ceritanya ngeBLOG nih :D

RSS

Social Engineering

08.56 |



SOSIAL ENGINEERING


I.   Apa itu Social Engineering?


Kata “engineering” sesungguhnya berasal dari bahasa inggris yang mempunyai arti keahlian teknik, atau pabrik mesin. Akan tetapi mengalami arti yang lebih luas ketika masuk dalam wilayah sosial, keahlian teknik atau pabrik mesin mengalami perluasan makna menjadi suatu upaya merekayasa suatu objek sosial dengan segala perencanaan yang matang untuk mewujudkan transformasi sosial sesuai dengan target perekayasa atau "engineer".

Berangkat dari uraian itu, maka rekayasa sosial (social engineering) adalah suatu upaya dalam rangka transformasi sosial secara terencana (social planning), istilah ini mempunyai makna yang luas dan pragmatis. Obyeknya adalah masyarakat menuju suatu tatanan dan sistem yang lebih baik sesuai dengan apa yang dikehendaki oleh sang perekayasa atau the social engineer. Maka upaya rekayasa ini muncul berawal dari problem sosial, yaitu ketidak seimbangan antara das sollen dengan das sein, atau apa yang kita cita-citakan dimasyarakat tidak sesuai dengan apa yang terjadi.

Less dan Presley, mengartikan social engineering adalah upaya yang mengandung unsur perencanaan, yang diimplementasikan hingga diaktualisasikan di dalam kehidupan nyata.

Berdasarkan tinjauan sejarah, munculnya istilah social engineering di Indonesia adalah ketika rezim orde baru berada pada posisi puncak tiraninya sekitar tahun 1986. Rekayasa sosial merupakan perencanaan sosial yang muaranya pada transformasi sosial, didukung dengan internalisasi nilai-nilai humanisasi yang tinggi. Seringkali kita memaknai rekayasa adalah suatu upaya negatif, hal ini dikarenakan kita terjebak dalam satu situasi kekuasaan atau kegiatan-kegiatan praktis rekayasa dilakukan oleh elite- elite politik yang mempunyai tujuan untuk kepentingan pribadi atau golongan tertentu.

Social engineering adalah pemerolehan informasi atau maklumat rahasia dan sensitif dengan cara menipu pemilik informasi tersebut (Wikipedia.org). Pada dasarnya teknik ini memanfaatkan kelemahan sipengguna dalam hal ini manusia, karena saat ini secanggih apapun sistem komputasi tentunya masih membutuhkan campur tangan manusia. Social engineering juga merupakan salah satu cara yang digunakan hacker untuk mendapatkan informasi seputar kelemahan suatu sistem, tidak lain tujuannya adalah untuk mengambil alih suatu system. Telepon dan Internet merupakan media yang paling banyak dugunakan dalam teknik social engineering.

Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.


Sebagian besar artikel tentang topik social engineering mulai dengan beberapa bentuk definisi seperti “seni dan ilmu memaksa orang untuk memenuhi harapan anda”(Bernz 2), “suatu pemanfaatan trik-trik psikologis hacker luar pada seorang pengguna yang terlegitimasi dari sebuah sistem komputer” (Palumbo), atau “mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah sistem” (Berg).

Menurut saya, Social Engineering  itu sendiri bermakna “memperoleh informasi pada sistem yang sangat sensitif ataupun rahasia, dengan cara menipu orang/admin sistem, yang umumnya menggunakan telepon ataupun internet, sehingga merugikan orang lain”.


Dalam kenyataannya, social engineering bisa menjadi berbagai dan semua hal-hal yang disebutkan di atas, tergantung dimana anda duduk atau mengambil posisi.



II.                Metode Social Engineering


Metode-metode Social Engineering dapat dilakukan seperti :

1.      Metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

2.      Menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Contohnya :

Ø  seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target.

Ø  bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.



3.   Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.



Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik. kopral garenx seorang penguasa hacker.


            Dalam sebuah riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.


III.             Target dan Serangan


Tujuan dasar social engineering sama seperti umumnya hacking: mendapatkan akses tidak resmi pada sistem atau informasi untuk melakukan penipuan, intrusi jaringan, mata-mata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan. Target-target tipikal termasuk perusahaan telepon ddan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan rumah sakit.

Booming internet memiliki andil dalam serangan-serangan rekayasa industri sejak awal, namun umumnya serangan terfokus pada entitas-entitas yang lebih besar.

Menemukan teladan yang baik dan nyata dari serangan-serangan social engineering adalah sulit. Organisasi-organisasi yang dijadikan sasaran tidak mau mengijinkan bahwa mereka dikorbankan(lebih-lebih, mengijinkan suatu terobosan security fundamental tidak hanya memalukan, ia mungkin merusak reputasi organisasi) dan/atau serangan-serangan tidak terdokumentasi dengan baik sehingga tak seorangpun yang benar-benar yakin apakah ada suatu serangan social engineering atau tidak.



mengapa organisasi dijadikan sasaran melalui social engineering??

ini seringkali merupakan suatu cara yang lebih mudah untuk mendapatkan  akses melanggar hukum daripada berbagai macam bentuk hacking teknis. Bahkan untuk orang-orang teknis, hal ini seringkali jauh lebih sederhana untuk sekedar mengangkat telepon dan meminta password seseorang. Dan yang paling sering, persis seperti itulah yang akan dilakukan oleh seorang hacker. Serangan-serangan social engineering berlangsung pada dua level: fisik dan psikologis.






IV.             Jenis Social Engineering Lainnya



Karena sifatnya yang sangat “manusiawi” dan memanfaatkan interaksi sosial, teknik-teknik memperoleh informasi rahasia berkembang secara sangat variatif. Beberapa contoh adalah sebagai berikut:

·         Ketika seseorang memasukkan password di ATM atau di PC, yang bersangkutan

“mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat terlihat;

·         Mengaduk-ngaduk tong sampah tempat pembuangan kertas atau dokumen kerja

perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya;

·         Menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor

manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia;

·         Ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit”

individu atau mereka yang memiliki akses legal;

·         Mengatakan secara meyakinkan bahwa yang bersangkutan terlupa membawa ID-Card yang berfungsi sebagai kunci akses sehingga diberikan bantuan oleh satpam;

·         Membantu membawakan dokumen atau tas atau notebook dari pimpinan dan

manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah

informasi berharga;

·         Melalui chatting di dunia maya, si penjahat mengajak ngobrol calon korban sambil pelan-pelan berusaha menguak sejumlah informasi berharga darinya;

·         Dengan menggunakan situs social networking – seperti facebook, myspace, friendster, dsb. – melakukan diskursus dan komunikasi yang pelan-pelan mengarah pada proses “penelanjangan” informasi rahasia, dan lain sebagainya.




V.                Target Korban Social Engineering


Statistik memperlihatkan, bahwa ada 5 kelompok individu di perusahaan yang kerap menjadi korban tindakan social engineering, yaitu:

1.      Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam   organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud;

2.       Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis;

3.       Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;

             4.     Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; 
           5.     Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi diperusahaan.





VI.             Solusi Menghindari Resiko Social Engineering



Setelah mengetahui isu social engineering di atas, timbul pertanyaan mengenai bagaimana cara menghindarinya. Berdasarkan sejumlah pengalaman, berikut adalah hal-hal yang biasa disarankan kepada mereka yang merupakan pemangku kepentingan aset-aset informasi penting perusahaan, yaitu:



a.       Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di

dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini

mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi

atau perusahaan;

b.      Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan

mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya,

untuk mengurangi insiden-insiden yang tidak diinginkan;

c.       Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar

terhindar dari berbagai penipuan dengan menggunakan modus social engineering;

d.      Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai

pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat;

e.       Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional

sehari-hari – misalnya “clear table and monitor policy” - untuk memastikan semua

pegawai melaksanakannya; dan lain sebagainya.



Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:

i.    Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya (baca: vulnerability analysis);

ii.     Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”;

iii.        Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi;

iv.      Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi;

v.       Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya;

vi.      Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.


    “Dapat kita ambil hikmah kejadian di atas, bahwa penggunaan teknologi informasi dampaknya mengikuti apa yang dilakukan si pengguna itu sendiri. Maka selalu waspada dan berhati-hati, dunia teknologi informasi sama juga dengan dunia nyata, karena disitu kita bisa bersosialisasi, perbedaanya hanya, kita tidak dibatasi ruang dan waktu, jadilah diri anda sendiri dan buatlah citra positif. Penggunaan teknologi informasi yang sehat akan membawa dampak yang sehat pula untuk anda.”

= Sekian, Semoga Bermanfaat !! =

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS
Diposting oleh Unknown

2 komentar:

Unknown mengatakan...

yup! yr-wel~

1 Juni 2014 pukul 02.26
Anonim mengatakan...

jangan lupa mampir ke postingan saya hehe... Hati-hati Kejahatan Cyber Dengan Teknik Social Engineering.

17 Maret 2019 pukul 21.25

Posting Komentar

Langganan: Posting Komentar (Atom)