Social Engineering (keamanan)
Social engineering adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker
untuk memperoleh informasi tentang targetnya, dengan cara meminta
informasi itu langsung kepada korban atau pihak lain yang mempunyai
informasi itu.
Social engineering mengkonsentrasikan diri pada rantai terlemah sistem
jaringan komputer, yaitu manusia. Tidak ada sistem komputer yang tidak
melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini
bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware.
Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor
manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik
adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam
kebijakan kemanan yang telah disusun. Seperti metode hacking yang lain,
social engineering juga memerlukan persiapan, bahkan sebagian besar
pekerjaan meliputi persiapan itu sendiri.
Faktor Utama
Di balik semua sistem keaman dan prosedur-prosedur pengamanan yang
ada, masih terdapat faktor lain yang sangat penting, yaitu manusia.
Pada banyak referensi, faktor manusia dinilai sebagai rantai paling
lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik,
akan menjadi tidak berguna jika ditangani oleh administrator yang kurang
kompeten. Selain itu, biasanya pada sebuah jaingan yang cukup kompleks
terdapat banyak user yang kurang mengerti masalah keamanan atau tidak
cukup peduli tentang hal itu. Ambil contoh di sebuah perusahaan, seorang
network admin sudah menerapkan kebijakan keamanan dengan baik, namun
ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut
menggunakan password yang mudah ditebak, lupa logout ketika pulang
kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang
lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang
penyerang memanfaatkan celah tersebut dan mencuri atau merusak datadata
penting perusahaan. Membuang sampah yang bagi kita tidak berguna, dapat
dijadikan orang yang berkepentingan lain. Misal: slip gaji, slip atm.
Barang tersebut kita buang karena tidak kita perlukan, namun ada
informasi didalamnya yang bisa dimanfaatkan orang lain.
Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai
pihak yang berkepentingan dan meminta akses kepada salah satu user yang
ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.
Metode
Metode
pertama adalah metode yang paling dasar dalam social engineering, dapat
menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal
meminta apa yang diinginkannya: password, akses ke jaringan, peta
jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling
sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas
penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang
menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang
menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu,
misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari
informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi
tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu
berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta
lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket
yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa
tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan
dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan
data dengan target. Tentu saja target tidak merasa memesan tiket, dan
penyerang tetap perlu mencocokkan nama, serta nomor pegawainya.
Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke
sistem di perusahaan tersebut dengan account target. Contoh lain, bisa
berpura-pura sedang mengadakan survei hardware dari vendor tertentu,
dari sini bisa diperoleh informasi tentang peta jaringan, router,
firewall atau komponen jaringan lainnya.
Cara yang populer sekarang adalah melalui e-mail, dengan mengirim
e-mail yang meminta target untuk membuka attachment yang tentunya bisa
kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya.
Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak
berdosa” sekalipun.
Cara-cara tersebut biasanya melibatkan faktor personal dari target:
kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang
target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan
sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa
dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia
dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa bahwa
dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah
kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk
membujuk target secara sukarela membantu kita, tidak dengan memaksanya.
Selanjutnya kita bisa menuntun target melakukan apa yang kita mau,
target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut.
Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita
dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik
semakin baik. kopral garenx seorang penguasa hacker.
Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah
memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum
permintaan inti cobalah untuk meminta target melakukan hal-hal kecil
terlebih dahulu.
Anda bisa melakukan praktek social engineering di dalam lingkungan anda !
1. berani kan diri anda & siapka mental
2. tanggung jawab
3. lakukan dengan tenang dan hati-hati
4. Play know !
* dengan melakukan social engineering bukan berarti anda hacker !
lanjut Bagian 2 >>
1. berani kan diri anda & siapka mental
2. tanggung jawab
3. lakukan dengan tenang dan hati-hati
4. Play know !
* dengan melakukan social engineering bukan berarti anda hacker !
lanjut Bagian 2 >>
Anak kedua dari dua bersaudara yang sudah punya cita-cita dan masih ragu dengan yang namanya cinta.
ConversionConversion EmoticonEmoticon