Sosial engineering sendiri adalah metode atau cara untuk mendapatkan informasi/ data yang bersifat rahasia dengan cara memanipulasi pemilik informasi. Social engineering ini biasanya dilakukan melalui sambungan telepon dan komunikasi melalui internet. Pihak yang paling sering melakukan social engineering adalah para hackers. Tugas utama para hackers memang identik dengan mencuri data-data penting dari narasumber yang penting sekalipun. Para hackers ini melakukan pembobolan sistem keamanan informasi melalui akun korban. Dengan cara ini, hackers bisa dengan mudah mendapatkan informasi/ data penting korban dalam waktu sekejap.
Ada cara lainnya yang dilakukan oleh hackers untuk memperoleh informasi/ data milik korban selain membobol sistem keamanan informs, yaitu dengan cara mencuri password si korban. Cara ini dinilai lebih mudah dan cepat bila dibandingkan dengan cara membobol sistem keamanan informasi milik si korban. Pasalnya membobol sistem keamanan informasi milik seseorang bukanlah perkara mudah. Terdapat beberapa tahapan untuk melakukannya. Tahap pertama yang biasa dilakukan oleh hacker untuk melancarkan aksi hacking-nya adalah tahap persiapan. Tahap persiapan melipuiti pengumpulan data-data milik korban.
Tipe social engineering
Pada dasarnya terdapat dua jenis social engineering, yaitu:
- Social engineering berbasis interaksi sosial
- Social engineering berbasis interaksi via komputer/ dunia maya
Meski suatu perusahaan atau lembaga-lembaga penting seperti lembaga pemerintahan didukung oleh sistem keamanan dan prosedur pengaman yang canggih, ada faktor lain yang bisa menjadi penyeban jebolnya sistem keamanan, yaitu faktor manusia. Secanggih apapun sistem keamanan yang dibangun oleh suatu perusahaan/ lembaga, akan tetap mudah ditembus apabila ditangani oleh admin yang kurang kompeten. Faktor lainnya yaitu kurangnya kesadaran para users akan pentingnya sistem keamanan. Bahkan ada pula users yang tak peduli soal sistem keamanan. Berikut contoh kasus ulah pelaku social engineering pada korbannya.
Sebuah perusahaan besar memperkerjakan seorang admin network yang ahli di bidang keamanan jaringan dan sistem informasi. Namun terdapat beberapa users yang tidak terlalu memperdulikan sistem keamanan. Sebagai contoh keteledoran user yaitu user membuat password yang sangat mudah untuk ditebak, lupa tidak log out setelah bekerja, atau mudah memberikan akses pada rekan kerja lainnya. Beberapa keteledoran ini dapat dimanfaatkan oleh pelaku social engineering untuk mengakses, mencuri, bahkan merusak informasi/ data-data penting milik perusahaan. Bisa saja pelaku berpura-pura sebagai pihak yang memiliki kepentingan dengan perusahaan dan meminta salah satu user untuk dapat mengakses perusahaan via online.
Contoh kasus lainnya yang bisa dijadikan celah aksi para pelaku soclal engineering adalah membuang slip gaji atau slip ATM. Mungkin sebagian orang menganggap bahwa slip gaji atau slip ATM adalah sampah alias benda yang tak penting. Akan tetapi, pada slip ATM ataupun slip gaji terdapat informasi penting yang dapat dimanfaatkan oleh para pelaku social engineering. Nah, setelah mengetahui beberapa contoh kasus di atas, kiranya kita semua lebih waspada terutama ketika akan membuang slip gaji atau slip ATM, atau ketika ada seseorang yang tidak kita kenal meminta akses perusahaan di mana tempat kita bekerja.
Metode aksi soclal engineering
Terdapat beberapa cara pelaku social engineering melancarkan aksinya, yaitu:
- Pelaku melakukan serangan langsung yaitu dengan cara meminta apa saja yang dibutuhkan. Sebut saja password, peta jaringan, akses jaringan, kunci ruangan yang berisi database, dan konfigurasi sistem.
- Pelaku membuat skenerio yang berisi situasi palsu. Misalnya si pelaku berpura-pura sebagai bagian dari suatu perusahaan yang akan ‘diserang’. Atau bisa juga si pelaku berpura-pura sebagai bagian dari situasi palsu yang disusunnya. Sebagai contoh, pelaku membuat alasan yang menyangkut pautkan dengan kepentingan pihak lain. Ketika pelaku sudah berhasil masuk ke dalam ‘zona’ perusahaan, pelaku kemudian menjalankan aksi lanjutan seperti mencari informasi-informasi penting tentang target/ korbannya. Pelaku yang pandai dan sudah ahli biasanya tidak perlu mengumbar kebohongan pada calon korbannya. Pelaku justru akan menunjukan fakta-fakta agar calon korbannya benar-benar percaya pada si pelaku. Contoh riil, pelaku berpura-pura sebagai seorang agen tiket. Pelaku melakukan konfirmasi bahwa tiket sudah siap untuk dikirim. Pelaku pastinya akan meminta data-data penting korbannya untuk kepentingan pengiriman tiket. Meskipun calon korban merasa tidak memesan tiket, pelaku tetap perlu mengetahui nama dan nomor kepegawaiannya dengan alasan untuk dicocokkan. Informasi seperti nama lengkap dan nomor kepegawaian adalah dua data penting yang dapat digunakan oleh pelaku untuk dapat mengakses sistem informasi perusahaan di mana korban bekerja.
- Pelaku menggunakan akun email. Caranya yaitu si pelaku mengirim email pada target/ korban. Ketika korban membuka attachment. Sebelumnya pelaku meretaskan virus/ worm seperti Trojan sebagai jalur backdoor pada sistemnya. Worm/ virus bahkan dapat dimasukan dalam file yang berformat jpg sekalipun.
Lantas, bagaimana cara menghindari aksi pelaku social engineering? Terdapat beberapa cara pencegahan, yaitu:
- Selalu waspada ketika sedang melakukan interaksi baik di dunia nyata maupun di dunia maya. Apalagi jika berkaitan dengan sistem informasi perusahaan di mana Anda bekerja.
- Bagi Anda yang membawahi suatu perusahaan/ organisasi besar, Anda sekiranya perlu mempelajari trik-trik bagaimana cara mengamakan sistem informasi. Setelah Anda kuasai dengan baik, tularkan pada para karyawan Anda. Tujuannya adalah untuk meminimalisir terjadinya peristiwa-peristiwa yang tidak diinginkan.
- Sering-seringlah membaca buku atau mengikuti acara seminar tentang pemcegahan social engineering.
- Adakan pelatihan dan sosialisasi pada para karyawan Anda terkait pentingnya pengelolaan sistem keamanan informasi.
- Terapkan unsur keamanan informasi sesuai dengan standard prosedur yang dapat diakses sehari-hari. Misalnya dengan menerapkan monitor policy dan clear table. Kedua contoh ini perlu dilakukan agar para karyawan Anda terbiasa melakukannya.
- Perusahaan juga perlu melakukan analisa kerawanan sistem keamanan informasi perusahaan. Misalnya dengan melakukan uji coba kekuatan sistem keamanan informasi perusahaan melalui cara penetration test.
- Bekerja sama dengan pihak ketiga untuk membantu memperkuat sistem keamanan perusahaan. Misal, kerjasama dengan vendor, institusi yang ahli di bidang keamanan sistem informasi, dll.
Tidak ada komentar:
Posting Komentar