Social
Engineering, Sebuah Teknik Menyerang Sistem Keamanan Komputer
Social
engineering dipopulerkan oleh seorang hacker terkenal bernama Kevin Mitnick
pada era tahun 1990-an. Social
engineering merupakan sebuah teknik mendapatkan informasi penting dari
dengan cara memberdaya korban dengan memanfaatkan kelemahan interaksi sosial
korban. Menurut Bernz, social engineering
adalah seni ilmu bagaimana mendapatkan orang untuk memenuhi apa yang kita inginkan.
Menurut Palombo, social engineering
adalah sebuah trik psikologi yang digunakan oleh hacker dari luar pada pengguna
sah dari sebuah sistem komputer untuk mendapatkan informasi yang dibutuhkan
agar mendapatkan akses ke sistem komputer.
Pada dasarnya, tujuan dari social engineering sama dengan hacking pada umumnya : mendapatkan
akses yang tidak diotorisasi ke dalam sistem atau informasi untuk melakukan
tindakan ilegal, penyerangan jaringan, mata-mata industri, pencurian identitas
atau menyerang sistem atau jaringan komputer. Umunya, perusahaan yang menjadi
target adalah perusahaan besar seperti perusahaan telekomunikasi, militer,
lembaga pemerintah, lembaga finansial, rumah sakit, dan sebagainya.
Menurut Sarah Granger, serangan melalui social engineering mempunyai dua level:
secara fisik dan psikologi. Serangan secara fisik dilakukan dengan berbagai
macam, seperti datang langsung ketempat kerja, menggunakan telepon,
sampah-sampah, dan bahkan secara online. Pelaku dapat saja berpura-pura sebagai
pegawai maintenance gedung, konsultan, dan bahkan pegawai perusahaan itu
sendiri yang mempunyai akses ke dalam organisasi. Pelaku kemudian mencari
password, memasang perangkat penyadap di jaringan, dan sebagainya, dan kemudian
menyerang sistem atau jaringan dari luar. Cara lain adalah dengan cara
memperhatikan pekerja yang sedang memasukan password kemudian mencuri passsword
tersebut.
Menurut Joan Goodchild, Ada berbagai trik yang
digunakan oleh penyerang dengan memanfaatkan kelemahan sosial korban. Beberapa
di antaranya adalah berikut ini.
1.
Sepuluh
derajat pemisah
Salah satu cara
untuk mendapatkan informasi dengan memanfaatkan social engineering adalah
dengan menggunakan telepon. Namun sebelum mendapatkan informasi dari korban,
pelaku akan terlebih dahulu mendapatakan informasi sepotong demi sepotong
sampai akhirnya sampai ke korban. Informasi tersebut diperoleh satu per satu
dari orang-orang sekeliling korban. Pelaku bisa saja bertanya kepada petugas
keamanan, petugas kebersihan, supir, bawahan, rekan kerja, dan seterusnya
hingga sampai kepada korban. Menurut Sal Lifrieri, seorang pensiunan New York
City Departement, kemungkinan ada sepuluh tahap yang dilakukan oleh pelaku
sebelumnya akhirnya sampai ke korban. Korban mungkin saja orang kesepuluh yang
didekati oleh pelaku.
2.
Mempelajari
bahsa perusahaan target
Setiap
organisasi memiliki budaya dan bahasa sendiri dalam berkomunikasi dan memiliki
istilah-istilah atau singkatan-singkatan yang digunakan ketika berkomunikasi
satu dengan yang lainya. Misalnya,
perusahaan kimia akan terbiasa berbicara dengan istlah-istilah kimia,
perusahaan obat-obatan akan terbiasa berbicara dalam istilah-istilah
obat-obatan, dan sebagainya. Karena itu sebelum melakukan penyerangan, pelaku
akan mempelajari terlebih dahulu bahasa organisasi. Sehingga pada saat
melakukan penyerang, korban akan mudah percaya karena pelaku berbicara dalam
bahasa organisai yang dikenal akrab oleh korban.
3.
Meminjam
musik “nada tunggu” perusahaan
Teknik ini
dilakukan dengan memanfaatkan musik”nada tunggu telepon” yang digunakan
organisasi. Sebelum melakukan aksinya, pelaku terlebih dahulu menelpon
organisasi, tujuanya agar mendapatkan kesempatan untuk mendengarkan musik “nada
tunggu” perusahaan. Pelaku kemudian merekam musik “nada tunggu” tersebut dan
digunkan untuk mengelabui karyawan lain.
Berikutnya,
pelaku akan menelpon karyawan menjadi target. Ketika sedang menelpon, pelaku
pura-pura ada telepon yang masuk ke linenya dan target disuruh menunggu. Pada
saat menunggu tersebut, pelaku akan memutar musik “nada tunggu” yang sudah
direkamnya. Hal ini akan membuat target merasa bahwa pelaku menelpon dari
internal perusahaan dan merupakan pegawai perusahaan. Sehingga, ketika diminta
informasi penting yang rahasia, target akan memberi tanpa rasa curiga.
4.
Menyamarkan
nomor telepon
Teknik ini
dilakukan dengan cara menyamarkan nomor telepon yang digunakan untuk menelpon
korban. Korban akan melihat nomor telepon itu adalah nomor telepon dari dalam
perusahaan atau perusahaan yang dikenal, tetapi sebenarnya telepon berasal dari
pelaku. Teknik ini dapat mengecoh korban karena korban akan mengira bahwa
telepon berasal dari orang yang terpercaya. Bila kornam menelpon balik ke nomor
tersebut, maka telepon akan disambungkan ke nomor yang benar. Karenanya, korban
akan mudah percaya dan memberikan informasi-informasi penting yang rahasia.
This is dummy text. It is not meant to be read. Accordingly, it is difficult to figure out when to end it. But then, this is dummy text. It is not meant to be read. Period.
ConversionConversion EmoticonEmoticon