban: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Cara ini paling sedikit berhasil karena tingkat awareness korban masih maksimal, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

Metode kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya.

Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Bahkan ke dalam file jpg pun dapat disusupkan worm, padahal biasanya kita menganggap file .jpg  terkesan “tak berdosa” .
 
Peningkatan Kejahatan Komputer dan Beberapa sebab :

Aplikasi bisnis berbasis IT meningkat
1. E-banking
2. E-Commerce
3. Electronic Data Interchange

Jaringan Internet semakin meningkat
Desentralisasi server
Pengguna yang semakin pandai
Lemahnya cyberlaw
Kompleksitas sistem

Teknik-teknik ini biasanya dilakukan

Pada dasarnya teknik social engineering dapat di bagi menjadi 2 jenis, yaitu berbasis interaksi sosial dan berbasis interaksi komputer berikut adalah sejumlah social engineering yang digunakan

Untuk skenario berbasis interaksi sosial ada beberapa modus antara lain
  1. berlaku sebagai user penting
  2. berlaku seperti user yang sah
  3. kedok sebagai mitra vendor
  4. kedok sebagai konsultan audit
  5. kedok sebagai penegak hukum
Dan untuk skenario berbasis interaksi komputer antara lain

  1. Teknik phising melalui email
  2. Teknik phising melalui sms
  3. Teknik phising melalui pop up windows

Seorang hacker dalam Mendapatkan Sasarannya tidak terbatas hanya dengan komputer untuk mengeploitasi kelemahan-kelemahan sasarannya. mereka juga menggunakan manusia sebagai sasarannya untuk mendapatkan informasi penting untuk menerobos suatu sistem keamanan. cara yang di pakai itulah yang disebut dengan social engineering, yang bertujuan membuat manusia yang jadi sasarannya memberikan informasi-informasi penting yang dibutuhkan oleh yang menerobos sistem keamanan, maka sistem keamanan yang di pasang jadi tidak berguna.

Ada banyak celah dari manusia yang dapat dimanfaatkan oleh oknum untuk dapat menyusup ke dalam suatu sistem yang sebenarnya telah aman. Misalnya karena memanfaatkan rasa takut, memanfatkan rasa mudah percaya, memanfaatkan ketidakelian, ataupun memanfatkan kelalaian. Itulah mengapa sikap skeptis layaknya seorang jurnalis ataupun auditor sangatlah diperlukan. Semoga pembaca dapat lebih waspada dan berhati-hati.

No comments:

Post a Comment