Social Engineering Yang Membahayakan
Sabtu, 21 April 2018
Social Engineering Yang Membahayakan - Tidak ada manusia yang sempurna, dan social engineering mencoba menggali sebanyak mungkin kelemahan manusia. Sebagian kasus pencurian account, sistem yang diambil alih, ataupun penetrasi Malware pada sistem komputer, dapat terjadi karena korban terkecoh oleh social engineering yang dirancang pihak tertentu.
Bahayanya Sosial Engineering Untuk Manusia
Apakaha Social Engineering, dan Bagaimana Social Engineering dapat masuk, dan Mengancam Sistem Ataupun Informasi Rahasia Anda?
Hacking Pada Manusia
Tidak hanya sistem atau mesin yang rawan menjadi korban hacking, manusia pun memiliki kelemahan-kelemahan tertentu yang dapat dimanfaatkan oleh pihak yang memiliki itikad buruk. Dalam bidang keamanan komputer, teknik-teknik yang digunakan untuk mengelabui manusia agar agar membocorkan akses atau informasi rahasia, disebut dengan social engineering, atau dalam istilah bahasa Indonesia adalah Rekayasa Sosial.
Selama mesin belum menjajah manusia, dalam arti manusia masih memiliki otoritas untuk mengoprasikan sistem, maka social engineering tetap menjadi ancaman serius. Seaman apapun sistem tersebut, jika sisi manusia yang memiliki otoritas dapat di hack, maka sistem akan jatuh ka tangan kekuasaan yang salah.
Sebagian orang mungkin meremehkan social engineering, pikirkan logis mangatakan bagaimana mungkin seseorang terkecoh dengan tipuan yang terkadang terlihat sederhana. Tetapi seorang Security Expert seperti Kevin Mitnick (yang juga mempopularkan istilah social engineering ini) berpendapat bahwa social engineering adalah metode yang efektif.
Pola Kelemahan Manusia
Social engineering mempelajari polah kebiasaan dan tingkah laku manusia yang dapat di Exploit. Pada berbagai kasus penipuan, sebuah pesan dalam bentuk e-mail atau SMS atau lainnya, akan berusaga membujuk target dengan berbagai cara rekayasa. Beberapa contoh berikut mungkin pernah anda temui : SMS dengan pura-pura menjadi orang tua dari penerima dan minta untuk ditransfer pulsa, e-mail berisi ajakan berinvestasi, atau telepon penawaran voucher gratis.
Sekilas mungkin terlihat seperti usaha yang sia-sia dan kurang canggih, tetapi siapa tahu kondisi psikologi seseorang yang bisa saja mempengaruhi tindakannya, emosi, seperti perasaan kuatir, ketertarikan, ego atau secara kebetulan sedang terlilit masalah dan aspek psikologis lainnya dapat mengesampingkan logika dan kewaspadaan.
Sama halnya saat social engineering yang dipraktokkan dalam area security, misalnya metode social engineering yang berusaha memancing rasa penasaran dan ketertarikan orang dengan mengirimkan link disertai pesan yang mengarah ke pornografi, provokasi, atau hal lainnya melalui clientmessengers/e-mail, yang sebenarnya mengarahkan target untuk men-download malware yang akan menginfeksi sistem komputer saat dijalankan.
Social engineering bahkan dapat memanfaatkan kepercayaan (trust) menjadi hal yang merugikan, ibarat anda melihat seseorang yang memakai seragam polisi, lalu peracaya bahwa orang itu memang polisi, dengan prinsip yang sama, sebuah kertas berisi nomor telepon yang ditempelkan pada mesim ATM yang seolah-olah rusak, dapat mempengaruhi psikologi orang untuk percaya bahwa nomor tersebut adalah nomor Customer Service bank yang bersangkutan.
Dan saat seseorang percaya bahwa lawan bicara via telepon adalah petugas bank, ia mungkin tidak keberatan memberikan informasi yang bersifat confidential. Contoh lain, sebuah malware dapat menyamar sebagai aplikasi antivirus palsu dengan membawa brand perusahaan terkenal dalam bidang keamanan, tetapi ternyata justru mencuri informasi berharga pada sistem komputer target saat dijalankan.
Cara untuk pencurian data katu kredit dengan social engineering juga sering membawa nama bank besar, dan dapat datang dari berbagai media komunikasi, seperti telepon, e-mail dan lain-lain. Social engineering juga tidak selalu melakukan interaksi langsung dengan targetnya, ia dapat mengumpulkan informasi dari ketidakwaspadaan anda, misalnya mengorek tempat sampah untuk meneliti catatan yang telah dibuang (disebut dengan istilah dumpser diving).
Teknologi internet juga memudahkan penyerang mencari informasi mengenai seseorang (termasuk juga orang dekatnya) di search engine, jejaring social, mailing list, dan sebagainya. sebagian informasi tersebut bisa jadi dapat digunakan untuk mendekati target secara psikologi, mialnya dengan mengetahui hobi target atau kegemaran lainnya.
Social Engineering Di Balik Teknologi
Pada sistem komputer, praktik social engineering semakin bervariasi dan semakin berbahaya, karena dapat menggunakan teknologi itu sendiri sebagai tool, dan memanfaatkan ketidaktahuan pengguna pada ketidaktahuaan pengguna pada kompleksitas sistem.
Contoh : malware yang meniru icon atau nama file aplikasi populer, teknik phishing yang meniru website terpercaya, atau pharming (DNS cache poisoning) yang mengalihkan website tujuan ke website palsu.
Contoh berikut menunjukan salah satu metode Pharming, dengan melakukan modifikasi file hosts yang digunakan sistem operasi untuk memetakan host name ke alamat IP. Jika file hosts (pada sistem operasi Windows berada pada folder WINDOWS\system32\drives\etc) berisi baris berikut :127.0.0.1 www.facebook.com
Maka saat browser diarahkan ke facebook.com, alamat akses akan dialihkan ke IP 127.0.0.1 (umumnya digunakan oleh local hosts). Bayangkan jika IP 127.0.0.1 diganti dengan IP website tiruan facebook.com yang terdapat script untuk menyimpan username dan pasword yang diketikkan, pengguna yang tidak sadar sedang mengakses malicious website akanmenjadi korban social engineering.
Cara untuk memodifikasi file hosts dapat dilakukan penyerang melali malware ataupun jika dimungkinkan, melakukan kontak fisik ke komputer target dengan memanfaatkan kesempatan yang direkayasa.
Contoh lainnya adalah link yang memanipulasi, anggaplah anda menerima e-mail yang seolah berasal dari bank dimana anda adalah customer-nya (alamat e-mail dapat direkayasa agar tampak seperti dikirim dari account yang terpercaya), isi e-mail tersebut berisi intruksi agara mengakses link website yang memang terbaca adalah website bank tersebut, tetapi seungguhnya merupakan website phishing.
Ilustrasinya terlihat pada berikut ini : terbaca pada text link adalah http://bank.com tetapi jika kita jeli dan waspada, ternyata jika link tersebut di klik akan membawa kita ke http://bank_tiruan.com (bukan bank.com). hal ini dapat dibuat dengan HTML sederhana berikut :
<a href="http://bank_tiruan.com">
Cara Mencegah Social Engineering
Dengan mengetahui metode-metode social engineering, kita dapat mencegahnya dengan meningkatkan pengetahuan dan kewaspadaan. Dua hal ini berkaitan erat, kewaspadaan dapat meningkat jika anda banyak mendapatkan pengetahuan mengenai isu dan resiko keamanan.
Dalam lingkungan sebuah organisasi prosedur dan kebijakan yang diikuti sosialisasi dan eduksi yang baik, dapat diterapkan agar setiap personel dalam lingkungan kerja memahami tujuan prosedur dan kebijakan itu sendiri. Peralatan canggih belum tentu aman dari social engineering, kebiasaan-kebiaaan seperti staf mana yang bertugas, kapan ruangan tertentu kosong, kapan tempat sampah dibersihkan, itu merupakan incaram untuk di exploit oleh social engineering dalam melakukan serangan fisik.
Karena itu, pemahaman mengenai area mana saja yang dapat di exploit akan membantu menentukan strategi pencegahan social engineering yang wajar dan realistis. Keamanan tida selalu identik dengan lingkungan yang terpenjara dan orang-orang yang selalu curiga, terutama untuk bagian-bagian yang berinteraksi dengan pihak luar/customer (help, desk, billing dan lain-lain).
Kesimpulan
Dalam ruang lingkup individu, anda tidak harus menjadi seorang IT expert. dengan berpikir secara logika akan banyak membantu mengahalau serangan social engineering. Misalnya jika anda hobi mengungkapkan curahan hati di blog tentu memiliki konsekuensi orang yang tidak dikenal mengetahui banyak hal tentang anda.
Logikanya, anda tidak perlu bersimpati dan merasa menemukan soulmate saat seseorang yang baru anda kenal seakan memahami semua masalah anda, jika Google mampu menampilkan curahan hati anda ke orang lain, maka akan membuat siapapun dapat melakukan social engineering dengan pendekatan persuasif.
Baca Juga 10 Tools Sysinternal Untuk Mengelola Sistem
Baca Juga 10 Tools Sysinternal Untuk Mengelola Sistem