Apa itu Social Engineering?
Apa itu Social Engineering?
Apa itu Social Engineering? |
Masih
ingat dahulu pada masa kanak-kanak permainan yang sering dimainkan
seperti patok lele, kelereng, dan petak umpet. Permainan tersebut sudah
dianggap paling seru dari permainan yang lainnya. Namun sekarang semua
telah berbeda jauh. Anak yang berumur 7 tahun keatas sudah mengenal
permainan game online dan bahkan telah memakai gadget super canggih
dengan game-game terbaru 3D animasi. Itulah beberapa bukti bahwa
perkembangan teknologi telah mengubah kebiasaan dan aktifitas
masyarakatnya.
Terus apa hubungannya dengan Social Engineering? dan Apa itu Social Engineering?
Hampir
disetiap kegiatan masyarakat modern telah menggunakan internet dalam
beraktifitas. Contohnya saja dalam berinteraksi antarsesama di Dunia
maya. Dengan membutuhkan sebuah social network yang terkoneksi dengan
internet. Tidak salah jika ada yang beranggapan bahwa dengan teknologi
itu " Mendekatkan yang jauh tetapi menjauhkan yang dekat ". Semakin berkurangnya sosial antar sesama tetangga menjadi kekurangannya.
Pernahkah mendengar kata Social Engineering? Social Engineering berkaitan erat dengan dunia hacking. Beberapa definisi dari Social Engineering adalah
1) Seni memanipulasi orang untuk melakukan hal yang diinginkan.
2) Teknik psikologis yang digunakan hacker untuk memperoleh informasi yang dapat dipergunakan untuk mengakses sistem komputer.
3) Memperoleh informasi (password misalnya) dari seseorang ketimbang melakukan usaha pembobolan sistem.
Intinya dari definisi Social Engineering
adalah untuk memperoleh informasi yang memungkinkan seorang hacker
untuk mengakses sistem komputer dan mengakses informasi yang tersimpan
di dalam sistem komputer tersebut. Yupsss... ujung-ujungnya yang akan
disalahkan adalah seorang hacker yang membobol sistem komputer. Tetapi
jangan berburuk sangka dahulu mengenai hacker.
Gambar : Google
Hacker
diartikan sebagai penjahat yang menggunakan komputer atau melakukan
kejahatan komputer (Cybercrime). Tetapi tahukah bahwa dalam komunitas
hacker, penjahat komputer yang sesungguhnya adalah Cracker. Perbedaannya
sederhana, hacker membuat sesuatu sedangkan cracker menghancurkannya.
Hal
ini mengingatkan pada sebuah 'Manifesto Hacker' dari sebuah karangan
yang diberi nama 'The Conscience of a Hacker' ( Hati Nurani Seorang
Hacker) dalam perkataan 'The Mentor' menyebutkan :
" Inilah dunia kami... dunia elektron dan switch, beauty of the baud. Kalian menyebut kami penjahat... karena kami menggunakan layanan yang sudah ada tanpa membayar. Padahal layanan itu seharusnya sangat murah jika tidak dikuasai oleh orang-orang rakus. Kami kalian sebut penjahat... karena kami gemar menjelajah. Kami kalian sebut penjahat... karena kami mengejar ilmu pengetahuan. Kami ada tanpa warna kulit, tanpa kebangsaan, tanpa bias agama tapi bagi kalian kami penjahat.
Kami adalah penjahat... sedangkan kalianlah yang membuat bom nuklir, mengobarkan peperangan, membunuh, berbuat curang, berbohong, dan berusaha membuat kami percaya bahwa itu semua demi kebaikan kami.
Ya... aku adalah penjahat. Kejahatanku adalah keingin tahuanku , kejahatanku adalah menilai orang berdasarkan perkatan dan pemikiran mereka dan bukan berdasarkan penampilan dan jabatan mereka. Kejahatanku adalah menjadi lebih pintar dari kalian. Sebuah dosa yang tidak akan bisa diampuni.
Aku adalah hacker dan inilah manifestoku. Engkau bisa menghentikan satu, tetapi engkau tidak bisa menghentikan semuanya... bagaimanapun juga kami semua sama. " ( The mentor, 1986).
" Inilah dunia kami... dunia elektron dan switch, beauty of the baud. Kalian menyebut kami penjahat... karena kami menggunakan layanan yang sudah ada tanpa membayar. Padahal layanan itu seharusnya sangat murah jika tidak dikuasai oleh orang-orang rakus. Kami kalian sebut penjahat... karena kami gemar menjelajah. Kami kalian sebut penjahat... karena kami mengejar ilmu pengetahuan. Kami ada tanpa warna kulit, tanpa kebangsaan, tanpa bias agama tapi bagi kalian kami penjahat.
Kami adalah penjahat... sedangkan kalianlah yang membuat bom nuklir, mengobarkan peperangan, membunuh, berbuat curang, berbohong, dan berusaha membuat kami percaya bahwa itu semua demi kebaikan kami.
Ya... aku adalah penjahat. Kejahatanku adalah keingin tahuanku , kejahatanku adalah menilai orang berdasarkan perkatan dan pemikiran mereka dan bukan berdasarkan penampilan dan jabatan mereka. Kejahatanku adalah menjadi lebih pintar dari kalian. Sebuah dosa yang tidak akan bisa diampuni.
Aku adalah hacker dan inilah manifestoku. Engkau bisa menghentikan satu, tetapi engkau tidak bisa menghentikan semuanya... bagaimanapun juga kami semua sama. " ( The mentor, 1986).
Sudah jelaskan bahwa Hacker tidak bisa di 'kambing hitam'
kan sepenuhnya. Ada juga loh.. hacker baik yang bertujuan untuk
memperbaiki sistem dengan cara menguji dan membobol sistemnya dahulu dan
memberitahukan kepada si empu nya untuk lebih meningkatkan keamanan
sistem tersebut. Hacker ini disebut dengan White-Hat Hacker.
Itulah
sedikit gambaran mengenai hacker. Kembali kepada topik permasalahan
mengenai Social Engineering. Teringat akan ceritanya pak Nazaruddin Syafa'at dalam matakuliah Keamanan Sistem Informasi. Saya juga punya cerita yang dapat menggambarkan betapa pentingnya mengetahui Social Engineering tersebut.
Coba disimak cerita berikut, yang benar-benar terjadi beberapa tahun lalu :
Sekelompok orang memasuki kantor sebuah perusahaan pengiriman yang cukup besar, dan keluar dengan informasi untuk mengakses SELURUH jaringan komputer perusahaan tersebut. Bagaimana hal itu bisa terjadi? Dengan mengumpulkan informasi sedikit demi sedikit, dari beberapa pegawai yang ditemui di perusahaan tersebut.
Mereka tahu bahwa CFO perusahaan tersebut sedang tidak di tempat, jadi mereka dengan gampang memasuki kantor CFO perusahaan tersebut dan mengakses komputernya yang tidak diproteksi password. Dan mereka pun mendapatkan data seluruh data finansial perusahaan tersebut. Kemudian mereka berhasil mengumpulkan beberapa dokumen yang ditemukan di tempat sampah. Ya, mereka bahkan meminta seorang janitor (cleaning service) untuk membawakan tempat-tempat sampah yang ada di beberapa ruangan. Lalu mereka membawa pulang semua data dan dokumen itu.
Dari “markas” mereka, salah seorang sudah belajar meniru suara CFO (yang sedang keluar kota tadi), lalu menelpon system admin perusahaan tersebut, dengan suara yang terkesan terburu-buru dia meminta password untuk remote access dengan alasan lupa dan bahwa catatannya tertinggal di rumah. Setelah titik ini, yang mereka lakukan tinggal menggunakan teknik hacking yang “biasa saja” untuk mendapatkan akses tingkat super user ke dalam sistem komputer.
Sekelompok orang memasuki kantor sebuah perusahaan pengiriman yang cukup besar, dan keluar dengan informasi untuk mengakses SELURUH jaringan komputer perusahaan tersebut. Bagaimana hal itu bisa terjadi? Dengan mengumpulkan informasi sedikit demi sedikit, dari beberapa pegawai yang ditemui di perusahaan tersebut.
Sebelum mendatangi kantor tersebut, mereka
mempelajari perusahaan itu, dan itu mereka lakukan dalam rentang waktu
dua hari saja. Salah satu persiapan mereka adalah menghubungi departemen
HRD. Dan hasilnya, mereka memiliki beberapa nama orang penting di
perusahaan tersebut. Nama-nama yang bisa mereka pergunakan ketika
berpapasan dengan pegawai yang bekerja di kantor tersebut, nama-nama
penting yang jika di dengar oleh penjaga pintu depan akan membukakan
pintu buat mereka, meski mereka tidak memiliki kartu pass. Di lantai
ketiga, mereka mengatakan kalau kartu pass-nya tertinggal, lalu seorang
pegawai yang baik hati membukakan pintu ke ruangan yang terbatas untuk
orang-orang dengan akses keamanan tertentu saja yang boleh masuki.
Mereka tahu bahwa CFO perusahaan tersebut sedang tidak di tempat, jadi mereka dengan gampang memasuki kantor CFO perusahaan tersebut dan mengakses komputernya yang tidak diproteksi password. Dan mereka pun mendapatkan data seluruh data finansial perusahaan tersebut. Kemudian mereka berhasil mengumpulkan beberapa dokumen yang ditemukan di tempat sampah. Ya, mereka bahkan meminta seorang janitor (cleaning service) untuk membawakan tempat-tempat sampah yang ada di beberapa ruangan. Lalu mereka membawa pulang semua data dan dokumen itu.
Dari “markas” mereka, salah seorang sudah belajar meniru suara CFO (yang sedang keluar kota tadi), lalu menelpon system admin perusahaan tersebut, dengan suara yang terkesan terburu-buru dia meminta password untuk remote access dengan alasan lupa dan bahwa catatannya tertinggal di rumah. Setelah titik ini, yang mereka lakukan tinggal menggunakan teknik hacking yang “biasa saja” untuk mendapatkan akses tingkat super user ke dalam sistem komputer.
Tak
perduli ada berapa banyak patch yang tersedia untuk sebuah sistem, atau
firewall terbaru yang dirilis di pasar, tetap saja hal sederhana bisa
menjadi jalur yang mengancam keamanan sistem komputer dan informasi di
dalamnya. Karena apa? karena betapa sifat alami manusia yang bisa
ditebak, dimanfaatkan demi tujuan tertentu. Dan sifat yang paling rentan
adalah gampang percaya.
Apakah timbul pertanyaan " apa hubungannya denganku yang seorang warga biasa atau bukan seorang terkenal yang mempunyai perusahaan dimana-mana? "
Benar
kamu bukan siapa-siapa hanya seorang rakyat biasa. Tetapi coba jawab
pertanyaan berikut yang menganggap kamu hanyalah orang biasa : " apakah
kamu memiliki password? Berapakah situs jejaring sosial yang digunakan?
Bagaimana dengan akun internet banking yang kamu gunakan? Sudahkah itu
aman dan tidak ada satupun orang yang mengetahuinya? dan bagaimana jika
akun tersebut terbobol dan ada yang mengetahui password akunnya? ". Jika kamu beranggapan pertanyaan diatas tidaklah penting kamu dapat mengabaikan social engineering ini.
Dari
cerita yang telah disampaikan sebelumnya dapat disimpulkan bahwa tidak
perlu pengetahuan teknis tentang hacking untuk mendapatkan password kamu
yang kemungkinan memiliki keamanan yang rendah. Dan perlu disadari
bahwa social engineering tidak hanya ditujukan untuk pencurian password
saja; Pembuat virus menggunakannya untuk membujuk kamu membuka
attachment email yang mengandung malware, Phisher menggunakanya untuk
mendapatkan informasi berharga dari kamu, bahkan ada pembuat scareware
yang menakut-nakuti kamu untuk membeli atau mendownload program (yang
bisa jadi tidak berguna, atau bahkan merusak).
Selain
dengan memanfaatkan sifat psikologis tersebut, seorang pembobol sistem
juga dapat mendapatkan sebuah akun korban dengan membuat sebuah halaman
yang sangat mirip dengan halaman sebuah social network. Contohnya saja
dengan halaman facebook palsu. Halaman ini disebut juga dengan fake
login.
Berikut beberapa contoh tampilan yang mirip dengan halaman login facebook tetapi dengan halaman palsu.
Gambar : Google
Ketika si korban meng-klik login maka secara otomatis username dan password nya akan masuk ke email 'penanam'. Halaman yang akan tampil setelah diklik login adalah menampilkan halaman facebook yang asli yang meminta username dan password karena salah dalam pengetikan username dan password korban padahal telah benar dimasukkan. Si korban beranggapan bahwa itu hanyalah hal biasa. Tanpa disadari username dan password telah diambil dan bisa digunakan kapan perlu si pelaku kejahatan.
Itulah beberapa pengalaman ane mengenai Social Engineering. Masih beranggapan bahwa itu tidaklah penting? Sebaiknya semua mengubah anggapan bahwa hal itu bukanlah hal sepele. Bisa saja itu akan merusak citra anda di jejaring sosial oleh si pelaku ataupun lebih bahaya nya akan membobol internet banking yang anda gunakan serta mengambil seluruh uang yang anda miliki di atm. Anggaplah di dunia era digital ini tidak ada informasi yang sepele.
sumber
Post a Comment for "Apa itu Social Engineering?"