1. Pengertian social engineering dan 3 contoh terbaru
Social Engineering adalah sebuah teknik pendekatan yang memanfaatkan aspek-aspek sosial di dunia komputer dan internet. Teknik ini biasanya digunakan untuk mendapatkan data-data pribadi seseorang untuk keperluan yang negatif seperti pencurian rekening bank, pencurian password, pencurian akun-akun tertentu atau kejahatan teknologi yang berpotensi lainnya. Semua hal ini dilakukan oleh para hacker dan sejenisnya. Para hacker memanfaatkan kelemahan suatu sistem yaitu manusia, karena tidak ada sitem di dunia ini yang tidak melibatkan interaksi manusia. Secanggih apapun teknologi internet tetap membutuhkan manusia, kelemahan ini bersifat universal, tidak tergantung platform, sistem informasi, protokol, software ataupun hardware. Intinya, semua sistem memiliki kekurangan yang sama pada satu titik yaitu pada faktor sosial manusia.
Contoh dari social engineering:
a) Hacker berpura-pura sedang melakukan perbaikan sistem akun perbankan dan mengirimkan informasi itu kepada para nasabah bank. Hacker kemudian memerintahkan memasukkan data-data pribadinya untuk keperluan tersebut. Hacker tentu saja berusaha untuk membuat percaya nasabah bahwa informasi itu benar-benar dari kantor induk bank dengan melampirkan nama dan alamat nasabah sehingga nasabah tertipu. Hackerpun kemudian bisa dengan mudah mendapatkan password atau semacamnya karena nasabahlah yang menuliskannya sendiri.
b) IT Support - Seseorang yang mengaku dari IT support perusahaan menelpon seorang user dan menjelaskan bahwa ia sedang mencari kerusakan jaringan. Dia telah berhasil mengatasi bahwa kerusakan itu terjadi pada departemen tempat user itu berada tetapi ia memerlukan user ID dan password dari departemen itu untuk menyelesaikan masalah. Terkecuali user ini terdidik dalam bidang security, ia tampaknya akan memberikan informasi kepada sang "trouble shooter
c) Rekan pegawai – Seorang pria berpakaian rapi dengan ekspresi panik di wajahnya masuk ke ruangan yang penuh dengan pekerja. Dia mengaku baru saja bekerja di perusahaan tersebut namun ia melupakan password ke database keuangan. Ia lalu bertanya apakah ada yang bisa mengingatkannya. Kemungkinan, setidaknya satu orang akan memberitahunya.
Contoh dari social engineering:
a) Hacker berpura-pura sedang melakukan perbaikan sistem akun perbankan dan mengirimkan informasi itu kepada para nasabah bank. Hacker kemudian memerintahkan memasukkan data-data pribadinya untuk keperluan tersebut. Hacker tentu saja berusaha untuk membuat percaya nasabah bahwa informasi itu benar-benar dari kantor induk bank dengan melampirkan nama dan alamat nasabah sehingga nasabah tertipu. Hackerpun kemudian bisa dengan mudah mendapatkan password atau semacamnya karena nasabahlah yang menuliskannya sendiri.
b) IT Support - Seseorang yang mengaku dari IT support perusahaan menelpon seorang user dan menjelaskan bahwa ia sedang mencari kerusakan jaringan. Dia telah berhasil mengatasi bahwa kerusakan itu terjadi pada departemen tempat user itu berada tetapi ia memerlukan user ID dan password dari departemen itu untuk menyelesaikan masalah. Terkecuali user ini terdidik dalam bidang security, ia tampaknya akan memberikan informasi kepada sang "trouble shooter
c) Rekan pegawai – Seorang pria berpakaian rapi dengan ekspresi panik di wajahnya masuk ke ruangan yang penuh dengan pekerja. Dia mengaku baru saja bekerja di perusahaan tersebut namun ia melupakan password ke database keuangan. Ia lalu bertanya apakah ada yang bisa mengingatkannya. Kemungkinan, setidaknya satu orang akan memberitahunya.
2. Teknik-teknik social engineering
a) Pretexting : Pretexting adalah suatu teknik untuk membuat dan menggunakan skenario yang diciptakan (sebuah dalih) yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
b) Diversion Theft : Diversion Theft atau yang sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidan transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita.
c) Phising : Phising adalah suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
d) Baiting : Baiting adalah Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk, atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya.
e) Quid pro pro : Quid pro pro adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
d) Dumpster diving : Dumpster diving adalah pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akan menjadi target para hacker. Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan hacker akses besar pada perusahaan tersebut.
e) Persuasion : Persuasion lebih dapat disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.
3. Usaha-usaha agar terhindar dari social engineering
a) Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku "ekstra hati-hati" diterapkan disini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan.
b) Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan.
c) Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering.
d) Pelatihan dan sosialisai dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai macam dan kiat.
e) Memasukan unsur- unsur keamanan informasidalam standar prosedur operasional sehari-hari, misalnya "clear table and monitor policy" untuk memastikan semua pegawai melaksakannya.
Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:
a) Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaan ( vulnerability analysis).
b) Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan "penetration test".
c) Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi.
d) Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan akifitas bersama yang mempromosikan perduli pada keamanan informasi.
e) Membuat standar klasifikasiaset informasi berdasarkan tingkat kerahasiaan dan nilainya.
f) Melakukan audit secara berkala dan berkesinambungan terhadap insfraktutur dan suprastruktur perusahaan dalam menjalankan keamanan informasi dan lain lain.
