Depoedu.com – Pada akhir 2019 dan menjelang 2020 ini, kita dihebohkan dengan berita penipuan di internet yang dilakukan melalui cara-cara social engineering – seperti yang menimpa artis Maia Estianty.
Tidak hanya itu beberapa waktu yang lalu juga kita mendengar banyak berita menyangkut penipuan berbasis internet. Konon katanya penipuan ini- akan semakin marak terjadi di Indonesia pada 2020.
Untuk itu kita sebagai warga negara dan sekaligus sebagai pendidik perlu mengetahui apa sebenarnya social engineering itu?
Berdasarkan penelusuran yang saya lakukan tentang Social engineering yaitu: kegiatan untuk mendapatkan informasi rahasia/penting dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon dan Internet.
Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Hal ini bisa dilakukan dengan pendekatan yang manusiawi melalui mekanisme interaksi sosial.
Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu MANUSIA. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware.
Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun.
Para hacker memanfaatkan kelemahan suatu sistem yaitu manusia, karena tidak ada sitem di dunia ini yang tidak melibatkan interaksi manusia. Secanggih apapun teknologi internet tetap membutuhkan manusia, kelemahan ini bersifat universal, tidak tergantung platform, sistem informasi, protokol, software ataupun hardware. Intinya, semua sistem memiliki kekurangan yang sama pada satu titik yaitu pada faktor sosial manusia.
Baca Juga: Melindungi Anak Milenial dari Kejahatan Digital
Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaringan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu.
Contoh: di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya.
Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak data-data penting perusahaan.
Tindakan ini digolongkan dalam Social Engineering dalam beberapa kasusus seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut.
Target korban Social Engineering
Menurut studi dari data, secara statistik ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :
- Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud
- Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis
- Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;
- Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
- Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.
Bagaimana Social Engineering Dilakukan?
Pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan.
Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya.
Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target.
Baca Juga: Pengalaman Bertemu Hantu Milenial di LinkedIn
Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target.
Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.
Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.
Social engineering tidak hanya ditujukan untuk pencurian password saja; pembuat virus menggunakannya untuk membujuk Anda membuka attachment email yang mengandung malware, phishing dan menggunakanya untuk mendapatkan informasi berharga dari Anda, misal login ke internet banking, paypal kena limit dll.
Bahkan ada pembuat scareware yang menakut-nakuti Anda untuk membeli atau mendownload program (yang bisa jadi tidak berguna, atau bahkan merusak).
Tips untuk Menghindari Kejahatan Social Engineering:
- Selalu Hati-hati, jikalau bertemu dengan yang baru dikenal jangan asal percaya, dan jangan langsung membagi informasi pribadi begitu saja.
- Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan;
- Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan;
- Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering;
- Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat;
- Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari – misalnya “clear table and monitor policy” – untuk memastikan semua pegawai melaksanakannya; dan lain sebagainya.
Tips untuk Lembaga dan Perusahaan:
- Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya (baca: vulnerability analysis);
- Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”;
- Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi;
- Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi;
- Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya;
- Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.
(Sumber artikel ini: https://klikhost.com/apa-itu-social-engineering/, https://martentamren97.wordpress.com/digital-security/pengertian-social-engineer/imu-creative.blogspot.com, https://itgid.org/tips-dan-trik-menghindari-social-engineering-hacking/ – Foto : wordpres.com)
[…] Baca Juga: Social Engineering, Penipuan Berbasis Online […]